iOS逆向, 基礎(chǔ)工具之dumpdecrypted

我們可以正常dump系統(tǒng)APP的頭文件, 但是App Store下載的應(yīng)用是加密后, 無法直接用class-dump進(jìn)行dump頭文件, 這個(gè)時(shí)候就要用到這篇文件的dumpdecrypted, 把加密的APP砸殼后dump, 感謝開發(fā)這些工具的大佬們~

環(huán)境iPhone5c iOS 10.3.3

下載地址
github

進(jìn)行clone并make

$git clone https://github.com/stefanesser/dumpdecrypted.git
Cloning into 'dumpdecrypted'...
remote: Counting objects: 31, done.
remote: Total 31 (delta 0), reused 0 (delta 0), pack-reused 31
Unpacking objects: 100% (31/31), done.

$cd dumpdecrypted 
$make
`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c 
`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -dynamiclib -o dumpdecrypted.dylib dumpdecrypted.o
ld: warning: directory not found for option '-F/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS11.3.sdk/System/Library/PrivateFrameworks'
ld: warning: directory not found for option '-F/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS11.3.sdk/System/Library/PrivateFrameworks'
ld: warning: directory not found for option '-F/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS11.3.sdk/System/Library/PrivateFrameworks'

執(zhí)行完make后會(huì)在當(dāng)前目錄生成一個(gè)dumpdecrypted.dylib 文件 這就是去砸殼的榔頭.

$ls
Makefile            README              dumpdecrypted.c     dumpdecrypted.dylib dumpdecrypted.o

現(xiàn)在進(jìn)入手機(jī)尋找想要砸殼的APP的路徑, storeAPP的可執(zhí)行文件都存放在/var/containers/Bundle/Application/ 中

$ls /var/containers/Bundle/Application/
017E448E-7AB7-4619-9F2E-32F9FD02D476  13F95CDA-3F8A-4A8A-8E33-A9D3D896B1CD  3D3F3796-B24C-405C-A257-88F7E0D8BC0C  68A0B1EE-F924-404B-AE6B-DDEB3E996F47

我們無法分別哪個(gè)文件夾是..那么我們就用ps命令來過濾一下

避免干擾, 殺掉所有APP進(jìn)程, 只保留你要砸殼的那一個(gè).

$ps -e | grep /var/containers/Bundle/Application/
 1387 ??         0:02.25 /var/containers/Bundle/Application/68A0B1EE-F924-404B-AE6B-DDEB3E996F47/SeekingArrangement.app/SeekingArrangement
 1408 ttys000    0:00.00 grep /var/containers/Bundle/Application/

我們找到了這個(gè)68A0B1EE-F924-404B-AE6B-DDEB3E996F47/SeekingArrangement.app/SeekingArrangement

然后再用cycript來找出對應(yīng)APP的documents目錄

$cycript -p 1387
cy# [[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask][0]
#"file:///var/mobile/Containers/Data/Application/9EE3F784-AAC6-458E-9502-DDD264AFA7A1/Documents/"

然后將剛才的dumpdecrypted.dylib拷貝到這個(gè)目錄下

$scp dumpdecrypted.dylib root@192.168.6.52:/var/mobile/Containers/Data/Application/9EE3F784-AAC6-458E-9502-DDD264AFA7A1/Documents/
root@192.168.6.52's password: 
dumpdecrypted.dylib                                                                                                                             100%  193KB   2.1MB/s   00:00

然后找到剛才用ps -e找出來的可執(zhí)行文件, 開始進(jìn)行砸殼

$DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/68A0B1EE-F924-404B-AE6B-DDEB3E996F47/SeekingArrangement.app/SeekingArrangement

中途可能會(huì)出現(xiàn)這個(gè)問題

dyld: could not load inserted library 'dumpdecrypted.dylib' because no suitable image found.  Did find:
    dumpdecrypted.dylib: required code signature missing for 'dumpdecrypted.dylib'

    /private/var/mobile/Containers/Data/Application/9EE3F784-AAC6-458E-9502-DDD264AFA7A1/Documents/dumpdecrypted.dylib: required code signature missing for '/private/var/mobile/Containers/Data/Application/9EE3F784-AAC6-458E-9502-DDD264AFA7A1/Documents/dumpdecrypted.dylib'


Abort trap: 6

是因?yàn)楹灻膯栴}, 用開發(fā)者證書對dumpdecrypted.dylib進(jìn)行簽名后重新上傳

#list簽名
$security find-identity -v -p codesigning
#進(jìn)行簽名
$codesign --force --verify --verbose --sign "iPhone Developer: xxx xxxx (xxxxxxxxxx)" dumpdecrypted.dylib
#scp上傳后重新進(jìn)行砸殼

$DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/68A0B1EE-F924-404B-AE6B-DDEB3E996F47/SeekingArrangement.app/SeekingArrangement
mach-o decryption dumper

DISCLAIMER: This tool is only meant for security research purposes, not for application crackers.

