為什么我們自己開發(fā)的App安裝包不能隨便安裝到任意的手機呢摔吏？App安裝包是自己的媒怯、手機是自己的订讼，結(jié)果就是安裝失敗，有沒有想過這個問題沪摄？下面我們來講講蘋果公司設(shè)計的對App安裝包的簽名機制躯嫉，并重點的講解下怎么進行重簽名以及反重簽名的做法。

一杨拐、代碼簽名原理

想要重簽名我們的APP安裝包祈餐，我們先來了解下APP原始包的簽名得到APP安裝包過程。先上整體的流程圖哄陶，然后再來解釋每一步操作的過程：

①：通過Mac電腦創(chuàng)建的CSR文件向蘋果服務(wù)器申請證書帆阳，CSR文件其實本質(zhì)是Mac電腦創(chuàng)建的一對RSA公私鑰中的公鑰M，我們把CSR文件傳給蘋果服務(wù)器，蘋果服務(wù)器使用私鑰A對CSR文件進行加密和hash簽名處理蜒谤，生成一個證書文件山宾。

②：我們從蘋果服務(wù)器下載證書和描述文件并安裝到當(dāng)前的Mac電腦中，Mac電腦會將對應(yīng)的私鑰M也證書綁定存放在一起鳍徽。（在手動管理證書的年代资锰，為什么不能從蘋果服務(wù)器直接下載了證書使用，而是一定要從證書創(chuàng)建者的Mac電腦中導(dǎo)出證書呢阶祭？就是因為私鑰M的存在绷杜，現(xiàn)在是不是就能理解了）

③：打包的過程中，Mac電腦會使用證書下的私鑰M對我們的原始APP包進行簽名處理濒募；并把證書以及描述文件都打包到APP的安裝包中鞭盟。

④：當(dāng)我們的設(shè)備安裝APP時，會先通過設(shè)備內(nèi)嵌的公鑰A對證書瑰剃、描述文件做解密等處理齿诉，獲取其中的內(nèi)容，然后驗證證書中的HASH值晌姚，來判斷證書是否合法粤剧；驗證APP的簽名數(shù)據(jù)，判斷APP是否被篡改過舀凛；判斷當(dāng)前設(shè)備是否存在可安裝的設(shè)備列表中俊扳，判斷描述文件與info.plist中的BundleID是否一致等等。

⑤：最后完成APP的安裝

Tips：提供一些查看或查找CSR文件猛遍、證書或描述文件內(nèi)容使用到的命令

//查看CSR文件中的公鑰內(nèi)容
$cat CertificateSigningRequest.certSigningRequest

//查看CSR文件的其他信息(郵箱馋记、加密方式、hash值算法)
$openssl asn1parse -i -in CertificateSigningRequest.certSigningRequest

//查看本機所有證書
$security find-identity -v -p codesigning

//查看描述文件的內(nèi)容
$security cms -D -i 描述文件路徑

二懊烤、通過終端命令手動重簽名

我們在重簽名之前梯醒，需要提前準備一些重簽名必要的東西。

• 砸過殼的IPA包 ：可以去PP助手中下載越獄應(yīng)用腌紧，自己砸殼的文章之后再進行分享茸习；
• 可正常使用證書 ：重簽名IPA包，意思是指替換掉舊的簽名證書壁肋，使其能正常安裝号胚；

有了以上準備，我們就具體來試試手動重簽名的操作浸遗。

第1步：解壓砸過殼的IPA包猫胁，刪除部分無法重簽名的文件

A：刪除`Payload` → `XXX.app` → `PlugIns`文件夾
B：刪除`Payload` → `XXX.app` → `Watch`文件夾

第2步：對Payload → XXX.app → Framework文件夾下的XXX.framework進行簽名。注意：如果IPA包中沒有Framework文件夾跛锌，則可以跳過這步

//進入`XXX.app`目錄下弃秆，執(zhí)行如下命令（有很多`.framework`時需要多次執(zhí)行）
$codesign -fs "證書" 需要簽名的文件

第3步：給App的可執(zhí)行文件讀寫權(quán)限。

//進入`XXX.app`目錄下，執(zhí)行如下命令
$chmod +x 可執(zhí)行文件名稱

第4步：拷貝embedded.mobileprovision文件到Payload中菠赚，修改info.plist中的Bundle identifier值

a. 將新證書的`embedded.mobileprovision`文件拷貝到`Payload`中
b. 將`info.plist`中的`Bundle identifier`值改為新證書對應(yīng)的`Bundle identifier`值

