逆向工程的目的
1)分析競品的最新研究或者產品原型(包括所用的技術,所使用的框架)2)學術/學習目的。3)破解應用的使用權限4)識別競品潛在的侵權行為
逆向工程的分析工具
進行的iOS逆向工程的一個關鍵就是工具的使用,工欲善其事,必先利其器。
工具分類工具名稱
越獄工具盤古越獄
查看文件工具PP助手,iExplorer,iFunbox,iTool
砸殼工具dumpdecrypted,離合器
查看頭文件工具類轉儲
反匯編工具Hopper,IDA Pro
調試器Cycript,gdb
UI分析工具揭示
網絡分析工具查爾斯
第一部分砸殼查看APP頭文件
工具
一。App Store上的應用都使用了FairPlay DRM數字版權加密保護技術。我們要對文件進行反匯編,而IPA都是加密的,哪怎么辦呢?所以在逆向之前我們需要先對應用進行砸殼。這里我們使用的是dumpdecrypted。(還可以使用Clutch,這里我們就不講Clutch了)
dumpdecrypted 代碼
Dumps decrypted mach-o filesfromencrypted iPhone applicationsfrommemory to disk.This tool is necessaryforsecurity researchers to be able to look under the hoodofencryption.
二。class-dump是用于解析Mach-O文件中存儲的OC運行時信息的。他能生成類的聲明,分類,協議。和otool -ov類似,但是由于class-dump的結果是以OC代碼展示的,所以有很強的可讀性。
類轉儲代碼
Thisisa command-line utilityforexamining the Objective-C runtime information storedinMach-O files.It generates declarationsforthe classes, categoriesandprotocols. Thisisthe same information provided by using ‘otool -ov’,but presentedasnormal Objective-C declarations, so itismuch more compactandreadable.
三。一臺越獄手機
iOS版為了保證安全性,所有的應用都是在沙盒中運行。所以要想完成逆向操作,我們需要更高級的權限。沒有越獄設備那就無法展開學習和研究工作。
步驟
一。好安裝dumpdecrypted狀語從句:class-dump以后,在越獄機上的Cydia上安裝openSSH,通過MAC終端控制手機,openSSH密碼是alpine(手機和電腦需要在同一網段,然后點開設置查看當前手機分配的IP地址)
Mac-mini-Damon:~ damon$ ssh root@192.168.2.108root@192.168.2.108's password:
iPhone4:~ root#
二,越獄在機上Cydia上安裝Cycript
Cycript是一個理解Objective-C語法的javascript解釋器,這意味著我們能夠在一個命令中用Objective-C或者javascript,甚至2者兼用。它能夠掛鉤正在運行的進程,能夠在運行時修改應用的很多東西。使用Cycript有如下好處:1.我們能夠掛鉤正在運行的進程,并且找出正被使用的類信息,例如view controllers,內部和第3方庫,甚至程序的delegate的名稱。2.對于一個特定的類,例如View Controller, App delegate或者任何其他的類,我們能夠得到所有被使用的方法名稱。3.我們能夠得到所有實例變量的名稱和在程序運行的任意時刻實例變量的值。4.我們能夠在運行時修改實例變量的值。5.我們能夠執行Method Swizzling,例如替換一個特定方法的實現。6.我們可以在運行時調用任意方法,即使這個方法目前并不在應用的實際代碼當中。
Mac-mini-Damon:dumpdecrypted-master damon$ cd /Users/damon/Desktop/dumpdecrypted-masterMac-mini-Damon:dumpdecrypted-master damon$ make`xcrun --sdk iphoneos --find gcc`-Os? -Wimplicit -isysroot`xcrun --sdk iphoneos --show-sdk-path`-F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.cMac-mini-Damon:dumpdecrypted-master damon$ lsMakefile? ? ? ? dumpdecrypted.c? ? dumpdecrypted.oREADME? ? ? ? ? dumpdecrypted.dylibMac-mini-Damon:dumpdecrypted-master damon$
三,找出要反編譯APP的執行文件目錄,為了避免干擾,最好殺掉其他進程,只打開反編譯的應用程序,使用ps -e命令得到路徑