[+] detected 32bit ARM binary in memory.
[+] offset to cryptid found: @0x4cbe4(from 0x4c000) = be4
[+] Found encrypted data at address 00004000 of length 9633792 bytes - type 1.
[+] Opening /private/var/containers/Bundle/Application/68A0B1EE-F924-404B-AE6B-DDEB3E996F47/SeekingArrangement.app/SeekingArrangement for reading.
[+] Reading header
[+] Detecting header type
[+] Executable is a plain MACH-O image
[+] Opening SeekingArrangement.decrypted for writing.
[+] Copying the not encrypted start of the file
[+] Dumping the decrypted data into the file
[+] Copying the not encrypted remainder of the file
[+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset be4
[+] Closing original file
[+] Closing dump file

當(dāng)前目錄會(huì)生成SeekingArrangement.decrypted 文件, 即砸殼后的文件

$ls
SeekingArrangement.decrypted  dumpdecrypted.dylib

然后就可以拷貝到你想用的地方進(jìn)行使用了, class-dump, IDA都等著呢~

至于為什么要在APP的Documents目錄進(jìn)行操作, 因?yàn)樯痰甑腁PP只能在自己的沙盒中進(jìn)行操作, 相信各位這個(gè)問題都可以理解的.

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末必怜,一起剝皮案震驚了整個(gè)濱河市焕毫,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌萝衩,老刑警劉巖嚼松,帶你破解...
    沈念sama閱讀 211,194評論 6 490
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件八毯,死亡現(xiàn)場離奇詭異绢涡,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)鳖轰,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,058評論 2 385
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門清酥,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人蕴侣,你說我怎么就攤上這事焰轻。” “怎么了昆雀?”我有些...
    開封第一講書人閱讀 156,780評論 0 346
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵辱志,是天一觀的道長。 經(jīng)常有香客問我忆肾,道長荸频,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,388評論 1 283
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任客冈,我火速辦了婚禮,結(jié)果婚禮上稳强,老公的妹妹穿的比我還像新娘场仲。我一直安慰自己,他們只是感情好退疫,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,430評論 5 384
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布渠缕。 她就那樣靜靜地躺著,像睡著了一般褒繁。 火紅的嫁衣襯著肌膚如雪亦鳞。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,764評論 1 290
  • 城市分裂傳說
    那天,我揣著相機(jī)與錄音燕差,去河邊找鬼遭笋。 笑死,一個(gè)胖子當(dāng)著我的面吹牛徒探,可吹牛的內(nèi)容都是我干的瓦呼。 我是一名探鬼主播,決...
    沈念sama閱讀 38,907評論 3 406
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼测暗,長吁一口氣:“原來是場噩夢啊……” “哼央串!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起碗啄,我...
    開封第一講書人閱讀 37,679評論 0 266
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對情侶失蹤质和,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后稚字,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體饲宿,經(jīng)...
    沈念sama閱讀 44,122評論 1 303
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,459評論 2 325
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年尉共,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了褒傅。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 38,605評論 1 340
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡袄友,死狀恐怖殿托,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情剧蚣,我是刑警寧澤支竹,帶...
    沈念sama閱讀 34,270評論 4 329
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站鸠按,受9級特大地震影響礼搁,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜目尖,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,867評論 3 312
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一馒吴、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧瑟曲,春花似錦饮戳、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,734評論 0 21
  • 一樁弒父案扯罐,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至烦衣,卻和暖如春歹河,著一層夾襖步出監(jiān)牢的瞬間掩浙,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,961評論 1 265
  • 情欲美人皮
    我被黑心中介騙來泰國打工秸歧, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留厨姚,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 46,297評論 2 360
  • 代替公主和親
    正文 我出身青樓寥茫,卻偏偏與公主長得像遣蚀,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個(gè)殘疾皇子纱耻,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,472評論 2 348

推薦閱讀更多精彩內(nèi)容

  • 記得以前看過一段話: “我一直沒什么天賦弄喘,就只是一直在向前走玖喘,不知不覺就走到了最前面∧⒅荆” “那那些聰明的人呢累奈?” ...
    小爽菇?jīng)鰞?/span>閱讀 344評論 0 0
  • 泡面應(yīng)該是世界上最溫柔的食物了,你討厭它埋怨它離它而去急但,它還是會(huì)在許多深夜里給你最溫暖的慰藉澎媒。 大部分人都會(huì)有這樣...
    棠檸語遙閱讀 4,140評論 2 3
  • 我人生的導(dǎo)師,健身的伙伴波桩,情同手足的姐姐戒努,在我人生找不到方向的時(shí)候給了我無窮的力量和耐心的開導(dǎo),給我201...
    萌萌草閱讀 5,401評論 0 6
  • 下班在班車上刷知乎镐躲,看到叔本華的“人要么獨(dú)處要么庸俗”一時(shí)慟然储玫。回家拿起畫筆萤皂,想著最近腦中時(shí)常出現(xiàn)的夜空撒穷,卻不知如...
    特濃咖啡牛奶糖閱讀 154評論 0 0