1.入門指令

jz指令:跳轉指令,可以理解成如果前面比較指令的比較結果相同則跳轉到指定的地址;
jnz指令:與jz指令正好相反,不相等則跳轉;
jmp指令:不管任何情況都會進行跳轉;
call指令:調用過程指令,一般對應高級語言中的函數調用

2.MacOS目錄結構

/usr/bin 目錄中存放著用戶安裝的命令行工具;
/etc 目錄存放著系統的配置信息;
/Applications 用用程序目錄,存放系統與用戶安裝的應用程序
/Library 系統應用的數據 和 文檔信息;
/Network 網絡鄰居虛擬目錄;
/System 只有一個 Library 子目錄,里面存放了系統運行的重要組件,如框架與內核模塊,系統內置的第三方程序;
/Users 所有用戶的主目錄;
/Volumes 可移動美圖,磁盤 dmg鏡像的掛載點

3.權限

MacOS 內置staff,wheel,admin三個用戶組,所有用戶組都屬于staff用戶組,該組提供了對當前用戶自己目錄的讀寫執行權限;
admin用戶組允許用戶通過sudo命令切換為root用戶,默認創建的用戶屬于admin;
wheel用戶組是root用戶組,只有uid為0 的root用戶才屬于該組.

4.系統調用

macOS系統實現了POSIX標準,并擴展了部分內容---加入了MACH-Trap,取名為xnu.
開源地址 : https://opensource.apple.com/source/xnu/

5.進程間通信

5.1 Mach端口(Mach Port)底層的進程間通信方式,消息發送方調用mach_msg_send()發送消息,消息指定了端口號,消息類型,及內容;接收方調用mach_msg_receive()接受指定端口的消息,上層CoreFoundation 提供了CFMachPort,及Foundation童工的NSMachPort對Mach端口進行封裝;
5.2 分布式通知(Distributed Notifications),NSDistributedNotificationCenter(注冊通知),NSDistributedNotification(接收通知),發送分布式通知,非常消耗資源,頻繁發送,應考慮其他方式;
5.3 NSConnection 注冊,接收;
5.4 XCP 使用最廣泛,NSXCPCConnection;

6.安全框架

6.1 CommonCrypto
6.2 Keychain

7.系統安全機制

7.1 FileVault macOS上的磁盤加密技術
7.2 代碼簽名 查看本機所有簽名證書security find-identity -v -p codesigning,簽名腳本codesign,查看軟件包簽名 codesign -d -vv 包名.app
7.3 codesign在簽名過程中會改寫可執行文件,在文件Load Commands中添加一個LC_CODE_SIGNATURE項,里面會寫入代碼簽名的一些信息.
7.4 程序包簽名與單獨的二進制簽名不同,程序包除了可執行文件還包含各種資源圖片,和不同語言的文件,程序包中的所有資源文件都會被簽名,并新建一個_CodeSignature/CodeResources的文件夾,其中存儲著所有文件的簽名Hash信息,其本質上就是一個Plist文件
7.5 對于編譯好且已經開啟PIE的程序,可以通過手動修改頭部flags值來去掉PIE屬性,從而達到關閉ASLR的目的,
github腳本:https://github.com/sskaje/disable_aslr/blob/master/disable_aslr.py
7.6 沙盒機制
7.7 Rootless 更少的root權限,又稱為SIP(System Intergrity Protection 系統完整性保護),通過Rootless系統可以決定即使第三方程序獲取了系統Root權限,也不能做一些事情,比如:文件系統保護,運行時保護,內核擴展限制.
7.8 Gatekeeper 守門人,當我們第一次運行Mac的時候,安裝從互聯網下載的軟件時,會提示,不是從AppStore下載的,不允許裝載,系統是怎么知道我們的軟件時從哪里下載的

從互聯網下載的程序會有一個 @ 標簽

yangpei1@localhost downLoad % ls -al
total 11907840
drwxr-xr-x  11 yangpei1  staff         352  9 23 10:38 .
drwxr-xr-x  31 yangpei1  staff         992  6 29 09:09 ..
-rw-r--r--@  1 yangpei1  staff        6148  8 18 16:30 .DS_Store
-rw-r--r--@  1 yangpei1  staff        6148  6 13 14:35 .DS_Store (1)
-rw-r--r--@  1 yangpei1  staff    96341959  9 23 10:38 MACOS軟件安全與逆向分析.pdf

8.代碼編譯

整個編譯過程如下:
1.檢查依賴(Check dependencies),
2.生成輔助文件(Write auxiliary files),
3.編譯(CompileC),
4.鏈接(Ld),
5.生成調試符號(Generate DSYMFile),
6.代碼簽名(CodeSign).

最后一步是代碼簽名,沒有指定簽名證書的情況下,Xcode默認使用adHoc簽名.

9.dyld動態庫的加載

1.設置運行環境,處理環境變量
2.初始化主程序
3.加載共享緩存
4.加載插入的動態庫
5.鏈接祝程序
6.鏈接插入動態庫
7.執行弱符號綁定
8.執行初始化方法
9.查找入口點并返回
dyld: 當Mach-O映像加載時,dyld首先會檢查該Mach-O映像與所需動態庫是否在共享緩存中,如果在,直接將它在共享緩存中的內存地址映射到進程的內存地址空間.