iOS逆向反編譯

為了表示我對簡書『飽醉豚』事件的不滿,簡書不再更新,后續有文章只更新 個人博客掘金

歡迎移步 個人博客或者 掘金

本文首發于 個人博客

iOS逆向

準備:完美越獄iPhone

逆向APP思路:1,代碼分析

2,對Mach-O文件的靜態分析MachOView、class-dump、Hopper Disassembler、ida等

3,動態調試 對運行中的APP進行代碼調試 p debugserver、LLDB

4,代碼編寫

5,注入代碼到APP中

6,必要時還可能需要重新簽名、打包ipa

一、Mac遠程登錄iPhone

  • SSH (Secure Shell) 是“安全外殼協議”

    OpenSSH 是SSH協議的免費開源實現 (在iPhone上通過Cydia安裝OpenSSH工具(軟件源http://apt.saurik.com))

    可以通過OpenSSH的方式讓Mac遠程登錄到iPhone

  • SSH是通過TCP協議通信,所以要確保Mac和iPhone在同一局域網下,比如連接著同一個WiFi下

    在終端輸入

ssh 賬戶名@服務器主機地址

例如:

ssh root@192.168.8.157 然后輸入密碼(默認是alpine )

這種方式wifi登錄,受到網速限制

  • usb連接 (不需要網絡,速度快,安全) 1.1 sh usb.sh (注: python2 usbmuxd-1.0.8/python-client/tcprelay.py -t 22:10010 8888:8888)

1.2 sh login.sh (注:ssh -p 10010 root@localhost)

上面的命令生效是因為已經把 usb.sh 和 login.sh 兩個文件做了端口映射并放到了根目錄 (映射需要usbmuxd工具包)

另外: 1.echo $PATH 查看設置的根目錄,如果自己想寫腳本在其他地方都能執行,也可以放在PATH路徑下

2.手機和電腦能連接是因為,手機的授權文件 /var/root/.ssh/authorized_keys 中 添加了電腦的公鑰 ~/.ssh/id_rsa.pub

Mac上有個服務程序usbmuxd(它會開機自動啟動),可以將Mac的數據通過USB傳輸到iPhone

/System/Library/PrivateFrameworks/MobileDevice.framework/Resources/usbmuxd

下載usbmuxd工具包(下載v1.0.8版本,主要用到里面的一個python腳本:tcprelay.py

https://cgit.sukimashita.com/usbmuxd.git/snapshot/usbmuxd-1.0.8.tar.gz

二、獲取手機上軟件的ipa包

  • Cycript 安裝到手機上

    Cycript是Objective-C++、ES6(JavaScript)、Java等語法的混合物,可以用來探索、修改、調試正在運行的Mac\iOS APP

    官網: http://www.cycript.org/

    文檔: http://www.cycript.org/manual/

    通過Cydia安裝Cycript,即可在iPhone上調試運行中的APP

    使用: cycript -p 進程ID 比如:cycript -p NewsBoard

    cycript -p 進程名稱

    取消輸入:Ctrl + C

    退出:Ctrl + D

    清屏:Command + R

    Github 上有基于cycript封裝了一些函數 參考

    https://github.com/CoderMJLee/mjcript

    @import mjcript --->MJAppId、MJFrontVC()、MJDocPath、MJAppPath 等

  • Clutch -i 獲取加殼軟件的appid

  • PS命令 (手機上安裝adv-cmds)

    ps –A 列出所有的進程

ps命令是process status

可以過濾關鍵詞,比如 : ps -A | grep WeChat

三、脫殼

  • iOS中有很多好用的脫殼工具

Clutch:https://github.com/KJCracks/Clutch

dumpdecrypted:https://github.com/stefanesser/dumpdecrypted/

AppCrackr、Crackulous

  • Clutch -i 獲取到appid之后,Clutch -d (APP序號) 導出app包 eg: Clutch -d 1 會打印出脫殼路徑

  • DYLD_INSERT_LIBRARIES 脫殼

    例如:MJAppTools 獲取 到 【網易新聞】 <com.netease.news> /private/var/mobile/Containers/Bundle/Application/64F0B25C-062E-4A89-8834-3F534C24E70D/NewsBoard.app

    執行:

    DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /private/var/mobile/Containers/Bundle/Application/64F0B25C-062E-4A89-8834-3F534C24E70D/NewsBoard.app/NewsBoard

    獲取到的脫殼文件再當前目錄下 (Device/var/root)

