IOS逆向--恢复Dyld的内存加载方式

文章预览

之前我们一直在使用由dyld及其NSCreateObjectFileImageFromMemory/NSLinkModule API方法所提供的Mach-O捆绑包的内存加载方式。虽然这些方法我们今天仍然还在使用，但是这个工具较以往有一个很大的区别......现在很多模块都被持久化到了硬盘上。 @roguesys 在 2022 年 2 月发布公告称，dyld 的代码已经被更新，传递给 NSLinkModule 的任何模块都将会被写入到一个临时的位置中。 作为一个红队队员，这对于我们的渗透工作并没有好处。毕竟，NSLinkModule一个非常有用的api函数，这个函数可以使得我们的有效载荷不被蓝队轻易的发现。 因此，在这篇文章中，我们来仔细看看dyld的变化，并看看我们能做些什么来恢复这一功能，让我们的工具在内存中多保存一段时间，防止被蓝队过早的发现。 NSLinkModule有何与众不同 由于dyld是开源的，我们可以深入研究一下经常使用的NSLinkModule ………………………………