第5步：生成.plist的權(quán)限文件

a. 進入`XXX.app`目錄下脑豹，使用命令查看描述文件：$security cms -D -i 描述文件路徑
b. 拷貝`Entitlements`鍵下的字典內(nèi)容，將字典內(nèi)容存儲在新建的`XX.plist`文件
c. 把新建的`XX.plist`文件拷貝到`Playload`文件夾中

第6步：簽名整個APP包

//進入`Payload`文件夾下衡查，執(zhí)行如下命令
$codesign -fs "證書名稱"  --no-strict --entitlements=XX.plist XXX.app

//查看APP的簽名信息
$codesign -vv -d APP路徑

//查看可執(zhí)行文件的加密信息
$otool -l 可執(zhí)行文件名稱 | grep crypt

第7步：將已簽名的APP包打包成IPA文件

//進入`Payload`的上級文件夾下瘩欺，執(zhí)行如下命令
$zip -ry XXX.ipa Payload

注意：手動重簽名會出現(xiàn)很多安裝異常的問題，因為可能有很多小細節(jié)沒有處理或出現(xiàn)問題峡捡，所以一般都使用Xcode進行重簽名處理击碗。

三筑悴、通過Xcode進行重簽名

蘋果簽名的所有細節(jié)處理都已經(jīng)封裝在Xcode中们拙，所以我們可以使用Xcode來替我們做簽名處理，只要替換Xcode簽名的目標原文件達到欺騙Xcode的目的阁吝，使其對我們想要的原文件進行簽名處理砚婆。

1、新建一個名為`AAA`的空工程突勇，編譯装盯、運行使其安裝到真機中。
2甲馋、解壓砸過殼的`IPA`包埂奈，拷貝`Payload` → `XXX.app`到工程的`Products`下，重命名并替換`AAA.app`定躏。
3账磺、給`App`的可執(zhí)行文件讀寫權(quán)限，進入`AAA.app`目錄下執(zhí)行命令：`$chmod +x 可執(zhí)行文件名稱`
4痊远、刪除部分無法重簽名的文件垮抗；`①、刪除Payload→AAA.app→PlugIns文件夾碧聪；②冒版、刪除Payload→AAA.app→Watch文件夾`
5、對`Payload`→`AAA.app`→`Framework`文件夾下的`XXX.framework`進行簽名逞姿，進入`AAA.app`目錄下執(zhí)行命令：`$codesign -fs "證書" 需要簽名的文件`
6辞嗡、修改`AAA.app`→`info.plist`中的`Bundle identifier`值與當(dāng)前工程的`Bundle identifier`值一致。
7滞造、使用快捷鍵`command+R`運行當(dāng)前的工程续室，此時Xcode已經(jīng)完成了重簽名處理。

最后注意：如果`IPA`包中沒有`Framework`文件夾断部，則直接跳過第5步猎贴。

相比第一種手動重簽名的方式，Xcode重簽名就相對簡單多了！

四她渴、通過Run Script腳本進行重簽名

相對手動重簽名达址，Xcode重簽名已經(jīng)簡單很多了，但是還不是最簡單的

第1步：新建一個空工程趁耗，在工程目錄下新建APP文件夾沉唠，將IPA包拷貝到APP目錄下。
第2步：選擇空工程Build Phases → + → New Run Script Phase添加一個腳本的入口
第3步：將如下的腳本內(nèi)容苛败，拷貝到Run Script中

# ${SRCROOT} 它是工程文件所在的目錄
TEMP_PATH="${SRCROOT}/Temp"
#資源文件夾
ASSETS_PATH="${SRCROOT}/APP"
#ipa包路徑
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"

#新建Temp文件夾
rm -rf "${SRCROOT}/Temp"
mkdir -p "${SRCROOT}/Temp"

#----------------------------------------
# 1. 解壓IPA到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解壓的臨時的APP的路徑
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
# echo "路徑是:$TEMP_APP_PATH"

#----------------------------------------
# 2. 將解壓出來的.app拷貝進入工程下
# BUILT_PRODUCTS_DIR 工程生成的APP包的路徑
# TARGET_NAME target名稱
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "app路徑:$TARGET_APP_PATH"

rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH"

#----------------------------------------
# 3. 刪除extension和WatchAPP.個人證書沒法簽名Extention
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"

#----------------------------------------
# 4. 更新info.plist文件 CFBundleIdentifier
#  設(shè)置:"Set : KEY Value" "目標文件路徑"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

#----------------------------------------
# 5. 給MachO文件上執(zhí)行權(quán)限
# 拿到MachO文件的路徑
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
#上可執(zhí)行權(quán)限
chmod +x "$TARGET_APP_PATH/$APP_BINARY"

#----------------------------------------
# 6. 重簽名第三方 FrameWorks
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
    then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do

