Theos安裝與配置
Theos是一個(gè)越獄開(kāi)發(fā)工具包辱姨,使用它可以創(chuàng)建Tweak項(xiàng)目,動(dòng)態(tài)Hook第三方程序振诬。GitHub鏈接:https://github.com/theos/theos ,官網(wǎng)安裝教程可以參考:https://github.com/theos/theos/wiki/Installation
安裝
-
安裝依賴(lài)庫(kù)
安裝Theos之前先安裝三個(gè)依賴(lài)庫(kù)蹭睡,dpkg、fakeroot和ldid
$ brew install ldid fakeroot $ brew install --from-bottle https://raw.githubusercontent.com/Homebrew/homebrew-core/7a4dabfc1a2acd9f01a1670fde4f0094c4fb6ffa/Formula/dpkg.rb $ brew pin dpkg-
ldid(作者:saurik )
維基百科:http://iphonedevwiki.net/index.php/Ldid越獄iPhone下的簽名工具(更改授權(quán)entitlements)赶么,可以為theos開(kāi)發(fā)的程序進(jìn)程簽名(支持在OS X和iOS上運(yùn)行)肩豁。
-
dpkg使用很簡(jiǎn)單
$ dpkg -i/-r deb包安裝/卸載 $ dpkg -s com.iosre.myiosreproject 查看安裝包信息?
-
- 檢查Mac電腦是否存在 /opt目錄,沒(méi)有自己創(chuàng)建一個(gè)。
$ cd /opt
- 在新建的/opt目錄下clone項(xiàng)目源碼
$ git clone --recursive https://github.com/theos/theos.git
- 下載完成后執(zhí)行以下命令辫呻,修改theos權(quán)限
$ sudo chown -R $(id -u):$(id -g) theos
-
修改環(huán)境變量
打開(kāi) ~/.bash_profile文件清钥,添加以下兩行
export THEOS=/opt/theos export PATH=/opt/theos/bin/:$PATH配置好后,命令行查看下是否成功放闺。
? theos git:(master) ? echo $THEOS /opt/theos如果你Mac安裝了omyzsh祟昭,可能上面配置后并不會(huì)成功,解決辦法是:在~/.zshrc中添加下面一行怖侦。
source ~/.bash_profile
?
第一個(gè)逆向工程
下面創(chuàng)建我們的第一個(gè)逆向程序篡悟,以創(chuàng)建一個(gè)SpringBoard的動(dòng)態(tài)庫(kù)為例。
創(chuàng)建項(xiàng)目
-
在你想創(chuàng)建項(xiàng)目的任一目錄下執(zhí)行命令
$ nic.pl 接著會(huì)出現(xiàn)一個(gè)列表讓你選擇創(chuàng)建項(xiàng)目的類(lèi)型, 我們輸入tweak前面的數(shù)字11匾寝。
Project Name (required): 提示輸入項(xiàng)目名稱(chēng)搬葬,我們可以叫SpringBoardTest。
Package Name [com.yourcompany.springboardtest]: 這里是讓輸入項(xiàng)目的包名艳悔,根據(jù)喜好隨便輸入踩萎。
Author/Maintainer Name [xxx]:這里是讓輸入作者名字,將來(lái)會(huì)在Cydia中顯示很钓。
[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]:這里是輸入你將要Hook程序的Bundle Identifier香府,我們以SpringBoard為例,所以這里輸入com.apple.springboard码倦。
iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard]:最后一步是輸入要Hook項(xiàng)目Mach-o文件名企孩,這里輸入SpringBoard。
項(xiàng)目目錄介紹
項(xiàng)目創(chuàng)建完成后袁稽,可以看到工程目錄有四個(gè)文件:Makefile勿璃、SpringBoardTest.plist、Tweak.xm 推汽、control
-
control文件
control文件記錄了deb包管理系統(tǒng)所需的基本信息补疑,會(huì)被打包進(jìn)deb包里。我們可以對(duì)他修改,添加一行自己的博客地址
Homepage: http://www.reibang.com/u/6fa5c59c9f2a -
SpringBoardTest.plist
包含我們要Hook項(xiàng)目的Bundle Identifier
-
Makefile
工程的配置信息歹撒,介紹可看如下注釋
//工程包含的通用頭文件 include $(THEOS)/makefiles/common.mk //創(chuàng)建工程時(shí)指定的“Project Name莲组,指定好之后一般不要再更改 TWEAK_NAME = SpringBoardTest //tweak包含的源文件,指定多個(gè)文件時(shí)用空格隔開(kāi) SpringBoardTest_FILES = Tweak.xm //tweak工程的頭文件暖夭,一般有application.mk锹杈、tweak.mk和tool.mk幾類(lèi) include $(THEOS_MAKE_PATH)/tweak.mk //指定tweak安裝之后,需要做的事情迈着,這里是殺掉SpringBoard進(jìn)程 after-install:: install.exec "killall -9 SpringBoard"補(bǔ)充:
