|
[求助][讨论]刚开始分析太极越狱,疑惑一堆.....
这篇文章不是说的很清楚: At first glance, what's interesting is that there are no direct dependencies on Apple's libraries (CoreFoundation, AppleMobileDevice, iTuneSMobileDevice and friends) even though they are clearly used. The mystery was clearly solved by looking at the file system, wherein a small DLL appeared in the temp directory - TaiXXX.tmp, wherein XXX is a temporary file name. The file is easily recognizable as a DLL (MZ..). Further, looking at TaiG through SysInternals' Process Explorer one could see the DLL was loaded, and had a thread - CreateDevHelp - which is an exported symbol. Its "true name", btw, is TGHelp.dll. 这个程序运行起来后,会从资源包中解出.rsrc\ZIPDLL\106这个动态库,以线程的方式在后台运行,和前台的GUI通信,更新显示状态。 这个动态库会从注册表中找到Apple程序安装的位置,并隐式加载CoreFoundation.dll、MobileDevice.dll、iTunesMobileDevice.dll和AirTrafficHost.dll 从中定位到核心函数的入口点。启动Apple Mobile Device服务。 .text:00414C2E call ds:FindResourceW ZIPDLL\106 |
|
[原创]计算iOS固件img3文件key的方法
解开ipsw固件,找到iboot程序,找到对应版本的IV和KEY,使用xpwntool解密,方法和kernelcache一样。不一样的是iboot是bin格式文件,去掉解密后的img3文件头,开始的部分是异常向量表。例如: RAM:9FF00000 B _arm_reset RAM:9FF00000 ; END OF FUNCTION CHUNK FOR _arm_reset RAM:9FF00004 ; --------------------------------------------------------------------------- RAM:9FF00004 LDR PC, =_off_arm_undefined_handler RAM:9FF00008 ; --------------------------------------------------------------------------- RAM:9FF00008 LDR PC, =_off_arm_syscall_handler RAM:9FF0000C ; --------------------------------------------------------------------------- RAM:9FF0000C LDR PC, =_off_arm_prefetch_abort_handler RAM:9FF00010 ; --------------------------------------------------------------------------- RAM:9FF00010 LDR PC, =_off_arm_data_abort_handler RAM:9FF00014 ; --------------------------------------------------------------------------- RAM:9FF00014 LDR PC, =_off_arm_reserved_handler RAM:9FF00018 ; --------------------------------------------------------------------------- RAM:9FF00018 LDR PC, =_off_arm_irq_handler RAM:9FF0001C ; --------------------------------------------------------------------------- RAM:9FF0001C LDR PC, =_off_arm_fiq_handler |
|
[原创]Pangu8越狱中所用 /usr/libexec/neagent 漏洞原理分析
8的不清楚。ideviceimagemounter.exe在iOS8上能用么? 你的问题是有签名的ddi也mount失败还是说race condition条件难以达到? 如果是race condition我觉得用python执行效率低,来进行碰撞可能有难度。 |
|
|
|
[原创]盘古越狱工具在用户空间的行为
基础在libimobiledevice 重点在通过lockdown和iOS系统服务通讯 核心在Untecher 太极团队回归 iOS 8.1.1完美越狱发布 据说这个工具木有壳。 我理解可以先编译下libimobiledevice试试,用用下面这些小工具,然后对着源码看看会有帮助。 $ idevice idevice_id.exe ideviceimagemounter.exe idevicebackup.exe ideviceinfo.exe idevicebackup2.exe idevicename.exe idevicedate.exe idevicepair.exe idevicedebug.exe ideviceprovision.exe idevicedebugserverproxy.exe idevicescreenshot.exe idevicediagnostics.exe idevicesyslog.exe ideviceenterrecovery.exe |
|
[原创]越狱的苹果iPhone5 锁屏密码 破解演示视频
\iphone-dataprotection\ramdisk_tools\systemkb_bruteforce.c 话说Jean Sigwald是个好人,我之前问他问题他都答复的。 |
|
[原创]mach-o文件格式学习记录
加载器一般要装载执行文件,解决外部符号引用,建立runtime环境。 你对这个感兴趣可以看: https://www.opensource.apple.com/tarballs/dyld/ |
|
[原创]盘古越狱工具在用户空间的行为
赞一个,要是能告诉我为什么可以实现“向系统目录写入文件”,例如利用哪个系统服务的检测漏洞就完美了。 |
|
[求助]Hopper Disassembler有木有类似IDA flair的工具?
我觉得首先Hopper Disassembler必须提供接口(无论是脚本还是sdk)让你可以将符号名加进去,否则你就手动完成吧。 最简单的方法是: 1. 用和目标库生成时一致的编译器版本和参数编译目标库。 2. 用ida的签名工具生成库签名 3. 用ida加载签名,解析目标程序里的符号 4. ida File->Produce File->Dump database to IDC file ... 5. 写程序解析出idc文件中的MakeName,将地址和对应的符号名,通过Hopper Disassembler的接口导入。 其实flair计算签名的方法是有文档说明的。 你可以参考: http://bbs.pediy.com/showthread.php?t=152646 如果Hopper Disassembler提供SDK,你可以写个插件试试。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值