apple-aslrtool

一个简单的工具，用于获取在苹果硅和英特尔Mac系统上特定进程的ASLR滑块。

功能

• 检测加固的运行时
  • 注意：如果您已禁用SIP，则此操作将始终返回false，因为加固的运行时由SIP强制执行。
  • 您可以通过使用codesign --remove-signature删除二进制的签名来从二进制文件中移除加固的运行时。
• 跨架构支持（x86_64二进制文件可以拉取aarch64任务的滑块，反之亦然）
  • 注意：您的里程可能会有所不同！ arm64e目前尚未官方支持，可能需要您进行额外的工作。

使用方法

• apple-aslrtool --pid=<pid>：使用PID获取给定进程的ASLR滑块。
• apple-aslrtool --name=<pid>：使用名称获取给定进程的ASLR滑块。将使用找到的第一个任务。 任何使用加固运行时的任务将被忽略！

如果您想覆盖默认的0x100000000值，也可以提供额外的--base-address标志。

需求

• x86_64-apple-darwin构建需要macOS 10.7或更高版本（在英特尔硬件上未进行测试）
• aarch64-apple-darwin构建需要macOS >= 11.0（仅在macOS 14上进行测试）