//編譯debug或者release DEBUG = 0 //越獄iPhone的ip地址 THEOS_DEVICE_IP = 192.168.1.113 //指定支持的處理器架構(gòu) ARCHS = armv7 arm64 //指定需要的SDK版本iphone:Base SDK:Deployment Target TARGET = iphone:latest:8.0 //最新的SDK竭望,程序發(fā)布在iOS8.0以上 //導(dǎo)入框架,多個(gè)框架時(shí)用空格隔開(kāi) SpringBoardTest_FRAMEWORKS = UIKit SpringBoardTest_PRIVATE_FRAMEWORKS = AppSupport //鏈接libsqlite3.0.dylib裕菠、libz.dylib和dylib1.o SpringBoardTest_LDFLAGS = -lz –lsqlite3.0 –dylib1.o //make clean clean:: rm -rf ./packages/* -
Tweak.xm
文件后綴:“xm”中的“x”代表這個(gè)文件支持Logos語(yǔ)法咬清,如果后綴名是單獨(dú)一個(gè)“x”,說(shuō)明源文件支持Logos和C語(yǔ)法奴潘;如果后綴名是“xm”旧烧,說(shuō)明源文件支持Logos和C/C++語(yǔ)法。
%hook 指定需要hook的class萤彩,必須以%end結(jié)尾
-
%log 該指令在%hook內(nèi)部使用粪滤,將函數(shù)的類(lèi)名、參數(shù)等信息寫(xiě)入syslog
Cydia內(nèi)搜索安裝syslogd
%orig該指令在%hook內(nèi)部使用雀扶,執(zhí)行被鉤渍刃 (hook)的函數(shù)的原始代碼。
編譯工程
我們實(shí)現(xiàn)一個(gè)在手機(jī)中每次點(diǎn)擊Home鍵彈框的功能愚墓。
-
修改Tweak.xm文件如下
%hook SpringBoard - (void)_menuButtonDown:(id)down { UIAlertView *alert = [[UIAlertView alloc] initWithTitle:@"Hello予权,lecoding!" message:nil delegate:self cancelButtonTitle:@"OK" otherButtonTitles:nil]; [alert show]; %orig; // call the original _menuButtonDown: } %end -
修改Makefile文件
THEOS_DEVICE_IP = 109.168.1.2 這里的IP要修改為你自己越獄手機(jī)的內(nèi)網(wǎng)IP地址。也可以不寫(xiě)這行浪册,在命令行中指定扫腺。
DEBUG = 0 THEOS_DEVICE_IP = 109.168.1.2 ARCHS = armv7 arm64 TARGET = iphone:latest:8.0 include $(THEOS)/makefiles/common.mk TWEAK_NAME = MyFirstReProject MyFirstReProject_FILES = Tweak.xm MyFirstReProject_FRAMEWORKS = UIKit include $(THEOS_MAKE_PATH)/tweak.mk after-install:: install.exec "killall -9 SpringBoard" clean:: rm -rf ./packages/* -
編譯命令
在項(xiàng)目目錄依次執(zhí)行以下命令
make //編譯 make package //打包 make install //安裝執(zhí)行過(guò)程如下:
執(zhí)行make install 時(shí)會(huì)讓輸入兩次手機(jī)sshd的密碼。安裝成功后點(diǎn)擊手機(jī)Home鍵就會(huì)彈框村象。
手機(jī)中卸載Tweak方法
- 在Cydia中找到我們的項(xiàng)目笆环,點(diǎn)擊卸載
- ssh鏈接到手機(jī)攒至,使用
dpkg -r bundlID,bundlID是創(chuàng)建Tweak項(xiàng)目時(shí)輸入的包名躁劣。
Deb包介紹
執(zhí)行完make package這一步時(shí)迫吐,在項(xiàng)目目錄就會(huì)多了幾個(gè)目錄。
-
packages目錄存放著最終的deb包账忘。
deb包本質(zhì)是一個(gè)壓縮包文件志膀。里面包含一些特定的目錄和文件。安裝過(guò)程就是dpkg程序按照指定的規(guī)則去拷貝文件和執(zhí)行腳本鳖擒。
執(zhí)行以下命令可以查看Deb包的內(nèi)部目錄結(jié)構(gòu):