#簽名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

五满葛、重簽名APP的用處

描述了這么多的重簽名方法，有什么用處呢罢屈？當(dāng)然不只是簡單的在一個設(shè)備上安裝多個相同應(yīng)用這么簡單嘀韧。比如蘋果商店有很多需要付費下載的應(yīng)用，通過重簽名后缠捌，就能免費進行安裝和使用了锄贷；類似國內(nèi)中的同步推、91助手等平臺提供很多免費應(yīng)用曼月，而這些應(yīng)用在App Store中可能就需要付費下載了谊却。所以大概總結(jié)了以下幾點重簽名的用途：
1、破解需付費下載的應(yīng)用哑芹，比如：同步推炎辨、91助手等平臺。
2聪姿、通過注入Framework來Hook重簽名APP中的方法碴萧，修改代碼的執(zhí)行順序，比如：制作微信搶紅包的外掛咳燕。
3勿决、動態(tài)調(diào)試重簽名的APP，查看界面布局等招盲，比如：探究競爭對象發(fā)布的APP的新功能低缩。

六、防止重簽名的處理

在逆向編程中曹货，重簽名是一個很常用的的動態(tài)調(diào)試基本操作咆繁，所以做重簽名的防護是很必要的一個步驟，下面來講下防止別人重簽名你的APP需要怎么處理顶籽。

我們先查看下Xcode使用的證書和APP中描述文件的對應(yīng)關(guān)系：
第1步：進入Mac電腦中的鑰匙串中玩般，選擇證書，雙擊簽名使用的證書礼饱，查看并拷貝組織單位的編號坏为。
第2步：進入XXX.app路徑下究驴，使用命令security cms -D -i embedded.mobileprovision查看embedded.mobileprovision內(nèi)容，找到key = application-identifier對應(yīng)的value值匀伏。

結(jié)合文章開篇所述的重簽名步驟來思考洒忧，在任何必要的時候（例如：APP啟動等），是否可以通過檢測APP簽名證書中的組織單位ID是否與Xcdoe工程中的內(nèi)容一致來判斷當(dāng)前APP是否已經(jīng)被重簽名過够颠。

void checkAppCodesignReplaced(NSString *bundleId)
{
    //描述文件路徑
    NSString *embeddedPath = [[NSBundle mainBundle] pathForResource:@"embedded" ofType:@"mobileprovision"];
    //讀取application-identifier注意描述文件的編碼要使用:NSASCIIStringEncoding
    NSString *embeddedProvisioning = [NSString stringWithContentsOfFile:embeddedPath encoding:NSASCIIStringEncoding error:nil];
    NSArray *embeddedProvisioningLines = [embeddedProvisioning componentsSeparatedByCharactersInSet:[NSCharacterSet newlineCharacterSet]];
    for (int i = 0; i < embeddedProvisioningLines.count; i ++) {
        if ([embeddedProvisioningLines[i] rangeOfString:@"application-identifier"].location != NSNotFound) {
            NSInteger fromPosition = [embeddedProvisioningLines[i+1] rangeOfString:@"<string>"].location+8;
            NSInteger toPosition = [embeddedProvisioningLines[i+1] rangeOfString:@"</string>"].location;
            NSRange range = NSMakeRange(fromPosition, (toPosition - fromPosition));
            NSString *fullIdentifier = [embeddedProvisioningLines[i+1] substringWithRange:range];
            NSArray *identifierComponents = [fullIdentifier componentsSeparatedByString:@"."];
            NSString *appIdentifier = [identifierComponents firstObject];
       
            //對比簽名ID
            if (![appIdentifier isEqual:bundleId])  {
                asm( //exit
                    "mov X0,  #0\n"
                    "mov w16, #1\n"
                    "svc #0x80"
                    );
            }
            break;
        }
    }
}

注意：使用內(nèi)聯(lián)匯編代碼（asm）是防止逆向工程師通過符號斷點來定位exit的調(diào)用位置熙侍。

七、后續(xù)

在APP中僅僅加入防止重簽名是遠遠不夠的履磨，對于逆向開發(fā)工程師來說蛉抓，這種操作很容易就破解了。比如說使用HOOK剃诅，替換判斷組織單位的編號是否一致的方法巷送，亦或是修改匯編代碼，使用b指令直接跳過驗證方法等等综苔。所以我們還需要做很多其他的處理惩系，才能達到APP安全防護的目的，比如說：反HOOK防護如筛、ptrace防護、混淆關(guān)鍵代碼抒抬、隱藏敏感方法調(diào)用等杨刨。此篇文章記錄到此，其他的安全防護處理擦剑，在之后的文章另做的技術(shù)記錄妖胀。