Macos 如何在运行时为Mac上的任何应用程序找到objective-c方法?
例如,您有TextEdit应用程序,当您保存文件时,我想知道调用了哪些objective-c方法。我有使用类转储的Textedit文件头 有没有办法知道这些方法中的哪一个(我们从类转储输出的)在运行时被调用Macos 如何在运行时为Mac上的任何应用程序找到objective-c方法?,macos,reverse-engineering,ida,dtrace,hopper,Macos,Reverse Engineering,Ida,Dtrace,Hopper,例如,您有TextEdit应用程序,当您保存文件时,我想知道调用了哪些objective-c方法。我有使用类转储的Textedit文件头 有没有办法知道这些方法中的哪一个(我们从类转储输出的)在运行时被调用 使用dtrace有什么方法可以做到这一点吗?假设Objective-C方法直接转换为用户空间函数调用,您应该能够使用: 提供程序的pid pid提供程序使您能够跟踪 处理。与大多数其他提供程序不同,pid探测是在 根据在D程序中找到的探测器描述进行需求 用户功能边界跟踪 pid提供程序最简单
使用dtrace有什么方法可以做到这一点吗?假设Objective-C方法直接转换为用户空间函数调用,您应该能够使用: 提供程序的
pidpidpidpidfbt$1$2userfunc.dpid$1::$2:entry
{
self->trace = 1;
}
pid$1::$2:return
/self->trace/
{
self->trace = 0;
}
pid$1:::entry,
pid$1:::return
/self->trace/
{
}
# ./userfunc.d 15032 execute
dtrace: script './userfunc.d' matched 11594 probes
0 -> execute
0 -> execute
0 -> Dfix
0 <- Dfix
0 -> s_strsave
0 -> malloc
0 <- malloc
0 <- s_strsave
0 -> set
0 -> malloc
0 <- malloc
0 <- set
0 -> set1
0 -> tglob
0 <- tglob
0 <- set1
0 -> setq
0 -> s_strcmp
0 <- s_strcmp
...
#/userfunc.d 15032执行
dtrace:脚本“/userfunc.d”匹配了11594个探测
0->执行
0->执行
0->Dfix
0 s_strsave
0->malloc
0马洛克
0 tglob
0 s\u strcmp
0谢谢您提供的信息。但我需要更多。我有文本编辑的类转储。在这方面,我想了解-(BOOL)validateNuitem:(id)arg1;类文档是否执行。因此,我使用了您的脚本并使用dtrace-s userfunc.d 1102 validateNuitem执行。。。它说探针描述不匹配。怎么办???@hrishikeshchaudhari函数名可能不完全是validateNuitem
。很可能。我不熟悉OSX,不知道有什么实用程序可以在二进制文件中查找实际损坏的函数名<代码>字符串-a/bin/file | grep-i validateNuitempid$1:::entry{}