通过修改Mach-O中Load Commands进行全局进程劫持

Mach-O格式,是Machobject文件格式的缩写，是一种可执行文件、目标代码、共享程序库、动态加载代码和核心DUMP（摘自度娘），类似于Win环境的PE、Linux环境的ELF。

LoadCommands数据位于MachHeader数据之后，顾名思义为加载器命令。

Structureoverview

|--------------------------------

|MachHeader

|--------------------------------

|LoadCommand1

|LoadCommand2

|LoadCommandn

|--------------------------------

|Data

|--------------------------------

LoadCommand定义有诸多，比如LC_SEGMENT、LC_SYMTAB、LC_SYMSEG等等，更多的LC定义可在<mach-o/loader.h>头文件中找到。利用otool-l命令可以查看一个mach-o文件的LoadCommands。

利用LoadCommands进行进程劫持的大致思路如下：

1.找一个任意进程启动都会加载的dylib；

2.为dylib写入自定义shellcode；

3.修改/添加此dylib的LC_ROUTINES命令，指向shellcode；

4.替换原dylib。

每步骤原理：

1.找到一个任意进程都会加载的dylib，比如/usr/lib/dyld，这样就达到了全局范围的效果。

2.写入shellcode，比如执行一段dlopen的代码，打开指定动态库，或是什么。

3.当链接器加入-init选项时，LC_ROUTINES就会被加入到LoadCommands中，描述该dylib的入口。如此我们将原入口替换为shellcode的地址，在shellcode执行完再跳回原入口来运行自定义代码。

4.替换后开启任意进程看效果。

以上是本人的假设，还没经过实践。欢迎大家讨论