iOS逆向之一-工具的安裝和使用

最近在學(xué)習(xí)iOS安全方面的技術(shù)，有些東西就記錄下來了，所有有了這篇文章。順便也上傳了DEMO，可以再這里找到這些DEMO的源碼：dhar/iOSReProject

越獄手機(jī)安裝軟件

• ssh 遠(yuǎn)程連接到越獄手機(jī)需要的軟件
  在Cydia中搜索、安裝OpenSSH軟件。
  ssh 連接到手機(jī)：ssh root@192.168.1.112[手機(jī)IP]
• apt-get 包管理軟件
  cydia搜索：APT 0.6 Transitional 安裝
  使用apt-get 之前要先update，這一步很重要，否則會(huì)一直報(bào)錯(cuò)找不到你要安裝的包

apt-get update

apt-get 命令使用
參考鏈接：http://bbs.feng.com/read-htm-tid-2328801.html

apt-get update   【刷新所有的源，相當(dāng)于獲取最新的貨品清單，刷新速度比cydia快而穩(wěn)定，各位自己體驗(yàn)】  
apt-get upgrade   【更新所有已安裝包，到最新版本】  
apt-get install 程序名  【安裝該軟件，如有依賴包，一并下載，安裝前需要你輸入y確認(rèn)】  
apt-get remove 程序名  【刪除該軟件包，不刪除依賴包，不刪除配置文件，可能比較適合重裝軟件用】  
apt-get purge 程序名     【刪除該軟件包，不刪除依賴包，刪除配置文件，屬于比較徹底的刪除】  
apt-get autoremove 【在remove或purge掉某個(gè)包之后，將那些不需要的孤魂野鬼(依賴包）徹底趕走，這個(gè)要比cydia給力吧】  
apt-cache search 字段 【搜索含有該字段的軟件包】  
apt-cache show 程序名 【詳細(xì)顯示該程序的信息】  
apt-get clean  【清除apt-get下載的安裝包緩存，可以節(jié)省一點(diǎn)儲(chǔ)存空間】  

apt-get安裝常用的工具軟件

// ping 命令測(cè)試網(wǎng)絡(luò)連通
apt-get install  ping
// ps 查看進(jìn)程：eg. ps -e  ps aux
apt-get install  ps
// 查找文件 eg. find ./ -name .app
apt-get install  find
// tcpdump 抓包
apt-get install tcpdump
apt-get install top
// vim編輯器
apt-get install vim
// 使用ifconfig需要安裝這個(gè)
apt-get install  network-cmds   //-arp, ifconfig, netstat, route, traceroute

Cycript工具介紹

Cycript是一款腳本語言，可以看作是Objective-JavaScript，它可以幫助我們輕松測(cè)試和驗(yàn)證函數(shù)效果。
使用apt-get安裝

apt-get install cycript

找到一個(gè)需要注入的APP
使用 ps 命令查找運(yùn)行的app

iPhone:/User/Library/SMS root# ps -e | grep .app
  378 ??         0:02.72 /Applications/MobileMail.app/MobileMail
  610 ??         1:21.74 /Applications/Cydia.app/Cydia
  848 ??         0:12.78 /Applications/Preferences.app/Preferences
  918 ??         0:15.53 /var/mobile/Containers/Bundle/Application/0E6787B6-B579-41A7-AA54-6E80B6358047/News.app/News
  947 ttys000    0:00.01 grep .app

選擇今日頭條APP進(jìn)行注入，對(duì)應(yīng)的PID是918

// cycript -p [進(jìn)程名稱|進(jìn)程ID]
iPhone:/User/Library/SMS root# cycript -p 918
// 或者
iPhone:/User/Library/SMS root# cycript -p News

進(jìn)入cycript模式，可以執(zhí)行OC的代碼

// 隱藏系統(tǒng)狀態(tài)欄
cy# [[UIApplication sharedApplication] setStatusBarHidden:YES]
// 顯示系統(tǒng)狀態(tài)欄
cy# [[UIApplication sharedApplication] setStatusBarHidden:NO]

退出cycript使用 ctrl+D

注入SpringBoard的自行截屏的例子

iPhone:/User/Library/SMS root# cycript -p SpringBoard
cy# [[SBScreenShotter sharedInstance] saveScreenshot:YES]
cy# 

