新版本某音的方法列表哪去了

gioxxx21 · 2022 年3 月 3 日 06:33

需求: 为了dump 某音的头文件
分析：因为MachO里的方法列表是空，所以无法dump，但是运行时又加载到了方法，求问这是怎么加载出来的

gioxxx21 · 2022 年3 月 3 日 06:39

新版本某音的oc方法还是存在于AwemeCore里面，但是oc方法在hopper里显示的sub_xxx地址的形式，无法在hopper里通过方法名搜索，但是运行时发现oc方法又加载回了类里面，是有方法名的，请问这是如何做到的？

gioxxx21 · 2022 年3 月 3 日 06:59

这旧版本某音的结构，可以看到是有方法指针的

ParadiseDuo · 2022 年3 月 3 日 07:03

没有怎么研究过，但是简单看了一下。
AwemeCore里面有很多自定义的section Header在Data段。
其中有几个看着很有意思：

可以看到这几个占得size非常大。
所以我猜测里面应该有些东西值得研究一下。

gioxxx21 · 2022 年3 月 3 日 11:51

谢谢大佬，我再看下

lfsluoye · 2022 年3 月 4 日 02:38

新版的怎么绕过ptrace?

gioxxx21 · 2022 年3 月 4 日 04:27

core里patch

lfsluoye · 2022 年3 月 4 日 07:09

请问某音是Core库中用SVC触发中断的吗, 我们是直接去搜索SVC修改还是有什么其他的操作?

Cccrazy · 2022 年3 月 4 日 08:41

svc+syscall+ptrace,找到对应的地址，patch掉就可以了

lfsluoye · 2022 年3 月 5 日 07:55

请问 class-dump后是不是没有属性和方法列表?

Cccrazy · 2022 年3 月 6 日 09:36

是的，新版的没了，但是你过反调试不需要头文件啊

lfsluoye · 2022 年3 月 6 日 12:08

是的目前是已经做到绕过ptrace 谢谢

lfsluoye · 2022 年3 月 6 日 12:11

好奇是怎么做到隐藏所有的属性和方法声明

dennis1987 · 2022 年6 月 10 日 02:28

新版core里搜索了半天硬是没找到svc syscall ptrace