前言:
最近剛剛接觸逆向這一塊领炫,之前一直覺得是很高大上的一個方向,有點可望而不可即的樣子张咳。機(jī)緣巧合之下帝洪,開始了逆向之路,這兩天一直在研究這一塊脚猾,目前僅僅是砸了殼葱峡,得到了.h文件然后用hopper進(jìn)行了簡單的分析。所以這篇文章主要分享一下這幾天遇到的坑以及解決方法龙助,做一個記錄同時也希望能幫助到跟我一樣的人砰奕。OK,話不多說提鸟,開始军援。
1、開發(fā)的準(zhǔn)備工作
- 首先需要一部iPhone或者iPad称勋,iPhone的話版本要在10.2.0以下胸哥。我用的是全新的6s,初始版本是10.0.2铣缠,是可以越獄的烘嘱。
- 關(guān)于越獄的話,我是直接用的PP助手蝗蛙,傻瓜式的越獄方式啊哈哈蝇庭。因為手機(jī)版本的問題,Mac版的PP越獄助手支持的版本在iOS 10以下捡硅,所以用的Windows版的pp助手哮内,直接一鍵越獄。當(dāng)然也可以用其他的軟件,愛思助手等等北发。
- 越獄過程很順利越獄教程鏈接 照著教程來沒有遇到問題纹因。如果遇到問題可以到論壇上提問也可以在文章末提出來,可以一起交流琳拨。
- 記得在Cydia里面添加一些必要的軟件源和插件瞭恰,軟件源的話我只添加了PP助手的,插件的話狱庇,Openssh惊畏、Cycript、Apple File Conduit"2" 這幾個密任,很多是內(nèi)置了颜启。
2、開始逆向的第一步
有些從 APPStore 商店下載安裝的APP 默認(rèn)都被蘋果加了一層殼浪讳,加了殼后我們就無法使用dump導(dǎo)出頭文件等其它操作缰盏,常用的砸殼工具有dumpdecrypted、Clutch淹遵、AppCrackr口猜。
這里我們使用dumpdecrypted砸殼。下載地址合呐。通過make命令得到的dumpdecrypted.dylib就是我們的工具暮的。
- “砸殼” :概括一下大概需要這幾個步驟笙以,
1淌实、手機(jī)或者iPad中打開需要砸殼的APP。
2猖腕、SSH連接到手機(jī)拆祈,找到ipa包的位置并記錄下來。
3倘感、Cycript附加到進(jìn)程放坏,找到App的Documents文件夾位置并記錄下來。
4老玛、拷貝dumpdecrypted.dylib 到App的Documents 的目錄淤年。
5、執(zhí)行砸殼后蜡豹,并拷貝出砸殼后的文件麸粮,然后完成。
第一步:分別找到兩個地址
我這里用的是WiFi連接镜廉,使用上有一定的局限性弄诲,更好的方案是使用USB連接,推薦兩篇文章娇唯,之后我也會用USB進(jìn)行連接齐遵。debugserver和lldb進(jìn)行調(diào)試寂玲、iOS逆向工程之Hopper+LLDB調(diào)試第三方App .
