前言:
最近剛剛接觸逆向這一塊,之前一直覺得是很高大上的一個方向,有點可望而不可即的樣子。機緣巧合之下,開始了逆向之路,這兩天一直在研究這一塊,目前僅僅是砸了殼,得到了.h文件然后用hopper進行了簡單的分析。所以這篇文章主要分享一下這幾天遇到的坑以及解決方法,做一個記錄同時也希望能幫助到跟我一樣的人。OK,話不多說,開始。
1、開發的準備工作
- 首先需要一部iPhone或者iPad,iPhone的話版本要在10.2.0以下。我用的是全新的6s,初始版本是10.0.2,是可以越獄的。
- 關于越獄的話,我是直接用的PP助手,傻瓜式的越獄方式啊哈哈。因為手機版本的問題,Mac版的PP越獄助手支持的版本在iOS 10以下,所以用的Windows版的pp助手,直接一鍵越獄。當然也可以用其他的軟件,愛思助手等等。
- 越獄過程很順利越獄教程鏈接 照著教程來沒有遇到問題。如果遇到問題可以到論壇上提問也可以在文章末提出來,可以一起交流。
- 記得在Cydia里面添加一些必要的軟件源和插件,軟件源的話我只添加了PP助手的,插件的話,Openssh、Cycript、Apple File Conduit"2" 這幾個,很多是內置了。
2、開始逆向的第一步
有些從 APPStore 商店下載安裝的APP 默認都被蘋果加了一層殼,加了殼后我們就無法使用dump導出頭文件等其它操作,常用的砸殼工具有dumpdecrypted、Clutch、AppCrackr。
這里我們使用dumpdecrypted砸殼。下載地址。通過make命令得到的dumpdecrypted.dylib就是我們的工具。
- “砸殼” :概括一下大概需要這幾個步驟,
1、手機或者iPad中打開需要砸殼的APP。
2、SSH連接到手機,找到ipa包的位置并記錄下來。
3、Cycript附加到進程,找到App的Documents文件夾位置并記錄下來。
4、拷貝dumpdecrypted.dylib 到App的Documents 的目錄。
5、執行砸殼后,并拷貝出砸殼后的文件,然后完成。
第一步:分別找到兩個地址
我這里用的是WiFi連接,使用上有一定的局限性,更好的方案是使用USB連接,推薦兩篇文章,之后我也會用USB進行連接。debugserver和lldb進行調試、iOS逆向工程之Hopper+LLDB調試第三方App .
用到的命令:
1, ssh root@10.10.245.208 (iP地址為設備的iP地址)
2, ps -e (查看進程)
3, cycript -p (附加進程)
4, [[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory
inDomains:NSUserDomainMask][0]
** 注意: ** 如果直接用IP地址不可以的話,可以打開電腦的pp助手,在工具里面有一個“打開ssh通道”,手動打開之后,彈窗會提示將設備的IP地址端口映射到了本地,并且給出了提示如何進入root權限,比如,ssh root@localhost -p 2223,密碼都是默認的alpine,輸入后即可進入了。
iOS逆向-用Cycript進行運行時分析(微信應用),iOS運行時工具-Cycript 。 這兩篇文章可以了解一下Cycript。
第二步:拷貝dumpdecrypted.dylib 到App的Documents的目錄,需要用到的命令:
scp ~/dumpdecrypted.dylib root@10.10.242.107:/var/mobile/Containers/Data/Application/2B4C6281-C015-4FF3-A8EC-5E5C7554D447/Documents 利用Scp命令進行拷貝)
第三步 :砸殼
進入到 Documents 目錄下,然后進行砸殼:
需要用到的命令:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/
Application/BFED82A3-3238-4F41-B797-C1CB584CBE05/qqlive.app/qqlive
然后就會生成.decrypted的文件,這個就是砸殼后的文件。我們接下來就可以對他做操作了,比如導出頭文件。
** 注意: ** 我在這里遇到問題了,一是無法用IP進行連接拷貝動態庫,二是當我手動把動態庫拷貝到documents/下面然后去進行砸殼的時候提示我,dyld: could not load inserted library 'dumpdecrypted.dylib' because no suitable image found. Did find:
dumpdecrypted.dylib: required code signature missing for 'dumpdecrypted.dylib'
錯誤。
- 在這里我一并解答,關于拷貝的話,可以直接手動拷貝的,用PP助手、iExplorer、IFunBox都可以。那為什么砸殼還失敗呢,那是因為這里編譯出的動態庫還需要做一個簽名。步驟如下:
- 列出可簽名證書
security find-identity -v -p codesigning - 為dumpecrypted.dylib簽名
codesign --force --verify --verbose --sign "iPhone Developer: xxx xxxx (xxxxxxxxxx)" dumpdecrypted.dylib
之后重新上傳砸殼既可。
第四步:拷貝出.decrypted文件并導出頭文件
輸入命令:
class-dump -S -s -H xxx.decrypted -o ./Headers (前面是脫殼文件的位置,后面是導出.h文件的目標文件夾)
** 如果, **沒有成功,不要緊張,應該是導出頭文件時指定的ARM架構不正確。所以,解決方法如下:
armv6:iPhone、 iPhone2、iPhone3G、 第一代和第二代iPod Touch
armv7: iPhone4、 iPhone4S
armv7s: iPhone5、iPhone5C
arm64: iPhone5S、iPhone6、iPhone6s
使用class-dump的--arch配置項來指定了具體的架構,例如
class-dump --arch armv7 -S -s -H WeChat.decrypted -o ./Headers
-
操作步驟和結果如下圖所示, 導出成功,你可以慢慢的分析了。
演示4
簡單說一下Hopper disassembler
下方就是使用Hopper打開“脫殼”文件的效果。當然,你也可以使用IDA Pro來查看,當然此處我們使用的是Hopper。從下方的截圖來看,結果是OK的。
至此,分享告一段落。
等接下來繼續研究反編譯。
再有技術問題一起交流。
在學習以及研究過程中,感謝在網絡上無私分享的那些人,是你們在不經意間幫助了很多人,很開心能有這樣的技術氛圍~
書籍的話在看《iOS應用逆向工程》第二版 ,受益匪淺
博客的話也學習了幾篇文章,iOS逆向工程之砸殼 、iOS逆向之脫殼。
寫此篇分享是在高鐵上,一邊享受回家的愉悅一邊匯總著知識點。如有不足敬請指出。
希望能和志同道合之人多多交流,共同提高。
