hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-files-folders-and-binaries/macos-bundles.md

macOS Bundles

从零到英雄学习AWS黑客技术，通过 htARTE (HackTricks AWS Red Team Expert)！

支持HackTricks的其他方式：

• 如果您想在HackTricks中看到您的公司广告或以PDF格式下载HackTricks，请查看订阅计划！
• 获取官方PEASS & HackTricks商品
• 发现PEASS家族，我们独家的NFTs系列
• 加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

基本信息

基本上，bundle是文件系统内的目录结构。有趣的是，默认情况下，这个目录在Finder中看起来像一个单一对象。

我们经常遇到的常见bundle是**.app bundle**，但许多其他可执行文件也被打包成bundle，例如**.framework** 和 .systemextension 或 .kext。

bundle内包含的资源类型可能包括应用程序、库、图像、文档、头文件等。所有这些文件都在 <application>.app/Contents/ 内。

ls -lR /Applications/Safari.app/Contents

• Contents/_CodeSignature -> 包含应用程序的代码签名信息（例如，哈希等）。

• openssl dgst -binary -sha1 /Applications/Safari.app/Contents/Resources/Assets.car | openssl base64

• Contents/MacOS -> 包含应用程序的二进制文件（当用户在UI中双击应用程序图标时执行）。

• Contents/Resources -> 包含应用程序的UI元素，如图片、文档和nib/xib文件（描述各种用户界面）。

• Contents/Info.plist -> 应用程序的主要“配置文件”。苹果指出，“系统依赖于此文件的存在来识别有关[应用程序]及任何相关文件的信息”。

• Plist文件包含配置信息。您可以在https://developer.apple.com/library/archive/documentation/General/Reference/InfoPlistKeyReference/Introduction/Introduction.html找到有关plist键含义的信息。

• 在分析应用程序时可能感兴趣的键值对包括：

• CFBundleExecutable

包含应用程序二进制文件的名称（位于Contents/MacOS中）。

• CFBundleIdentifier

包含应用程序的捆绑标识符（系统经常用它来全局 识别应用程序）。

• LSMinimumSystemVersion

包含应用程序兼容的最旧的macOS版本。

通过 htARTE (HackTricks AWS Red Team Expert)从零到英雄学习AWS黑客攻击！

支持HackTricks的其他方式：

• 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF，请查看订阅计划！
• 获取官方PEASS & HackTricks商品
• 发现PEASS家族，我们独家的NFTs系列
• 加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。