  • 查看是否脫殼

    otool -l 名稱 | grep crypt 例如: otool -l NewsBoard | grep crypt 查看網易新聞是否脫殼

也可以用hopper看是否脫殼

cryptid 0 為脫殼 cryptid 1 是加殼

四、反編譯出頭文件

  • class-dump

    顧名思義,它的作用就是把Mach-O文件的class信息給dump出來(把類信息給導出來),生成對應的.h頭文件

官方地址:http://stevenygard.com/projects/class-dump/

下載完工具包后將class-dump文件復制到Mac的/usr/local/bin目錄,這樣在終端就能識別class-dump命令了

常用格式:

class-dump -H Mach-O文件路徑 -o 頭文件存放目錄 -H表示要生成頭文件 -o用于制定頭文件的存放目錄

例如:當前目錄下 class-dump -H NewsBoard -o Header (新建一個Header的文件夾) 這時候可以用hopper 等分析代碼了

五、theos

2.利用brew安裝ldid

$ brew install ldid

  • 修改環境變量

    1. 編輯用戶配置文件

$ vim ~/.bash_profile

2.在??..bash_profie?? 文件后面加入下面兩行

export THEOS=~/theos
export PATH=THEOS/bin:PATH

3,讓.bash_profie配置的環境變量立即生效(或者重新打開終端)

>$ source ~/.bash_profile
  • ????下載theos

    建議在$PATH 目錄下載代碼(就是剛才配置的)

git clone --recursive https://github.com/theos/theos.gitTHEOS

  • 新建tweak 項目

    1,cd到放文件的目錄下(比如桌面

cd ~/Desktop nic.pl

2,選擇????[13.] iphone/tweak

3,填寫項目信息

名稱 項目ID隨便寫, MobileSubstrate Bundle filter 寫應用的id 其他回車

六、編寫代碼

具體情況具體分析

七、打包編譯安裝

當前tweak文件目錄下make clean && make && make package && make install (已經寫好了文件,可以直接 sh ~/tweak.sh

自己做的插件在 Device/Library/MobileSubstrate/DynamicLibraries

八、theos資料

  • 目錄結構: https://github.com/theos/theos/wiki/Structure

  • 環境變量:http://iphonedevwiki.net/index.php/Theos

  • Logoes語法: http://iphonedevwiki.net/index.php/Logos

    • %hook %end : hook一個類的開始和結束

    • %log : 打印方法調用詳情

      可以 ????????Xcode -> Window -> Devices and Simulators???????? 中查看

    • HBDebugLog 類似NSLog

    • %new : 添加一個新的方法

    • %c(className): 生成一個class對象,比如Class%c(NSObject) ,類似于NSStringFromClass()??、objc_getClass()

    • %orig : 函數調用原來的邏輯

    • %ctor : 在加載動態庫時候調用

    • %dtor : 程序退出時調用

    • logify.pl: 可以將一個頭文件快速轉成已經包含打印信息的xm文件

    logify.pl xx.h > xx.xm</pre>

        1,在 UserCenterViewController.h 目錄下執行
    
        logify.pl UserCenterViewController.h > UserCenterViewController.xm
    
        2, UserCenterViewController.xm 拷貝到Makefile(Tweak.xm) 所在目錄
    
        3, 新建一個src目錄,把.xm文件放進去,修改路徑 YZRongxin_FILES = $(wildcard src/*.xm)
    
        4,不認識的類 替換為void 刪除__weak 刪除協議
    
        5, 不想太詳細 %log 換成NSLog(@"%@",NSStringFromSelector(_cmd));
    
        6,HBLogDebug(@" = 0x%x", (unsigned int)r) 改為 HBLogDebug(@" = 0x%@", r)
    

九、MAC、IPhone 軟件破解

例:PC軟件破解 ./YZCTest

例:網易新聞去廣告 NTESNBNewsListController hasAd

例:優酷去掉90s開頭廣告 XAdEnginePreAdModule setupVideoAd needAd

如果是未越獄的IPhone 則還需要打包簽名等操作。

十、動態調試

十一、簽名打包

  • 準備一個embedded.mobileprovision文件(必須是付費證書產生的,appid,device一定要匹配)并放入到.app包中。

    • 可以通過Xcode自動生成,然后再編譯后的APP包中找到

    • 可以去開發者網站生成證書下載

  • 從embedded.mobileprovision文件中提取出entitlements.plist權限文件

    • security cms -D -i embedded.mobileprovision > temp.plist

    • /usr/libexec/PlistBuddy -x -c'Print :Entitlements' temp.plist > entilements.plist

  • 查看可用的證書

    • security find-identity -v -p codesigning
  • 對.app內的動態庫、AppExtension等進行簽名

    • codesign -f -s 證書ID XXX.dylib
  • 對.app包進行簽名

    • codesign -f -s 證書id --entitlements entitlements.plist xxx.app
  • 重簽名工具

十二、其他筆記:

Tweak 技巧

1,加載 圖片資源 創建 layout 文件夾 相當于Device/Library

圖片會放在 在Device/Library/PreferenceLoader/Preference

2,自己做的插件在 Device/Library/MobileSubstrate/DynamicLibraries

3,#define YZFile(path) @"/Library/PreferenceLoader/Preferences/yzxmly/" #path

4,多個文件,多個目錄,引用頭文件要使用路徑比如 @import “abc/def/person.h”

5,路徑 全路徑,或者 代替 比如:src/test.xm src/.m (中間一個空格)

6,如果自己增加類,方法屬性等,要聲明的話

eg:

@interface yzdefine
?
-(void)vipReOpenPlayer;
?
@end</pre>
更多資料,歡迎關注個人公眾號,不定時分享各種技術文章。

image
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容