0
這是否發生了某些程序(甚至操作系統本身)更改可執行文件的__TEXT段的內容,無論出於何種原因?OS X:__TEXT段中的段是否被其他程序修改過?
- 注意:這裏,我指的是「__TEXT」段,而不是「__text」段。
換句話說:我可以依靠我的可執行文件的__TEXT段中的字節來檢測(通過計算在該段的校驗和說)我的可執行文件是否已被損壞,或者是有一個機會,我得到誤報因爲該程序在用戶計算機上安裝後可能會被修改?
謝謝!
A
回答
4
段本質上是一個虛擬內存構造:它們通常在頁面邊界上對齊,所以它們最終可能包含比應用程序代碼更多的內容。鑑於__TEXT段通常從Mach-O文件的開頭開始,它通常也包括Mach-O頭文件。
在OS X 10.3及更早版本中,預先綁定可能會影響__TEXT段(詳細描述在here中)。在更高版本中,代碼簽名還可以修改__TEXT段。
您可能想要調查使用OS X的內置代碼簽名機制(問題的原因和解決方案?)。有的建議參考:
- Technical Note TN2206: Mac OS X Code Signing In Depth
- Code Signing and You(忽略iPhone位)
- Development Phase Code Signing
您可能會發現macholib有益探索。 (它包含在最新的OS X版本中以支持py2app。)下面是我用來提取__TEXT段的簡單腳本。
from macholib.MachO import MachO
m = MachO('foo')
__TEXT = (cmd for load_cmd, cmd, data in m.headers[0].commands
if getattr(cmd, 'segname', '').rstrip('\0') == '__TEXT').next()
print '__TEXT segment: offset %x size %x' % (__TEXT.fileoff, __TEXT.filesize)
f = open('foo', 'rb')
f.seek(__TEXT.fileoff)
open('foo__TEXT', 'wb').write(f.read(__TEXT.filesize))
當然,你也可以使用otool -lv,但輸出是有點亂,難以解析。
相關問題
- 1. 檢查字段是否已被修改
- 2. OS X Dock API?檢索帶有徽章和其他修改的OS X活動應用程序的圖標
- 3. 如何閱讀OS X上其他應用程序文本字段的內容?
- 4. django自定義字段 - 如何修改其他字段的值
- 5. 是否允許其他類更改字段是錯誤的?
- 6. 是否允許通過TypeScript中的其他字段進行字段初始化?
- 7. 隨時修改一個字段另一個字段被修改
- 8. 標籤只是其中x被修改的ggplot點的子集
- 9. 是否有像Mac OS X的過濾驅動程序?
- 10. 在OS X上Rails應用程序中的分段錯誤10.8
- 11. 檢查其他文件是否在git中的提交系列中被修改
- 12. 修改舊的Windows程序的Mac OS X
- 13. 修改其他片段內的片段內的視圖不起作用
- 14. 輕鬆修補OS X應用程序
- 15. OSGi片段是否可以將其他片段作爲主機?
- 16. 觀察OS X上的其他應用程序窗口狀態更改
- 17. SELECT RAND AS字段,同時選擇由字段修改的其他值
- 18. 在OS X編程中,是否可以通過更改其「框架」屬性來更改「按鈕」的高度?
- 19. 如何使用DirtyKeys知道PFUser中的「email」字段是否已被修改?
- 20. 僅處理其值已被修改的輸入字段?
- 21. Android應用程序修改其他應用程序的功能
- 22. 連接在表中的字段,當表通過其他字段
- 23. asp.net隱藏字段 - 被修改?
- 24. 其他字段
- 25. 是否可以隱藏DTrace中的OS X應用程序?
- 26. 修改cookie中的字段
- 27. 當我修改其他代碼片段時,Javascript停止工作
- 28. 是否可以修改mailto鏈接中的「from」字段?
- 29. 從其他表中按字段排序
- 30. 響應「隱藏其他」的Mac OS X
謝謝尼古拉斯,這是一個真實記錄的答案!我一回去工作就會調查所有這一切。 –
是的,原來代碼簽名,基本上每次下載應用程序時都會發生,並在彈出窗口上單擊「授權」,詢問您是否運行此安全,是__TEXT更改的常見原因。 –