iPhone4:~ root# ps -e PID TTY? ? ? ? ? TIMECMD1556??0:00.10/usr/libexec/afc2d -S -L -d /1564??0:03.07/usr/libexec/deleted --idleExit1566??0:00.15/System/Library/PrivateFrameworks/GeoServices.framework/geod1568??0:00.36/usr/libexec/mobileassetd1570??0:00.63/System/Library/Frameworks/AssetsLibrary.framework/Support/assetsd1612??0:00.37sshd: root@ttys0001622??0:06.20/var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/QQ.app/QQ1623??0:00.10/System/Library/Frameworks/UIKit.framework/Support/pasteboardd1613ttys0000:00.05-sh1628ttys0000:00.01ps -eiPhone4:~ root#
的其中/var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/QQ.app/QQ就是我們要找的
四。使用Cycript找出反compile-APP的文件目錄路徑
iPhone4:~ root# cycript -p QQcy# [[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask][0]#"file:///var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/Documents/"cy#
的其中/var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/Documents/就是我們要找的文件目錄路徑
五。將dumpdecrypted_7.dylib拷貝產品到文件目錄下,此處是使用SCP方式,也可以使用IFUNBOX或者PP助手進行文件操作(這里的dumpdecrypted_7.dylib是別人已經生成好的)地址
Mac-mini-Damon:~ damon$ scp /Users/damon/Desktop/dumpde/dumpdecrypted_7.dylib root@192.168.2.108:/var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/Documents/root@192.168.2.108's password:
dumpdecrypted_7.dylib? ? ? ? ? ? ? ? ? ? ? ? 100%? 81KB? 81.0KB/s? 00:00? ?
Mac-mini-Damon:~ damon$
六,就是然后使用dumpdecrypted砸殼
iPhone4:~ root# cd /var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/Documents/iPhone4:/var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/Documents root# DYLD_INSERT_LIBRARIES=dumpdecrypted_7.dylib /var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/QQ.app/QQmach-o decryption dumperDISCLAIMER:This tool is only meantforsecurity research purposes,notforapplication crackers.[+] detected32bit ARM binaryinmemory.[+] offset to cryptidfound:@0x4a4c(from0x4000) = a4c[+] Found encrypted data at address00004000of length46284800bytes - type1.[+] Opening /private/var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/QQ.app/QQforreading.[+] Reading header[+] Detecting header type[+] Executable is a FAT image - searchingforright architecture[+] Correct arch is at offset16384inthe file[+] Opening QQ.decryptedforwriting.[+] Copying thenotencrypted start of the file[+] Dumping the decrypted data into the file[+] Copying thenotencrypted remainder of the file[+] Setting the LC_ENCRYPTION_INFO->cryptid to0at offset4a4c[+] Closing original file[+] Closing dump file