查看RootViewController的例子

cy# [[[[UIApplication sharedApplication] delegate] window] rootViewController]
#"<MMTabBarController: 0x1358d5a60>"

查看APP的沙盒路徑

iPhone:/var/mobile/Containers/Data/Application/B835F1A8-8A10-487F-9BF3-8D1102C47336/Documents root# cycript -p News
cy# NSHomeDirectory()
@"/var/mobile/Containers/Data/Application/B835F1A8-8A10-487F-9BF3-8D1102C47336"
cy# 

逆向工具

檢測(cè)工具

• Reveal 檢測(cè)界面布局
• tcpdump 檢測(cè)網(wǎng)絡(luò)，抓取數(shù)據(jù)包

調(diào)試工具

• lldb xcode的調(diào)試工具
• cycript 越獄的調(diào)試工具

反編譯工具

• IDA、Hopper,Disassembler,classdump
  Classdump: 可以將Mach-O文件中的Objective-C運(yùn)行時(shí)的聲明的信息導(dǎo)出，即編寫OC代碼時(shí)的 .h文件。class-dump只能導(dǎo)出未經(jīng)加密的App的頭文件。classdump是對(duì)"otool -ov" 信息的翻譯，以一種我們熟悉的易讀的方式呈現(xiàn)。官網(wǎng)http://stevenygard.com/projects/class-dump/
  使用class-dump反編譯出SpringBoard的頭文件，保存到/tmp/SpringBoardHeader文件夾下，（/opt/class-dump/class-dump 是我存放class-dump的地方）

?  $ /opt/class-dump/class-dump -H /tmp/SpringBoard.app/SpringBoard -o /tmp/SpringBoardHeader
// 注意：當(dāng)砸殼完畢后，使用 class-dump 仍然只導(dǎo)出 CDStructures.h 一個(gè)文件，則可能架構(gòu)選擇錯(cuò)誤；因?yàn)?dumpdecrypted 只會(huì)砸你手機(jī)處理器對(duì)應(yīng)的那個(gè)殼，fat binary 的其它部分仍然是有殼的，而 class-dump 的默認(rèn)目標(biāo)又不是被砸殼的那個(gè)部分，因此很有可能就會(huì)報(bào)錯(cuò)；需要指定架構(gòu) --arch armv7 
?  /tmp /opt/class-dump/class-dump --arch armv7  -H ./News.crypted -o /tmp/NewsHeader

otool(object file displaying tool) ：目標(biāo)文件的展示工具。可以用來發(fā)現(xiàn)應(yīng)用中使用到了哪些系統(tǒng)庫(kù)，調(diào)用了其中哪些方法，使用了庫(kù)中哪些對(duì)象及屬性，它是Xcode自帶的常用工具。

開發(fā)工具

XCode、theos 、ldid、dpkg

theos的安裝
wiki: https://github.com/theos/theos/wiki/Installation

• 安裝到 /opt 目錄下

?  /opt git clone --recursive https://github.com/theos/theos.git 

• 修改權(quán)限
  sudo chown -R $(id -u):$(id -g) theos

• 配置環(huán)境變量
  臨時(shí)修改環(huán)境變量

export THEOS=/opt/theos  

永久修改

    可以寫入~/.bash_profile
    source ~/.bash_profile 

查看環(huán)境變量值是否設(shè)置成功

?  ~ echo $THEOS
/opt/theos

ldid 安裝

• 使用brew安裝

brew install ldid fakeroot

查看entitlement內(nèi)容

?  News.app ldid -e News
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>application-identifier</key>
    <string>U9JEY66N6A.com.ss.iphone.article.News</string>
    <key>aps-environment</key>
    <string>production</string>
    <key>beta-reports-active</key>
    <true/>
    <key>com.apple.developer.associated-domains</key>
    <array>
        <string>applinks:toutiao.com</string>
        <string>applinks:www.toutiao.com</string>
        <string>applinks:m.toutiao.com</string>
        <string>applinks:open.toutiao.com</string>
        <string>applinks:d.toutiao.com</string>
    </array>
    <key>com.apple.developer.team-identifier</key>
    <string>U9JEY66N6A</string>
    <key>com.apple.security.application-groups</key>
    <array>
        <string>group.todayExtenstionShareDefaults</string>
    </array>
    <key>get-task-allow</key>
    <false/>
    <key>keychain-access-groups</key>
    <array>
        <string>U9JEY66N6A.com.bytedance.keychainshare</string>
    </array>
</dict>
</plist>

dpkg 安裝使用
dpkg 是Debian package的簡(jiǎn)寫，為”Debian“ 操作系統(tǒng) 專門開發(fā)的套件管理系統(tǒng)，用于軟件的安裝，更新和移除。

