1.class-dump

class-dump是用來dump目標文件的類信息的工具。它利用Objective-C語言的runtime的特性，將存儲在mach-O文件中的@interface和@protocol信息提取出來，并生成對應的.h文件爬虱。官方介紹如下：

This is a command-line utility for examining the Objective-C runtime information stored in Mach-O files. It generates declarations for the classes, categories and protocols. This is the same information provided by using ‘otool -ov’, but presented as normal Objective-C declarations, so it is much more compact and readable.

1.1安裝class-dump

下載地址：http://stevenygard.com/projects/class-dump/。打開鏈接后，選擇class-dump-3.5.dmg讥裤，進行下載。下載完成之后姻报，將dmg文件中的class-dump復制到/usr/bin目錄己英，并在終端執(zhí)行如下執(zhí)行進行賦權：

然后運行class-dump指令，即可看到如下結果：

image

1.2使用class-dump

執(zhí)行指令：

【說明】：

• /Applications/Calculator.app：計算器app的路徑吴旋；
• /Users/GofLee/Desktop/CalculateHeads：存放dump結果的頭文件文件夾路徑损肛。

執(zhí)行上面的指令之后，我們可以在 /Users/GofLee/Desktop/CalculateHeads 目錄下看到生成的.h列表：

image

從上面的結果可以看到荣瑟，我們有了這些.h文件之后荧关，就可以初步了解目標App的程序結構。后面可以結合Reveal和cycript工具褂傀，更精準的分析目標App某個頁面的功能實現忍啤。

同樣的，我們也可以導出AppKit仙辟、UIKit的頭文件：

【注意】：有時class-dump指令會執(zhí)行失敗同波，無法得到想要的頭文件，或頭文件的內容是加密的密文叠国。出現這種情況是因為class-dump的作用對象必須是未經加密的可執(zhí)行文件未檩，一般App Store中下載的App都是經過簽名加密的，這個時候需要先進行砸殼粟焊。

2.class-dump-z

class-dump-z 是對 class-dump 和 class-dump-x 的改進版冤狡，完全用C++重寫孙蒙，避免動態(tài)調用，這使得 class-dump-z 比 class-dump 和 class-dump-x快10倍左右悲雳，并且可以在 Linux挎峦、Mac、 iPhone 上運行合瓢。

下載地址：https://code.google.com/archive/p/networkpx/wikis/class_dump_z.wiki

其他同class-dump坦胶。

3.砸殼：dumpdecrypted

第一步：源碼下載：https://github.com/stefanesser/dumpdecrypted

第二步：使用make指令編譯源碼；

前兩步也可以省略晴楔，直接下載編譯好的dumpdecrypted.dylib(需要使用與iOS設備系統相同的版本)顿苇。

做完前兩步之后，會生成一個dumpdecrypted.dylib文件税弃，我們通過IExplorer軟件纪岁，將這個文件拷貝到需要砸殼的App的Documents目錄，如下圖所示：

image

接下來则果，通過終端和手機建立連接蜂科，具體指令參看Cycript內容。

cd到對應App的Documents路徑短条，執(zhí)行指令：

指令執(zhí)行結果：

image

這時导匣，Documents目錄下多了一個“xxxx.decrypted”文件，將該文件拷貝到電腦茸时，繼續(xù)使用class-dump進行頭文件分析贡定。

如果經過上面的操作，還是不能得到想要的頭文件可都，那么有可能是代碼使用的 OC 和 Swift 混編缓待，而 class-dump 是利用的 OC 的運行時機制，所以有 Swift 的代碼沒法 dump 出來渠牲，那就只有直接用 IDA 看了旋炒。

【說明】：

a.怎么獲取 App的Documents路徑？

通過cycript指令签杈，根據應用進程瘫镇，進入到應用，然后執(zhí)行如下指令獲却鹄选：

b.怎么獲取App的可執(zhí)行文件路徑铣除？

通過打印進程信息，是可以直接得到可執(zhí)行文件路徑的鹦付，指令如下：

結果如下：

image

c.執(zhí)行指令尚粘，有可能遇到如下所示錯誤：

image

遇到該錯誤的時候，按如下步驟操作：

• 第一步：拷貝dumpdecrypted.dylib 文件到設備的 /usr/lib目錄下敲长；

• 第二步：切換到mobile用戶郎嫁，指令如下：

• 第三步：cd到 /var/mobile/Documents 目錄秉继，指令如下：

• 第四步：執(zhí)行如下指令：

• 第五步：在 /var/mobile/Documents 目錄下，可以看到 Evernote.decrypted 文件已經生成泽铛。

4.導出Frameworks 和 PrivateFrameworks 的頭文件

腳本可參考：https://github.com/EthanGHub/DumpFrameworks

下面標粗標紅的地方需要進行相應的修改：

復制代碼

復制代碼

命令執(zhí)行完尚辑，在用戶目錄下 會出現 Headers，里面包括了導出的Frameworks 和PrivateFrameworks 文件夾厚宰，如下圖所示：

image

5.參考資料

iOS app 逆向分析