用到的命令:
1, ssh root@10.10.245.208 (iP地址為設(shè)備的iP地址)
2, ps -e (查看進(jìn)程)
3, cycript -p (附加進(jìn)程)
4, [[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory
inDomains:NSUserDomainMask][0]
** 注意: ** 如果直接用IP地址不可以的話,可以打開電腦的pp助手梗摇,在工具里面有一個“打開ssh通道”拓哟,手動打開之后,彈窗會提示將設(shè)備的IP地址端口映射到了本地伶授,并且給出了提示如何進(jìn)入root權(quán)限彰檬,比如,ssh root@localhost -p 2223,密碼都是默認(rèn)的alpine谎砾,輸入后即可進(jìn)入了逢倍。
iOS逆向-用Cycript進(jìn)行運(yùn)行時分析(微信應(yīng)用),iOS運(yùn)行時工具-Cycript 景图。 這兩篇文章可以了解一下Cycript较雕。
第二步:拷貝dumpdecrypted.dylib 到App的Documents的目錄,需要用到的命令:
scp ~/dumpdecrypted.dylib root@10.10.242.107:/var/mobile/Containers/Data/Application/2B4C6281-C015-4FF3-A8EC-5E5C7554D447/Documents 利用Scp命令進(jìn)行拷貝)
第三步 :砸殼
進(jìn)入到 Documents 目錄下挚币,然后進(jìn)行砸殼:
需要用到的命令:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/
Application/BFED82A3-3238-4F41-B797-C1CB584CBE05/qqlive.app/qqlive
然后就會生成.decrypted的文件亮蒋,這個就是砸殼后的文件。我們接下來就可以對他做操作了妆毕,比如導(dǎo)出頭文件慎玖。
** 注意: ** 我在這里遇到問題了,一是無法用IP進(jìn)行連接拷貝動態(tài)庫笛粘,二是當(dāng)我手動把動態(tài)庫拷貝到documents/下面然后去進(jìn)行砸殼的時候提示我趁怔,dyld: could not load inserted library 'dumpdecrypted.dylib' because no suitable image found. Did find:
dumpdecrypted.dylib: required code signature missing for 'dumpdecrypted.dylib'
錯誤。
- 在這里我一并解答薪前,關(guān)于拷貝的話润努,可以直接手動拷貝的,用PP助手示括、iExplorer铺浇、IFunBox都可以。那為什么砸殼還失敗呢垛膝,那是因為這里編譯出的動態(tài)庫還需要做一個簽名鳍侣。步驟如下:
- 列出可簽名證書
security find-identity -v -p codesigning - 為dumpecrypted.dylib簽名
codesign --force --verify --verbose --sign "iPhone Developer: xxx xxxx (xxxxxxxxxx)" dumpdecrypted.dylib
之后重新上傳砸殼既可。
第四步:拷貝出.decrypted文件并導(dǎo)出頭文件
輸入命令:
class-dump -S -s -H xxx.decrypted -o ./Headers (前面是脫殼文件的位置吼拥,后面是導(dǎo)出.h文件的目標(biāo)文件夾)
** 如果倚聚, **沒有成功,不要緊張扔罪,應(yīng)該是導(dǎo)出頭文件時指定的ARM架構(gòu)不正確秉沼。所以,解決方法如下:
armv6:iPhone、 iPhone2唬复、iPhone3G矗积、 第一代和第二代iPod Touch
armv7: iPhone4、 iPhone4S
armv7s: iPhone5敞咧、iPhone5C
arm64: iPhone5S棘捣、iPhone6、iPhone6s
使用class-dump的--arch配置項來指定了具體的架構(gòu)休建,例如
class-dump --arch armv7 -S -s -H WeChat.decrypted -o ./Headers
-
操作步驟和結(jié)果如下圖所示, 導(dǎo)出成功乍恐,你可以慢慢的分析了。
演示4
簡單說一下Hopper disassembler
下方就是使用Hopper打開“脫殼”文件的效果测砂。當(dāng)然茵烈,你也可以使用IDA Pro來查看,當(dāng)然此處我們使用的是Hopper砌些。從下方的截圖來看呜投,結(jié)果是OK的。
至此存璃,分享告一段落仑荐。
等接下來繼續(xù)研究反編譯。
再有技術(shù)問題一起交流纵东。
在學(xué)習(xí)以及研究過程中粘招,感謝在網(wǎng)絡(luò)上無私分享的那些人,是你們在不經(jīng)意間幫助了很多人偎球,很開心能有這樣的技術(shù)氛圍~
書籍的話在看《iOS應(yīng)用逆向工程》第二版 洒扎,受益匪淺
博客的話也學(xué)習(xí)了幾篇文章,iOS逆向工程之砸殼 甜橱、iOS逆向之脫殼逊笆。
寫此篇分享是在高鐵上栈戳,一邊享受回家的愉悅一邊匯總著知識點岂傲。如有不足敬請指出。
希望能和志同道合之人多多交流子檀,共同提高镊掖。