• 使用brew安裝dpkg

brew install --from-bottle https://raw.githubusercontent.com/Homebrew/homebrew-core/7a4dabfc1a2acd9f01a1670fde4f0094c4fb6ffa/Formula/dpkg.rb  
brew pin dpkg

• dpkg的使用

dpkg -i/-r  deb包安裝/卸載
dpkg -s com.iosre.myiosreproject 查看安裝包信息

砸殼工具的使用

dumpdecrypted 砸殼工具

• 下載和編譯
  下載最新源碼: git clone https://github.com/stefanesser/dumpdecrypted.git
  編譯動(dòng)態(tài)庫(kù)文件(dumpdecrypted.dylib): make

?  dumpdecrypted git:(master) sudo make
`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c 
`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -dynamiclib -o dumpdecrypted.dylib dumpdecrypted.o

編譯在當(dāng)前目錄下生成了一個(gè) dumpdecrypted.dylib 文件。

• 獲取需要注入的APP的HOME目錄

iPhone:~ root# ps -e | grep .app
12082 ??         0:17.83 /var/mobile/Containers/Bundle/Application/17803F58-6C43-4FF6-8ED4-55FAC9587C32/News.app/News
12111 ??         6:09.93 /var/mobile/Containers/Bundle/Application/29D93EE3-38D0-462C-AEE5-51079D0A50D4/mmosite.app/mmosite
12156 ttys000    0:00.01 grep .app
iPhone:~ root# cycript -p News
cy# [[NSFileManager defaultManager]URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask][0]
#"file:///var/mobile/Containers/Data/Application/B835F1A8-8A10-487F-9BF3-8D1102C47336/Documents/"
cy# 

• 拷貝上一步生成的dumpdecrypted.dylib 文件到Document目錄

dumpdecrypted git:(master) ? scp ./dumpdecrypted.dylib root@192.168.3.41:/var/mobile/Containers/Data/Application/2D36F847-E808-4547-ADC5-0B1BD9F3BC6A/Documents
dumpdecrypted.dylib                                                 100%  193KB   1.0MB/s   00:00    

• 執(zhí)行砸殼

iPhone:/var/mobile/Containers/Data/Application/2D36F847-E808-4547-ADC5-0B1BD9F3BC6A/Documents root# DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/Application/0E6787B6-B579-41A7-AA54-6E80B6358047/News.app/News
mach-o decryption dumper
DISCLAIMER: This tool is only meant for security research purposes, not for application crackers.
[+] detected 32bit ARM binary in memory.
[+] offset to cryptid found: @0x4a4c(from 0x4000) = a4c
[+] Found encrypted data at address 00004000 of length 30556160 bytes - type 1.
[+] Opening /private/var/mobile/Containers/Bundle/Application/0E6787B6-B579-41A7-AA54-6E80B6358047/News.app/News for reading.
[+] Reading header
[+] Detecting header type
[+] Executable is a FAT image - searching for right architecture
[+] Correct arch is at offset 16384 in the file
[+] Opening News.decrypted for writing.
[+] Copying the not encrypted start of the file
[+] Dumping the decrypted data into the file
[+] Copying the not encrypted remainder of the file
[+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset 4a4c
[+] Closing original file
[+] Closing dump file

在Document目錄下生成了一個(gè)新的文件

News.decrypted   

這個(gè)就是砸殼之后的文件。

砸殼之后可以使用otool查看二進(jìn)制文件是否加密

?  News.app otool -l News | grep crypt
     cryptoff 16384
    cryptsize 32096256
      cryptid 0
     cryptoff 16384
    cryptsize 36356096
      cryptid 0

cryptid 0 表示文件是未加密的，砸殼成功