क्या आप साइबर सुरक्षा कंपनी में काम कर रहे हैं? क्या आप अपनी कंपनी को हैकट्रिक्स में विज्ञापित देखना चाहते हैं? या आप PEASS की नवीनतम संस्करण देखना या HackTricks को PDF में डाउनलोड करना चाहते हैं? सदस्यता की योजनाएं देखें!
# Get demangled symbolsnm-Ccom.apple.driver.AppleJPEGDriver# Demangled symbols from stdinc++filt__ZN16IOUserClient202222dispatchExternalMethodEjP31IOExternalMethodArgumentsOpaquePK28IOExternalMethodDispatch2022mP8OSObjectPv
IOUserClient2022::dispatchExternalMethod(unsigned int, IOExternalMethodArgumentsOpaque*, IOExternalMethodDispatch2022 const*, unsigned long, OSObject*, void*)
IOKit उजागर कार्य जब कोई क्लाइंट किसी कार्य को कॉल करने की कोशिश करता है, तो अतिरिक्त सुरक्षा जांचें कर सकता है, लेकिन ध्यान दें कि एप्स सामान्यत: सैंडबॉक्स द्वारा सीमित होते हैं जिनके साथ IOKit कार्यों का उन्हें प्रभावित करने की अनुमति होती है।
ड्राइवर
macOS में वे यहाँ स्थित हैं:
/System/Library/Extensions
ओएस एक्स ऑपरेटिंग सिस्टम में बिल्ट इन KEXT फ़ाइलें।
जब तक संख्या 9 तक सूचीबद्ध ड्राइवर पता 0 में लोड किए गए हैं। इसका मतलब है कि ये वास्तविक ड्राइवर नहीं हैं बल्कि कर्नेल का हिस्सा हैं और उन्हें अनलोड नहीं किया जा सकता।
विशिष्ट एक्सटेंशन्स खोजने के लिए आप निम्नलिखित का उपयोग कर सकते हैं:
kextfind-bundle-idcom.apple.iokit.IOReportFamily#Search by full bundle-idkextfind-bundle-id-substringIOR#Search by substring in bundle-id
कर्नेल एक्सटेंशन को लोड और अनलोड करने के लिए करें:
IORegistry मैकओएस और आईओएस में IOKit framework का एक महत्वपूर्ण हिस्सा है जो सिस्टम की हार्डवेयर कॉन्फ़िगरेशन और स्थिति को प्रतिनिधित्व करने के लिए एक डेटाबेस का कार्य करता है। यह एक विभाजनात्मक संग्रह है जो सिस्टम पर लोड की गई सभी हार्डवेयर और ड्राइवर्स को प्रतिनिधित्व करने वाले ऑब्जेक्ट्स का संग्रह है, और उनके आपसी संबंधों को।
आप ioreg का उपयोग करके IORegistry को कंसोल से जांच सकते हैं (विशेष रूप से आईओएस के लिए उपयुक्त)।
ioreg-l#List allioreg-w0#Not cut linesioreg-p<plane>#Check other plane
आप IORegistryExplorer को https://developer.apple.com/download/all/ से Xcode Additional Tools से डाउनलोड कर सकते हैं और macOS IORegistry की ग्राफिकल इंटरफेस के माध्यम से जांच सकते हैं।
IORegistryExplorer में, "planes" का उपयोग विभिन्न ऑब्जेक्ट्स के बीच संबंधों को संगठित और प्रदर्शित करने के लिए किया जाता है। प्रत्येक plane एक विशिष्ट प्रकार के संबंध को प्रतिनिधित्व करता है या सिस्टम के हार्डवेयर और ड्राइवर कॉन्फ़िगरेशन का विशेष दृश्य प्रदर्शित करता है। यहां कुछ सामान्य planes हैं जो आप IORegistryExplorer में देख सकते हैं:
IOService Plane: यह सबसे सामान्य plane है, जो ड्राइवर्स और nubs को प्रतिनिधित करने वाले सेवा ऑब्ज
#import <Foundation/Foundation.h>
#import <IOKit/IOKitLib.h>
int main(int argc, const char * argv[]) {
@autoreleasepool {
// Get a reference to the service using its name
CFMutableDictionaryRef matchingDict = IOServiceMatching("YourServiceNameHere");
if (matchingDict == NULL) {
NSLog(@"Failed to create matching dictionary");
return -1;
}
// Obtain an iterator over all matching services
io_iterator_t iter;
kern_return_t kr = IOServiceGetMatchingServices(kIOMasterPortDefault, matchingDict, &iter);
if (kr != KERN_SUCCESS) {
NSLog(@"Failed to get matching services");
return -1;
}
// Get a reference to the first service (assuming it exists)
io_service_t service = IOIteratorNext(iter);
if (!service) {
NSLog(@"No matching service found");
IOObjectRelease(iter);
return -1;
}
// Open a connection to the service
io_connect_t connect;
kr = IOServiceOpen(service, mach_task_self(), 0, &connect);
if (kr != KERN_SUCCESS) {
NSLog(@"Failed to open service");
IOObjectRelease(service);
IOObjectRelease(iter);
return -1;
}
// Call a method on the service
// Assume the method has a selector of 0, and takes no arguments
kr = IOConnectCallScalarMethod(connect, 0, NULL, 0, NULL, NULL);
if (kr != KERN_SUCCESS) {
NSLog(@"Failed to call method");
}
// Cleanup
IOServiceClose(connect);
IOObjectRelease(service);
IOObjectRelease(iter);
}
return 0;
}
इसके अलावा IOConnectCallScalarMethod जैसे IOKit फ़ंक्शन को कॉल करने के लिए IOConnectCallMethod, IOConnectCallStructMethod जैसे अन्य फ़ंक्शन हो सकते हैं।
ड्राइवर एंट्रीपॉइंट का रिवर्सिंग
आप इन्हें उदाहरण के रूप में फर्मवेयर इमेज (ipsw) से प्राप्त कर सकते हैं। फिर, इसे अपने पसंदीदा डीकंपाइलर में लोड करें।
आप externalMethod फ़ंक्शन का डीकंपाइलिंग शुरू कर सकते हैं क्योंकि यह ड्राइवर फ़ंक्शन है जो कॉल प्राप्त करेगा और सही फ़ंक्शन को कॉल करेगा:
अब, (IOExternalMethodDispatch2022 *)&sIOExternalMethodArray का पालन करते हुए आप बहुत सारे डेटा देख सकते हैं:
डेटा प्रकार को IOExternalMethodDispatch2022: में बदलें:
बदलाव के बाद:
और जैसा कि हम अब वहाँ हैं, हमारे पास 7 तत्वों का एक सरणी है (अंतिम डीकंपाइल कोड की जांच करें), 7 तत्वों की एक सरणी बनाने के लिए क्लिक करें:
सरणी बनाई जाने के बाद आप सभी निर्यात किए गए कार्यों को देख सकते हैं:
अगर आप याद करते हैं, तो एकनिर्यात किए गए कार्य को यूजर स्पेस से कॉल करने के लिए हमें कार्य के नाम को नहीं, बल्कि सेलेक्टर नंबर को कॉल करने की आवश्यकता नहीं है। यहाँ आप देख सकते हैं कि सेलेक्टर 0 कार्य initializeDecoder है, सेलेक्टर 1startDecoder है, सेलेक्टर 2initializeEncoder है...