Confusión en la comprensión de la bifurcación de datos, bifurcación de recursos y el formato de archivo MachO cuando se ven todos juntos

1

Nota: soy un novato en el mundo OS X. Así que, por favor, tranquilízate si te pido algo noobish.

De acuerdo con lo que he leído / entendido: el diseño del archivo de MachO consta de un encabezado, comandos de carga y segmento de datos que contiene instrucciones ejecutables o datos. Pero después de leer sobre fork s (datos y recursos), estoy confundido.

Confusión: En HFS los archivos no son monolíticos y no consisten en un solo segmento. Los archivos Mac de Apple generalmente existen de dos archivos: la bifurcación de datos y la bifurcación de recursos. Tienen un nombre idéntico y Mac los muestra como un solo archivo. La bifurcación de recursos contiene el código del programa en ejecutables.

¿Cómo reflexioné aquí? Copié un archivo llamado nombre de archivo desde una Mac a mi pendrive y lo abrí en los archivos del resultado 2 de Windows. Nombre de archivo y nombre de archivo.

Pregunta: ¿Dónde encajan estos tenedores en el diseño del archivo? No hay ninguna mención en el diseño del archivo sobre las horquillas. ¿Están estas dos horquillas integradas para hacer un archivo de mach final? ¿Puede el ._nombre_de_archivo (bifurcación de recursos) tener código malicioso?

    
pregunta rebel87 19.05.2015 - 15:12

1 respuesta

4

El archivo ._filename no solo contiene la bifurcación de recursos, también contiene metadatos del buscador, en AppleDouble format .

La propia bifurcación de recursos se puede ver en un volumen HFS abriendo filename/..namedfork/rsrc . Las bifurcaciones y otros atributos extendidos se pueden listar usando ls -l@ .

Las bifurcaciones de recursos no son específicas del formato Mach-O (y no sé si se usan para ello), son una característica del sistema operativo Mac clásico que se usó ampliamente para archivos de aplicaciones clásicas, y podría almacene cosas como tablas de cadenas, imágenes de mapa de bits, etc.

El código malicioso se puede ocultar en cualquier lugar, un analizador de virus debería poder detectarlo incluso si está oculto en una bifurcación de recursos.

    
respondido por el Random832 19.05.2015 - 15:36

Lea otras preguntas en las etiquetas