我正在查看一个受严格保护的Apple iOS二进制文件,试图找出是否有办法找回一些信息。

当我在IDA中打开二进制文件时,我看到了在“导入”选项卡中:

Address     |            Name                 |     Library
0002EFF0    |     lg8ZfjWOccD3RctMJwwU9b      |  /usr/lib/libstdc++.6.dylib
0002EFF4    |          4rqFsZJpPBx            |  /usr/lib/libz.1.dylib
0002EFF8    |     I0Lotzqwlr8UzNDPNddy5       |/System/Library/Frameworks/UIKit.framework/UIKit


等...告诉我这是怎么发生的,这是我有办法解决正在使用的功能。

#1 楼

我的猜测是,打包程序/混淆器通过扫描内存中的dylib或遍历dyld结构来进行手动导入。导入列表中的名称是红色鲱鱼,并且可能仅存在伪造的导入内容,以确保加载所需的dylib。您将必须分析和/或调试代码以弄清其真正的工作原理。