KernBypass防护偏移

offset_init()中2个偏移

iOS Jailbreak Principles 0x01 - rootfs remount r/w 原理 - 掘金

off_vnode_iocount = 0x64;

 off_vnode_usecount = 0x60;//用户引用计数

在 iOS 中 rootfs 是从 /dev/disk0s1s1 或 system-snapshot 挂载的文件系统，其中包含了操作系统（/System/Library/Caches/com.apple.kernelcaches/kernelcache）

这里get_boot_path()得到这个地址。

要找到 rootfs 的 vnode 有两个思路

1. 通过 XREF 方案在内核中定位 rootvnode 全局变量；
2. 找到一个系统进程，通过 proc 对象的 p_textvp 找到其 vnode，再通过 vnode 链表回溯到 rootfs vnode。

在内核中，我们必须手动计算结构体的偏移量。这可以通过许多方式来实现。我们可以手工计算，也可以反汇编引用这些结构成员的函数，或者还可以从XNU源代码中获取头文件（需要感谢苹果开源），并尝试将它们包含到可编译项目中，然后只需使用内置函数“offsetof(struct type, member)”即可。

偏移查找：

反汇编

• 在XNU的开源函数中找到您正在查找的结构成员的引用
• 使用Apple文件传输“2”或Cyberduck将内核缓存从设备上取出，然后使用lzssdec进行解压（更新：在iOS 12上，您需要从ipsw / OTA软件包中获取它；不再有对kernelcache的读取访问权限）
• 将其放入反汇编器中，例如Hopper
• 找到相同的开源函数（如果找不到，那么并非所有内容都已符号化，请查找另一个）
• 查找相同的引用，这种情况下不会像“struct.member”或“struct->member”那样，而是像我在先前的示例中展示的那样，使用指针，因此是这样的“*(struct + offset)”