0. 學(xué)前準(zhǔn)備:
1. Mac OSX下的反匯編工具: Hopper Disassembler (本示例使用v4.0.8)
2. 基本的匯編指令(比如mov ,xor ,jmp,je 等)
3. 沒有其他啦,馬上開始動(dòng)手吧
1. 先手動(dòng)創(chuàng)建一個(gè)簡單的Mac OSX應(yīng)用
關(guān)于如何具體創(chuàng)建簡單的Mac OSX 應(yīng)用,請移步我之前翻譯的三篇系列入門一步一步,開始上手Mac開發(fā)
或者可以從這里下載示例中的應(yīng)用demo工程:github.com/Alexiuce/Tip-for-day/tree/master/CrackDemo
我們創(chuàng)建的這個(gè)簡單應(yīng)用,是模仿注冊碼驗(yàn)證的一個(gè)邏輯判斷(其實(shí)你也可以把這個(gè)當(dāng)作是登錄驗(yàn)證,道理是相同的),如果用戶輸入1234,我們認(rèn)為是正確的結(jié)果,顯示驗(yàn)證通過,否則都會(huì)顯示驗(yàn)證碼錯(cuò)誤這樣的提示信息
應(yīng)用的界面大致如下圖:
從Xcode工程中提取應(yīng)用
運(yùn)行工程后,會(huì)在Products中,生成一個(gè) "項(xiàng)目名稱.app"的應(yīng)用,這個(gè)就是我們的目標(biāo)應(yīng)用,然后在finder中找到它,并拷貝到桌面?zhèn)溆?我們后續(xù)的破解都是針對這個(gè)來進(jìn)行的~)
先來運(yùn)行一下破解前的程序,它的樣子差不多跟下面圖片相似
開啟破解之旅
1 打開Hopper Disassembler
2. 將需要破解的應(yīng)用(就是demo.app)拖入到Hopper中
確認(rèn)選擇界面
加載后的界面,入下圖
這個(gè)界面的布局和Xcode非常相似,大家不要被一些看不懂的內(nèi)容界面和工具欄迷惑而感到微微的手足無措(筆者第一次看到這個(gè)界面,也是茫然的~),我們下面把基本上常用的會(huì)一一介紹,其他的的功能按鈕,先當(dāng)作不存在(催眠式提升信心法~~),好,我們先來看一下工具欄下面的左側(cè)Labels窗口:
這個(gè)Labels窗口中列出的是應(yīng)用被反編譯后可以識(shí)別出來Objective-c方法,看到這些熟悉的方法名,小伙伴們是不是一下子感覺又回到Xcode代碼中啦,讓我們先忘記掉我們之前寫過的工程代碼,從這個(gè)列表里,我們根據(jù)方面名稱,大致可以推斷(破解的一個(gè)要素就是要有根據(jù)的猜測)出這幾個(gè)方法的用途:
[ViewController viewDidLoad] ====> ?視圖生命周期方法,加載視圖的時(shí)候調(diào)用
[ViewController checkCode:] ====> ?從名字可以看著,這個(gè)方法是用來做驗(yàn)證檢查的(后面會(huì)進(jìn)一步分析)
[ViewController textField] : ====> ?get方法,獲取文本輸入控件
[ViewController setTextField: ] ====> set方法,設(shè)置文本輸入控件
[ViewController tintLable] ?==== > ?get方法,獲取提示文本控件
[ViewController setTintLabel:] ? ====> set方法,設(shè)置提示文本控件
3.查看checkCode:方法
我們根據(jù)方法名列表,最值得懷疑的就是checkCode:(就像如果破解一個(gè)軟件的vip身份,那么如果看到isVip就應(yīng)該給予特別注意一樣)
從這個(gè)圖里的右側(cè)流程部分,我們可以看出checkCode這個(gè)方法的執(zhí)行邏輯是這樣的:
