dumpdecrypted是iOS砸殼過(guò)程中經(jīng)常使用方法之一嫂沉,使用dumpdecrypted的前提是需要獲取應(yīng)用沙盒和可執(zhí)行文件的路徑扼雏,目前我遇到的兩種情況dumpdecrypted無(wú)能為力昼蛀,只能通過(guò)Clutch實(shí)現(xiàn)。與dumpdecrypted相比Clutch更“暴力”得封,但功能更強(qiáng)大汽久。
- 應(yīng)用部分功能使用動(dòng)態(tài)鏈接庫(kù)實(shí)現(xiàn),而動(dòng)態(tài)鏈接庫(kù)不在應(yīng)用二進(jìn)制文件中道媚,在Bundle的其他目錄扁掸,此時(shí)想解密這些動(dòng)態(tài)鏈接庫(kù)dumpdecrypted就GG
- 應(yīng)用一啟動(dòng)會(huì)判斷設(shè)備是否越獄,如果為越獄設(shè)備則應(yīng)用直接退出最域,根本無(wú)法獲取進(jìn)程信息谴分,dumpdecrypted完全無(wú)用,如果想分析這樣的應(yīng)用除了砸殼之外還需要patch代碼镀脂,所以通過(guò)如下指令不但可以砸殼而且還可以獲取ipa文件牺蹄,patch二進(jìn)制文件之后重簽名就可以正常運(yùn)行了。
iPhone:/ root# ./Clutch-2.0.4 --print-installed
Installed apps:
1: 網(wǎng)易云音樂(lè) <com.netease.cloudmusic>
······
iPhone:/ root# ./Clutch-2.0.4 -d 5
2017.12.21 update
使用dumpdecrypted和Clutch解密文件encryption_info_command處理稍有差別
1
圖1中上為Clutch薄翅,由于cryptid仍為1所以class-dump仍認(rèn)為它為加密文件