? packages dpkg -c com.wildcat.sbtest_0.0.1-1_iphoneos-arm.deb drwxr-xr-x lixingle/staff 0 2017-09-04 16:41 ./ drwxr-xr-x lixingle/staff 0 2017-09-04 16:41 ./Library/ drwxr-xr-x lixingle/staff 0 2017-09-04 16:41 ./Library/MobileSubstrate/ drwxr-xr-x lixingle/staff 0 2017-09-04 16:41 ./Library/MobileSubstrate/DynamicLibraries/ -rwxr-xr-x lixingle/staff 131984 2017-09-04 16:41 ./Library/MobileSubstrate/DynamicLibraries/SpringBoardTest.dylib -rw-r--r-- lixingle/staff 57 2017-09-04 16:41 ./Library/MobileSubstrate/DynamicLibraries/SpringBoardTest.plist .theos/_/DEBIAN : 該目錄主要存放control文件溉浙、及安裝和卸載時(shí)需要執(zhí)行的腳本等
.theos/_/Library : 目錄下是將要拷貝到手機(jī)相應(yīng)目錄的動(dòng)態(tài)庫(kù)和配置信息
-
腳本文件
preinst 在Deb包文件解包之前,將會(huì)運(yùn)行該腳本蒋荚。許多“preinst”腳本的任務(wù)是停止作用于待升級(jí)軟件包的服務(wù)戳稽,直到軟件包安裝或升級(jí)完成。 postinst 該腳本的主要任務(wù)是完成安裝包時(shí)的配置工作圆裕。許多“postinst”腳本負(fù)責(zé)執(zhí)行有關(guān)命令為新安裝或升級(jí)的軟件重啟服務(wù)广鳍。 prerm 該腳本負(fù)責(zé)停止與軟件包相關(guān)聯(lián)的daemon服務(wù)。它在刪除軟件包關(guān)聯(lián)文件之前執(zhí)行吓妆。 postrm 該腳本負(fù)責(zé)修改軟件包鏈接或文件關(guān)聯(lián)赊时,或刪除由它創(chuàng)建的文件。 dpkg打包時(shí)會(huì)復(fù)制當(dāng)前目錄下Layout目錄下的所有文件和目錄行拢,這些文件和目錄會(huì)鏡像到目標(biāo)設(shè)備上(Layout相對(duì)于設(shè)備的根目錄)
Logos語(yǔ)法
關(guān)于Logos語(yǔ)法可以看wiki學(xué)習(xí)祖秒。維基百科:http://iphonedevwiki.net/index.php/Logos
Tweak工作原理
Cydia Substrate 原名為 Mobile Substrate 已經(jīng)正式更名為 Cydia Substrate。它是越獄后cydia插件/軟件(主要指theos開(kāi)發(fā)的tweak)運(yùn)行的一個(gè)基礎(chǔ)依賴(lài)包舟奠。提供軟件運(yùn)行的公共庫(kù)竭缝,可以用來(lái)動(dòng)態(tài)替換內(nèi)存中的代碼、數(shù)據(jù)等所以iOS系統(tǒng)越獄環(huán)境下安裝絕大部分插件沼瘫,必須首先安裝Cydia Substrate抬纸。
Cydia Substrate主要由3部分組成:MobileHooker,MobileLoader 和 safe mode
MobileHooker
MobileHooker用于替換覆蓋系統(tǒng)的方法耿戚,這個(gè)過(guò)程被稱(chēng)為Hooking(掛鉤)
它主要包含兩個(gè)函數(shù):
void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP *result);
void MSHookFunction(voidfunction,void replacement,void** p_original);
MSHookMessageEx 主要作用于Objective-C函數(shù)
MSHookFunction 主要作用于C和C++函數(shù)
Logos語(yǔ)法%hook就是對(duì)此函數(shù)做了一層封裝湿故,讓編寫(xiě)hook代碼變的更直觀。
MobileLoader
MobileLoader 將tweak插件注入到第三方應(yīng)用程序中膜蛔。
啟動(dòng)時(shí)MobileLoader會(huì)根據(jù)/Library/MobileSubstrate/DynamicLibraries/目錄中plist文件指定的作用范圍坛猪,
有選擇的在第三方進(jìn)程空間里通過(guò)dlopen函數(shù)加載同名的dylib。
每一個(gè).dylib文件都會(huì)有一個(gè)同名的.plist文件皂股。
.plist文件的作用就是用來(lái)指定tweak插件的作用對(duì)象墅茉。
/Library/MobileSubstrate/DynamicLibraries/目錄中文件如下,會(huì)發(fā)現(xiàn)有一個(gè)我們剛創(chuàng)建的SpringBoardTest.dylib和SpringBoardTest.plist。
safe mode
- 因?yàn)锳PP程序質(zhì)量參差不齊崩潰再所難免,tweak本質(zhì)是dylib就斤,寄生在別人進(jìn)程里悍募,如果注入Springboard等。系統(tǒng)進(jìn)程一旦出錯(cuò)战转,可能導(dǎo)致整個(gè)進(jìn)程崩潰,崩潰后就會(huì)造成iOS癱瘓搜立。
- 所以CydiaSubstrate引入了安全模式,在安全模式下所有基于CydiaSubstratede 的三方dylib都會(huì)被禁用,便于查錯(cuò)與修復(fù)槐秧。
更多iOS、Swift忧设、iOS逆向最新文章請(qǐng)關(guān)注微信公眾賬號(hào):樂(lè)Coding刁标,或者微信掃描下方二維碼關(guān)注
icon.jpg