checkCode方法入口---> 執(zhí)行一些代碼(我們先不管這些代碼在做什么)--->選擇兩個(gè)分支代碼段中的一個(gè)執(zhí)行---> 再執(zhí)行一些代碼后,checkCode方法結(jié)束
4.假設(shè)階段
這三行匯編代碼是:
mov al,byte [rbp+var_29] ? ? ====> 這句匯編的含義相當(dāng)于我們使用高級語言里的賦值語句,例如 al = 123(這里是為了理解寫al = 123來舉例,程序運(yùn)行真實(shí)的al值并不是123),我們先把a(bǔ)l當(dāng)作一個(gè)變量來看,不去想al寄存器的事情
cmp al,0x0 ? ?====> 這個(gè)匯編的含義是進(jìn)行兩個(gè)值的比較 ,我們可以把它想象成一個(gè)高級語言的比較函數(shù),后面是兩個(gè)參數(shù),例如cmp(a,b), 執(zhí)行后返回比較的結(jié)果,匯編執(zhí)行比較,其實(shí)是做減法運(yùn)算,因此兩個(gè)數(shù)相減會(huì)有三種情況,分別是大于零,等于零,小于零,這三種結(jié)果,有可以簡單分為兩個(gè):相等,或不相等
je loc_10001054 ?====> 這個(gè)匯編的含義,我們可以認(rèn)為是 相等(equality), 不相等是jne, 在匯編中,一般cmp后面都會(huì)根上類似的判斷跳轉(zhuǎn)語句. 因此這行代碼下面會(huì)有兩個(gè)分支(參考方法的流程圖),如果cmp的比較結(jié)果是相等,就執(zhí)行 loc_10001054 這個(gè)分支,否則就執(zhí)行另外的那個(gè)分支(方法流程圖中紅色線條指向的那個(gè)分支)
從這個(gè)代碼邏輯,我們可以簡單的猜測出來應(yīng)用里判斷驗(yàn)證碼的邏輯是這樣的:
if (輸入的內(nèi)容 == 驗(yàn)證碼) {顯示正確結(jié)果(分支1)}else{顯示錯(cuò)誤結(jié)果分支2)}
5.求證階段
現(xiàn)在我們面臨的問題是,哪個(gè)分支才是正確結(jié)果的那個(gè)部分呢?
我們不必去讀懂兩個(gè)分支的匯編代碼(如果你有興趣另說),只需要修改邏輯并根據(jù)執(zhí)行結(jié)果來驗(yàn)證就好了,比如,我們?nèi)コ鬸e loc_10001054 這個(gè)相等就執(zhí)行的匯編代碼,這樣,checkCode的執(zhí)行邏輯就被我們修改為沒有分支loc_10001054的直線流程了.好,先動(dòng)手試試
替換掉je loc_10001054這條匯編指令(就是去掉條件判斷,不管比較結(jié)果如何,都會(huì)執(zhí)行固定的分支)
保存修改后的結(jié)果,生成新的可執(zhí)行文件
保存的路徑一定不能與demo.app相同!
保存的路徑一定不能與demo.app相同!!
保存的路徑一定不能與demo.app相同!!!
使用新的可執(zhí)行文件,替換掉破解前的可執(zhí)行文件:
運(yùn)行破解后的demo.app
小結(jié)與討論
到這里我們貌似已經(jīng)完成了破解工作,但其實(shí)是有很大的運(yùn)氣成分(我們只選了一個(gè)分支就碰巧是驗(yàn)證通過的那個(gè)代碼分支),大家可以考慮如果我們這個(gè)分支是無論怎么輸入都是顯示錯(cuò)誤的那個(gè)分支,應(yīng)該怎么辦呢?其實(shí)很簡單,就是把je換成jne就可以了,有興趣的可是試試,我這里就不再詳細(xì)描述了(點(diǎn)選Modify菜單->Assemble Instruction 可以手動(dòng)輸入新的匯編指令,把je 替換成jne就可以哦)
最后,給有興趣的童鞋留個(gè)疑問,如果找到原來正確的驗(yàn)證碼呢? 大家自己動(dòng)手看看吧
