dumpdecrypted脱壳成功 但ida无法反汇编

如题 尝试某信某版本 dumpdecrypted脱壳成功


class-dump 头文件也成功

但是ida提示是加密文件

请教大神这是什么情况

选错slice了吧

就是默认选项额

dd砸壳是解密running arch然后覆盖原来的fat binary的对应位置,aka没解密的slice还在里面

谢谢您的耐心回复 我应该找到原因了 我忘记了我换了个6的测试机器 我用otools查看了我解密后的mach-o


发现armv7 32位的binary的还是加密状态 arm64 64位的binary是解密的 而我class-dump是选的arm64的arch 我的ida只能查看armv7的
我看了dumpdecrypted的源码 貌似fat binnary是优先解密arm64的 对么

但是您说的“aka没解密的slice还在里面”我不太理解 我的理解mach-o的壳就是对binary加密 然后Segment中会有一个command 说明binary的encrption状态 不是特别理解您说的这句话

Fat binary。
文件里有多架构的slice,比如arm7在0xABCD-0xFFFF ARM64在0x1~0x1000

dd做的是dump对应的解密数据然后直接覆盖原来的加密数据。
其他的砸壳是把解密的slice分离出来

也就是说iphone6在load mach-o的时候是默认选择arm64的architecture 所以dumpdecrypted只能从内存中dump arm64的binnary对吧

yep:grin:

好的 谢谢您