Code Iterates, Minds Innovate

macOS AMFI Bypass：ObjC Runtime Swizzle 实战

Mon, 16 Mar 2026 00:00:00 +0000

在 Apple Silicon 上对 amfid 注入的完整分析，以及为什么 call-through ObjC swizzle 在常见注入手段失效时仍可行。

CVE-2026-20660：CFNetwork NSGZipDecoder 路径穿越导致任意文件写入

Tue, 10 Mar 2026 00:00:00 +0000

CVE-2026-20660 的 1-day 分析——Apple CFNetwork 中 NSGZipDecoder 的路径穿越漏洞，可通过恶意 gzip FNAME 头实现任意文件写入。

在 macOS 上为 IDA Pro 配置 Python 虚拟环境的简明指南

Thu, 02 Oct 2025 00:00:00 +0000

对于逆向工程师来说，保持一个干净、有序的脚本环境至关重要。为 IDA Pro 项目使用 Python 虚拟环境 (venv) 是管理依赖、避免冲突的最佳方式。

网上很多指南已经过时，推荐的方法已经不再适用。这篇文章提供一个现代、直接的方案——使用 IDA Pro 官方内置的 IDAPythonrc 启动脚本，在 macOS 上将 Python venv 连接到 IDA。

目标：自动加载 Venv

我们的目标很简单：

创建一个隔离的虚拟环境 (venv)。
使用 pip 在 venv 中安装任何 Python 包。
让 IDA Pro 每次启动时自动找到并使用这些包，无需手动操作。

现代方案：`IDAPythonrc` 脚本

过时的 activate_this.py 方法已经不可用——现代虚拟环境中不再包含这个脚本。正确的方法是直接告诉 IDA 的 Python 解释器你的包在哪里，通过修改 sys.path 实现。我们可以在 IDA 的用户目录中放置一个启动脚本来自动完成这个工作。

第 1 步：创建虚拟环境

首先，创建一个 venv 来存放你的工具。一个方便的位置是 IDA 的用户目录。

# 进入 IDA 用户目录
cd ~/.idapro

# 创建名为 venv 的虚拟环境
python3 -m venv venv

# 激活它来安装包
source venv/bin/activate

# 安装你需要的包（例如 keystone-engine）
pip install keystone-engine

# 完成后退出
deactivate

第 2 步：创建 IDAPythonrc 启动脚本

如何用 Frida 动态获取 ObjC Block 的参数类型

Sun, 11 May 2025 00:00:00 +0000

你是否想过窥探 iPhone 或 iPad 上的应用，观察它到底在处理什么数据？今天介绍一种简单而强大的方法——使用 Frida 动态获取 iOS 应用中 Block 的参数类型。

什么是 Block？

在 iOS 编程中，Block 是一小段可以被传递、稍后执行的自包含代码。可以把它想象成你把电话号码（Block）给朋友，朋友在有重要事情时给你回电话。

有时你想精确观察这些 Block 接收了什么输入、产出了什么结果。Frida 可以在不修改应用原始代码的情况下帮你做到这一点。

Block 的内存结构

理解 Block 的内部结构有助于你准确地获取它的签名和参数信息。以下是 Block 的内存布局：

struct Block_literal_1 {
    void *isa; // 指向 &_NSConcreteStackBlock 或 &_NSConcreteGlobalBlock
    int flags; // 标志位，指示 block 类型和属性
    int reserved; // 保留字段
    void (*invoke)(struct Block_literal_1 *, ...); // 指向 block 实现的函数指针
    struct Block_descriptor_1 {
        unsigned long reserved;     // 保留，通常为 NULL
        unsigned long size;         // Block_literal_1 结构体的大小
        // 可选的辅助函数
        void (*copy_helper)(void *dst, void *src);     // flag (1<<25) 置位时存在
        void (*dispose_helper)(void *src);             // flag (1<<25) 置位时存在
        // 包含签名的 block 必须有此字段
        const char *signature;                         // flag (1<<30) 置位时存在
    } *descriptor;
    // 捕获的变量（如果有）
};

Block 内部的 signature 提供了返回类型和参数类型等关键信息，是动态分析的基础。

如何在 Mac 上搭建 PWN 调试环境

Tue, 15 Apr 2025 00:00:00 +0000

下载并安装 UTM，可以用命令：

brew install --cask utm

从 https://releases.ubuntu.com/22.04/ 下载镜像并安装。

然后在 Ubuntu 虚拟机中安装 gdbserver：

sudo apt install gdbserver

如果需要调试 32 位可执行文件，还需要执行：

sudo dpkg --add-architecture i386
sudo apt update
sudo apt install libc6:i386 libncurses5:i386 libstdc++6:i386

环境搭建完成后，在 Ubuntu 虚拟机中运行：

gdbserver :1234 ./test

在 Mac 上使用以下命令连接：

gdb ./test \
  -ex "target extended-remote 192.168.64.13:1234"

记得替换 IP 地址和端口。

在 Mac 上执行：

gdb ./pwn101-1644307211706.pwn101 \
  -ex "target extended-remote gdbserver.local:1234" \
  -ex "set remote exec-file /home/gdb/pwn101-1644307211706.pwn101" \
  -ex "break main"

注意：target extended-remote 192.168.64.13:1234 必须是第一条命令，否则不会生效。你也可以用 pwndbg 来运行调试器。

关于

Mon, 01 Jan 0001 00:00:00 +0000

关于这个博客与作者