IOS逆向-恢复Dyld的内存加载方式

之前我们仍在使用由dyld及其NS Create Object File Image From Memory / NS Link Module API方法所使用的Mach-O捆包的内存创建方式。虽然这些方法我们今天仍然还在使用，但是这个工具较以往有一个很大的区别......现在很多模块都被持久化到了硬盘上。

@roguesys 在 2022 年 2 月发布公告称，dyld 的代码已经被更新，传递给 NSLinkModule 的任何模块都将会被写入到一个临时的位置中。

作为一个红队队员，这对于我们的渗透工作并没有好处。毕竟，NSLinkModule一个非常有用的api函数，理论上这个高性能函数可以使得我们的有效载荷不被对面的蓝队导弹轻易的打击发现。

因此，在这篇文章中，我们来仔细看看dyld的变化，并看看我们能做些什么来恢复这一功能，让我们的工具在内存中多保存一段时间，防止被蓝队过早的发现。首先，我们需要知道dyld的使用方法。它是一个简单的命令，可以在任何地方执行。如果你不想使用它，你可以将其删除。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!