0×01 媒介

• 小夏是一名通俗Mac用户，某天，他计算尝尝思维导图来记录工作进修。
• 他问同事小芳：“Mac下有啥好用的思维导图软件?”
• 小芳：“XMind呀，很实用的思维导图软件。”
• 小夏：“那到哪里下载，要钱吗?”
• 小芳：“哎，你百度XMind破解版呀! 不须要花钱的，直接安装!”
• 小夏：“这么便利!我尝尝!”

Xmind是一款实用的思维导图软件，正版官网售价高达99刀, 这个价格当然对通俗用户无法遭受, 经由过程搜刮，很多站点都供给了破解版下载

比较雷同版本号的┞俘版和破解版, hash如下:

@interface NSString (AES) 
+ (id)AESDecrypt:(id)arg1 password:(id)arg2; 
+ (id)AESEncrypt:(id)arg1 password:(id)arg2; 
@end 
@interface NSString (Number) 
- (BOOL)isPureFloat; 
- (BOOL)isPureLongLong; 
- (BOOL)isPureInt; 
@end 

​dab95dbad19995aeb88cc5d1bb0a7912 XMind_orig //正版 v3.7.1 

目标：1、黑产不法售卖用户信息, 泄漏用户隐私2、告白推广, 获取盈利3、垂纶法律, 发送侵权律师函4、etc

0×02 样本概述

下面我们对钙揭捉?本具体分析

0×03 根本信息

在Mac应用中，OSX体系下的Mach-O是可履行文件格局，法度榜样跑起来解析Mach-O，然后链接体系的库文件以及第三方动态库。

我们应用MachOView进行解析

在可履行文件 Load Commands 字段中记录了法度榜样的加载指令，LC_LOAD_DYLIB是法度榜样加载的动态库，个中Name字段记录了该动态库的路径，平日法度榜样启动会根据该字段加载动态库。这里发明其加载了新增的两个动态库文件libcJFishPoolHook.dylib、libXMindHook.dylib。除此之外，XMind应用Java编写，移植到Mac平台，可履行文件也没有什么值得重点分析。

总结一下，重要做了如下工作:

• 法度榜样启动初始化，获取资本文件。
• 加载.ini设备文件，获得启动的参数键值对。
• 将参数解析，然后运行加载Library(Java打包的动态库).

直接比较正版和破解版的包目次，在包中我们发清楚明了多出来的2个dylib文件

libC.JFishPoolHook.dylib  
libXMindHook.dylib 

下面对这2个dylib进行具体分析

0×04 dylib分析

对于Mac/iOS中应用到的dylib，可以应用class-dump和hoppper结合进行反汇编分析。class-dump又是一款开源解析MachO利器，与MachOView类似的是，他可按照MachO偏移量，找寻符号表(Symbol Table)，大年夜而导出类名和办法名，然则他供给了诸多参数用于导出不合架构的MachO链接符号表。应用如下敕令导出类名办法名到文件中：

libC.JFishPoolHook.dylib  
libXMindHook.dylib 

　　推荐阅读

　　六个优雅的Linux命令行技巧

一些异常有效的敕令能让敕令行的生活更知足应用 Linux 敕令工作可以获得很多乐趣，然则如不雅您应用一些敕令，它们可以削减您的工作或以有趣的方法显示信息时，您将获得更多的乐趣。>>>详细阅读

本文标题：Mac下的破解软件真的安全吗？

地址：http://www.17bianji.com/lsqh/37041.html

 1/2    1