iPhone4:~ root# ls(null)/? ? ? ? CustomFace/? ? ? ? Image/? ? ? ? Other/? ? ? ? QQAppSetting.plist? TRctBundle/? app.m? ? ? ? ? ? ? ? dumpdecrypted_7.dylib? wallet/AVEngine.log? ? Doc/? ? ? ? ? ? ? LuaPluginDir/? QMusicSdk/? ? QQFlow.ini? ? ? ? ? Theme/? ? ? client_wording.json? giftInfo/? ? ? ? ? ? ? webappCache2/Audio/? ? ? ? ? FileRecv/? ? ? ? ? MQZONEv1/? ? ? QQ.decrypted? QQHeadThumb/? ? ? ? ThemeInfo/? content/? ? ? ? ? ? patchScripts/? ? ? ? ? wupseq.datConfigStorage/? FileTransferTemp/? MyFolder/? ? ? QQ.ini? ? ? ? QZoneImageThumb/? ? Video/? ? ? contents/? ? ? ? ? ? tbmg.dataroot#
的其中QQ.decrypted就是我們要的破解文件
七,使用class-dump將文件解析
將QQ.decrypted拷貝產品到Mac的桌面文件夾,使用class-dump進行解析
Mac-mini-Damon:~ damon$ cd /Users/damon/Desktop/testMac-mini-Damon:test damon$class-dump--archarmv7QQ.decrypted>QQ.mMac-mini-Damon:test damon$
得到的QQ.m文件就是我們需要的頭文件,class-dump --arch armv7 QQ.decrypted > QQ.m因為我是用的手機是iPhone4做的(沒辦法,只能用公司不用的4進行越獄),所以使用armv7,其他型號使用相對應的4(armv7),4s(armv7),5(armv7),5s(arm64),6(arm64),6s(arm64)
1)分析從蘋果商店下載的IPA包
class-dump--archarmv7QQ.decrypted>QQ.m
2)分析從越獄平臺下載的越獄IPA包
class-dump-HMYXJ.app-o/Users/damon/Desktop/test/headMYXJ
第二部分分析APP UI
顯示簡介
Reveal能夠在運行時調試和修改iOS應用程序。它能連接到應用程序,并允許開發者編輯各種用戶界面參數,這反過來會立即反應在程序的UI上。就像用FireBug調試HTML頁面一樣,在不需要重寫代碼、重新構建和重新部署應用程序的情況下就能夠調試和修改iOS用戶界面。
顯示查看任意應用程序的高級技巧介紹了如何在越獄設備上查看任意應用程序的技巧:
1)iOS設備需要越獄,iOS6以上2)安裝Reveal,越獄設備與安裝Reveal的Mac在同一wifi內。3)點擊菜單Help / Show Reveal LibraryinFinder,獲取libReveal.dylib4)將libReveal.dylib上傳到設備的/Library/MobileSubstrate/DynamicLibraries5)編輯并上傳一個libReveal.plist,格式和/Library/MobileSubstrate/DynamicLibraries下面的其他plist類似,其中的filter的bundle寫要查看的iOS App的bundle Id。格式如下:{ Filter = { Bundles = ("你要查看的app的bundle Id"); }; }6)重啟iOS設備
第三部分反編譯
一:Hopper簡介
Hopper是一款運行在Mac、Windows和Linux下的調試(os x only)、反匯編和反編譯的交互式工具。可以對32、64位的MAC程序、Windows程序和IOS程序(arm)進行調試、反編譯等。
功能
1)能夠分析出函數的代碼塊、變量等2)可以生成代碼塊的控制流圖CFG3)可以通過Python腳本來調用Hopper的其他一些功能,使用更加靈活4)在MAC上還可以通過GDP動態調試分析5)對Objective C的極佳的支持——能夠解析出Selector、字符串和發送的消息6)反編譯,生成偽代碼7)分析快速,且占用資源少
二:IDA Pro簡介
IDA Pro是一個非常強大的反匯編和調試工具,支持Windows,Linux,Mac OS X平臺
第四部分網絡接口分析
查爾斯簡介
Charles是Mac下常用的對網絡流量進行分析的工具,類似于Windows下的Fiddler。在開發iOS程序的時候,往往需要調試客戶端和服務器的API接口,這個時候就可以用Charles,Charles能夠攔截SSL請求、模擬慢速網絡、支持修改網絡請求包并多次發送、能夠篡改Request和Response等強大的功能。下面介紹安裝和使用方法。
功能
1)攔截SSL請求2)模擬慢速網絡菜單Proxy中的Throttle Setting可以對此進行設置3)支持修改網絡請求包并多次發送4)斷點功能Charles能夠斷到發送請求前(篡改Request)和請求后(篡改Response)5)捕獲記錄控制 可以過濾出關注的請求。菜單Proxy中的Record Setting可以對此進行設置
第五部分使用調試器鉤子
gdb調試命令已經集成在Xcode中去了用于調試App程序但是直接在硬件設備上執行時,可以獲得更多的功能可以調試設備上所有的進程快速分離和重新附著到某個進程上沒有桌面形式的操作系統上進行開發程序時的調試攻擊者可以修改gdb命令的腳本文件,來達到操作設備上任何程序的運行、修改、監控設備上的所有的程序
iOS的應用程序安全(22) - 使用GDB進行運行時分析和操作
第六部分如何防止被反編譯
代碼混淆的必要性以及方法:
1) 使用c語言實現關鍵的代碼邏輯2)使用宏替換
逆向工程參考文章
