Soulghost

我们主要负责移动端 AR 和 3D 场景的应用级开发框架设计，以及技术和业务需求的承接。在这里你可以同时掌握专业级的客户端和 XR 开发技术，让你在客户端开发中脱颖而出。

本文主要介绍笔者在 QCon 2021 上海站的参会经历，以及对性能优化、未来数字世界、移动新趋势、人工智能和企业安全等议题的总结。

本文将解答以下几个问题： 1. 什么情况下会导致校验失败的 Crash？ 2. 内核实现校验的原理和过程； 3. 为什么连接调试器和越狱环境下即使出现了 JIT 内存也不会 Crash

这道题目要求和 AI 下一个 3x3 的井字棋，AI 先手且使用了一个不败的算法，最好的结果就是平局，而只有获胜我们才能拿到 flag。 这些能够完成一个 syscall 的调用，但却无法提供一个指向 /bin/sh 的指针，这就要求我们在 input 时在 payload 中…

众所周知，在使用 IDA 进行 iOS 逆向工程时，仅仅依赖静态分析很难直接确定方法的 Callers，借助于 Decompiler 和 IDA 自己的分析能力仅能分析出非常有限的 objc_msgSend 交叉引用。目前一般的解法是借助于动态调试的 backtrace 或是 …

在上一篇文章中我们介绍了 amfid 的 codesign 机制及其绕过，amfid 是 codesign 逻辑在 user mode 的一个 daemon，代表了 C/S 架构中的 Server。本文将介绍 kernel mode 的 amfi.kext，它是 amfid 的…

之前的文章我们介绍了从内核漏洞到 tfp0，再到 rootfs 系统可读写。单纯一个可读写的 rootfs 能做的事情还是非常有限的，为了能做更多事情我们往往要控制系统的 binary 或是分发自己的 binary 到系统。 为了能将自己或他人编写的 binary 在 iOS …

在之前的文章中我们介绍了 iOS 12 获取 tfp0 以及基于 tfp0 实现 kexec 的原理。从这篇文章开始我们开始分析 tfp0 和 kexec 之后的 jailbreak 环境布置原理，主要包括 rootfs 的读写与持久化、ssh 等远程服务的启动、非法签名代码的…

在 上一篇文章 中我们介绍了非 arm64e 下通过 IOTrap 实现 kexec 的过程。阻碍 arm64e 实现这一过程的主要因素是 PAC (Pointer Authentication Code) 缓解措施，在这一篇文章中我们将介绍 Undecimus 中绕过 PAC…

在 上一篇文章 中我们介绍了基于 String 的交叉引用定位内核数据的方法，基于此我们可以定位变量和函数地址。本文将介绍结合tfp0、String XREF 定位和 IOTrap 实现内核任意代码执行的过程。一旦达成这个 Primitive，我们就能以 root 权限执行内核…