Reverse Engineering

对于逆向工程师来说，保持一个干净、有序的脚本环境至关重要。为 IDA Pro 项目使用 Python 虚拟环境 (venv) 是管理依赖、避免冲突的最佳方式。 网上很多指南已经过时，推荐的方法已经不再适用。这篇文章提供一个现代、直接的方案——使用 IDA Pro 官方内置的 IDAPythonrc 启动脚本，在 macOS 上将 Python venv 连接到 IDA。 目标：自动加载 Venv 我们的目标很简单： 创建一个隔离的虚拟环境 (venv)。 使用 pip 在 venv 中安装任何 Python 包。 让 IDA Pro 每次启动时自动找到并使用这些包，无需手动操作。 现代方案：IDAPythonrc 脚本 过时的 activate_this.py 方法已经不可用——现代虚拟环境中不再包含这个脚本。正确的方法是直接告诉 IDA 的 Python 解释器你的包在哪里，通过修改 sys.path 实现。我们可以在 IDA 的用户目录中放置一个启动脚本来自动完成这个工作。 第 1 步：创建虚拟环境 首先，创建一个 venv 来存放你的工具。一个方便的位置是 IDA 的用户目录。 # 进入 IDA 用户目录 cd ~/.idapro # 创建名为 venv 的虚拟环境 python3 -m venv venv # 激活它来安装包 source venv/bin/activate # 安装你需要的包（例如 keystone-engine） pip install keystone-engine # 完成后退出 deactivate 第 2 步：创建 IDAPythonrc 启动脚本 ...

你是否想过窥探 iPhone 或 iPad 上的应用，观察它到底在处理什么数据？今天介绍一种简单而强大的方法——使用 Frida 动态获取 iOS 应用中 Block 的参数类型。 什么是 Block？ 在 iOS 编程中，Block 是一小段可以被传递、稍后执行的自包含代码。可以把它想象成你把电话号码（Block）给朋友，朋友在有重要事情时给你回电话。 有时你想精确观察这些 Block 接收了什么输入、产出了什么结果。Frida 可以在不修改应用原始代码的情况下帮你做到这一点。 Block 的内存结构 理解 Block 的内部结构有助于你准确地获取它的签名和参数信息。以下是 Block 的内存布局： struct Block_literal_1 { void *isa; // 指向 &_NSConcreteStackBlock 或 &_NSConcreteGlobalBlock int flags; // 标志位，指示 block 类型和属性 int reserved; // 保留字段 void (*invoke)(struct Block_literal_1 *, ...); // 指向 block 实现的函数指针 struct Block_descriptor_1 { unsigned long reserved; // 保留，通常为 NULL unsigned long size; // Block_literal_1 结构体的大小 // 可选的辅助函数 void (*copy_helper)(void *dst, void *src); // flag (1<<25) 置位时存在 void (*dispose_helper)(void *src); // flag (1<<25) 置位时存在 // 包含签名的 block 必须有此字段 const char *signature; // flag (1<<30) 置位时存在 } *descriptor; // 捕获的变量（如果有） }; Block 内部的 signature 提供了返回类型和参数类型等关键信息，是动态分析的基础。 ...