在越狱机下，如何创建可执行内存。

44269597 · 2020 年8 月 13 日 03:13

如题，最近在研究dlopen，对应dlopen内部是创建了一个image到内存当中，image中包含dylib原始mach-o内容。但是这个image创建流程没找到具体资料，在想这个过程和malloc有什么区别，还有就是mmap应该也有关系

Zhang · 2020 年8 月 13 日 03:24

vm_allocate + mprotect ?

44269597 · 2020 年8 月 15 日 06:27

new = ( void *)mmap( NULL , num, VM_PROT_ALL, 0x1000 | 0x0001, -1, 0);
mprotect(new_page, PAGE_SIZE, PROT_READ | PROT_EXEC);
这样开创的内存还是不可执行。

Soulghost · 2020 年8 月 16 日 13:38

github.com

jmpews/Dobby/blob/2a174b7adf32507127a8bff959ac0c0f69994e07/source/UserMode/ExecMemory/code-patch-tool-darwin.cc#L76

    
      
            kr = substrated_mark(substrated_server_port, mach_task_self(), (mach_vm_address_t)buffer, size,
                                 (mach_vm_address_t *)&address);
            if (kr != KERN_SUCCESS) {
              DLOG("Code patch with substrated failed");
              return -1;
            }
            return 0;
          }
          #endif
          
          
_MemoryOperationError CodePatch(void *address, void *buffer, int size) {
            kern_return_t kr;
          
          
  int page_size             = (int)sysconf(_SC_PAGESIZE);
            addr_t page_align_address = ALIGN_FLOOR(address, page_size);
            int offset                = static_cast<int>((addr_t)address - page_align_address);
          
          
  static mach_port_t self_port = mach_task_self();
          #ifdef __APPLE__
          
          
#if 0 // REMOVE

44269597 · 2020 年8 月 26 日 09:36

谢谢。发现涉及到hook，都是用类似的方法。mmap 然后vmcopy，mach_vm_remap，这些。

loary_fly · 2022 年4 月 21 日 10:17

这些函数都只能在越狱机下使用吗？非越狱机行吗？

44269597 · 2022 年4 月 26 日 08:19

函数还是可以用的。问题是非越狱情况下对可执行段内存没有修改权限。

loary_fly · 2022 年4 月 26 日 08:27

对Code Signature块能不能修改呢？

44269597 · 2022 年4 月 27 日 01:12

没研究过