获取iOS任意线程调用堆栈(二)符号化理论：Mach-o文件结构

我们知道Windows下的文件都是PE文件，同样在OS X和iOS中可执行文件是Mach-o格式的。

所以我们如果要进行逆向分析，首先要熟悉Mach-o文件结构。
Mach-o包含三个基本区域：

头部（header structure）。
加载命令（load command）。
段（segment）。可以拥有多个段（segment），每个段可以拥有零个或多个区域（section）。每一个段（segment）都拥有一段虚拟地址映射到进程的地址空间。
链接信息。一个完整的用户级Mach-o文件的末端是链接信息。其中包含了动态加载器用来链接可执行文件或者依赖库所需使用的符号表，字符串表等等。

155909fovzv4dyqi9wb64o 你也可以在这里找到Mach-o的官方资料。

一、我们先使用otool工具来查看Mach-o的头部，看看都包含哪些信息。

Snip20150112_7

头部的的结构如下（32位）：

  struct mach_header{
     uint32_t    magic;
     cpu_type_t  cputype;
     cpu_subtype_t   cpusubtype;
     uint32_t    filetype;
     uint32_t    ncmds;
     uint32_t    sizeofcmds;
     uint32_t    flags;
 }
 

1.magic，是mach-o文件的魔数，0xfeedface代表的是32位，0xfeedfacf代表64位

2.cputype和cupsubtype代表的是cpu的类型和其子类型，例子中分别是c和9,定义如下：

#define CPU_TYPE_ARM((cpu_type_t) 12)

#define CPU_SUBTYPE_ARM_V7((cpu_subtype_t) 9

即为：armv7

3.接着是filetype，2，代表可执行的文件
#defineMH_EXECUTE 0×2

4.ncmds 指的是加载命令(load commands)的数量，例子中一共23个，编号0-22

5.sizeofcmds 表示23个load commands的总字节大小， load commands区域是紧接着header区域的。

6.最后个flags，例子中是0×00200085，可以按文档分析之。

Snip20150112_8

当然不用工具，直接使用UE看也是一样的。按照定义的结构来就行了。

Snip20150112_13 二、头部之后就是加载命令。加载命令的数目以及总的大小在header中已经给出。

Snip20150112_9

1.cmd 是load command的类型,本文中值＝1就是LC_SEGMENT，,LC_SEGMENT的含义是(将文件中的段映射到进程地址空间)

2.cmdsize 代表load command的大小(0×58个字节)。

3.segname 16字节的段名字，当前是__PAGEZERO。

4.vmaddr 段的虚拟内存起始地址

5.vmsize 段的虚拟内存大小

6.fileoff 段在文件中的偏移量

7.filesize 段在文件中的大小

8.maxprot 段页面所需要的最高内存保护（4=r,2=w,1=x）

9.initprot 段页面初始的内存保护

10.nsects 段中包含section的数量

11.flags 其他杂项标志位

三、接下来就是节了：

Snip20150112_10

结构如下：

  struct section { 
     char sectname[16]; 
     char segname[16]; 
     uint32_t addr; 
     uint32_t size; 
     uint32_t offset; 
     uint32_t align; 
     uint32_t reloff; 
     uint32_t nreloc; 
     uint32_t flags; 
     uint32_t reserved1; 
     uint32_t reserved2;
 };
 