Xcode编译器里有鬼 – XcodeGhost 样本分析
Posted iOS开发by唐巧
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Xcode编译器里有鬼 – XcodeGhost 样本分析相关的知识,希望对你有一定的参考价值。
0x00 序
事情的起因是@唐巧_boy在微博上发了一条微博说到:一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入。
随后很多留言的小伙伴们纷纷表示中招,@谁敢乱说话表示:”还是不能相信迅雷,我是把官网上的下载URL复制到迅雷里下载的,还是中招了。我说一下:有问题的Xcode6.4.dmg的sha1是:a836d8fa0fce198e061b7b38b826178b44c053a8
,官方正确的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0
,大家一定要校验。”另外还有一位小伙伴表示他是在百度网盘上下载的,也中招了。
0x01 样本分析
在@疯狗 @longye的帮助下,@JoeyBlue_ 为我们提供了病毒样本:CoreService
库文件,因为用带这个库的Xcode编译出的app都会中毒,所以我们给这个样本起名为:XCodeGhost
。CoreService
是在”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/
”目录下发现的,这个样本的基本信息如下:
1
以上是关于Xcode编译器里有鬼 – XcodeGhost 样本分析的主要内容,如果未能解决你的问题,请参考以下文章 解密 | iOS Xcode黑客入侵事件:你要知道的10个问题 |