1、MachOView工具概述

MachOView工具可Mac平台中可查看MachO文件格式信息，IOS系统中可执行程序属于Mach-O文件格式，有必要介绍如何利用工具快速查看Mach-O文件格式。MachOView工具属于免费开源项目，源代码可在/github.com/gdbinit/MachOView链接中下载，MachOView安装之后文件布局如下图所示：

点击“MachOView”之后，便在Mac系统左上角出现MachOView工具的操作菜单，对应功能菜单如下图所示：

下面介绍MachOView文件功能使用。

2、加载Mach-O文件

点击MachOView工具的主菜单“File”中的“Open”选项便可加载IOS平台可执行文件，对应功能接入如下所示：

例如加载文件名为“Clover”的Mach-O文件，加载成功之后显示的界面如下图所示：

上图界面出现表明Mach-O文件加载完毕。

3、文件头信息

MachOView工具成功加载Mach-O文件之后，在左边窗口点击“Mach Header”选项，如下图所示：

选择“Mach Header”选项之后便能在右边显示Mach-O文件头信息，对应内容如下图所示：

通过上图Mach-O文件头信息可获取文件采了Arm_V7指令集，总共有47项Load Commands，Load Commands数据总共大声笑为5164字节，“File Type”选项表明文件类型，“MH_EXECUTE”属于可执行文件。

4 加密信息获取

IOS用户可在APP Store商店中下载的APP应用程序，APP Store下载的应用程序绝大部分代码段二进制数据都是加密，加密信息由Mach-O文件Load Commands的子项LC_ENCRYPTION_INFO控制，该信息可通过左侧窗口展开Load Commands，然后选中“LC_ENCRYPTION_INFO”项控制，如下图所示：

选中“LC_ENCRYPTION_INFO”选项之后左边会出现对应加密相关信息，内容如下所示：

通过上图可知测试文件总共加密了0x70C000字节，加密起始位置偏移为0x4000。通过该项信息可精确获取到加密数据起始偏移、总共加密数据长度，利用此段信息可有助于解密并还原原始数据。

*转载请注明来自游戏安全实验室（GSLAB.QQ.COM）