Mach-O
O que é Mach-O?
Mach-OMach-O e o formato nativo de executaveis, objetos e bibliotecas partilhadas usado por macOS, iOS, watchOS e tvOS para binarios produzidos pela toolchain da Apple.
Mach-O (Mach Object) e o formato binario utilizado pelos sistemas Apple, incluindo macOS, iOS, watchOS e tvOS. Um ficheiro Mach-O contem um cabecalho, uma lista de load commands que descrevem segmentos, informacao do linker dinamico, tabelas de simbolos e blocos de assinatura de codigo. Binarios universais (fat) agrupam fatias para varias arquiteturas como x86_64 e arm64. Em termos de seguranca, o Mach-O transporta requisitos de code signing aplicados pelo AMFI e Gatekeeper, entitlements de hardened runtime e metadados de notarizacao; analistas de malware examinam load commands, o LC_CODE_SIGNATURE embutido e o comportamento do dyld para detetar injecao, dylib hijacking e adulteracoes.
● Exemplos
- 01
Inspecionar um bundle .app malicioso com otool -l e codesign --display para detetar um LC_CODE_SIGNATURE adulterado.
- 02
Um atacante a usar DYLD_INSERT_LIBRARIES sobre um Mach-O nao assinado para carregar uma dylib maliciosa.
● Perguntas frequentes
O que é Mach-O?
Mach-O e o formato nativo de executaveis, objetos e bibliotecas partilhadas usado por macOS, iOS, watchOS e tvOS para binarios produzidos pela toolchain da Apple. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Mach-O?
Mach-O e o formato nativo de executaveis, objetos e bibliotecas partilhadas usado por macOS, iOS, watchOS e tvOS para binarios produzidos pela toolchain da Apple.
Como se defender contra Mach-O?
As defesas contra Mach-O costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Mach-O?
Nomes alternativos comuns: Mach Object, Binario Mach-O.