逆向工程的目的

1)分析競(jìng)品的最新研究或者產(chǎn)品原型（包括所用的技術(shù)，所使用的框架）

2)學(xué)術(shù)／學(xué)習(xí)目的。

3)破解應(yīng)用的使用權(quán)限

4)識(shí)別競(jìng)品潛在的侵權(quán)行為

逆向工程的分析工具

進(jìn)行iOS逆向工程的一個(gè)關(guān)鍵就是工具的使用，工欲善其事，必先利其器。

工具分類(lèi) 工具名稱(chēng)

越獄工具 盤(pán)古越獄

查看文件工具 PP助手, iExplorer, iFunbox, iTool

砸殼工具 dumpdecrypted, Clutch

查看頭文件工具 class-dump

反匯編工具 Hopper, IDA Pro

調(diào)試器 Cycript, gdb

UI分析工具 Reveal

網(wǎng)絡(luò)分析工具 Charles

第一部分 砸殼查看APP頭文件

工具

一.App Store上的應(yīng)用都使用了FairPlay DRM數(shù)字版權(quán)加密保護(hù)技術(shù)。我們要對(duì)文件進(jìn)行反匯編，而IPA都是加密的，哪怎么辦呢？所以在逆向之前我們需要先對(duì)應(yīng)用進(jìn)行砸殼。這里我們使用的是 dumpdecrypted。(還可以使用Clutch,這里我們就不講Clutch了)

dumpdecrypted 代碼

Dumps decrypted mach-o files from encrypted iPhone applications from memory to disk.

This tool is necessary for security researchers to be able to look under the hood of encryption.

二.class-dump是用于解析Mach-O文件中存儲(chǔ)的OC運(yùn)行時(shí)信息的。他能生成類(lèi)的聲明、分類(lèi)、協(xié)議。和otool -ov類(lèi)似，但是由于class-dump的結(jié)果是以O(shè)C代碼展示的，所以有很強(qiáng)的可讀性。

class-dump 代碼

This is a command-line utility for examining the Objective-C runtime information stored in Mach-O files.

It generates declarations for the classes, categories and protocols. This is the same information provided by using ‘otool -ov’,

but presented as normal Objective-C declarations, so it is much more compact and readable.

三.一臺(tái)越獄手機(jī)

iOS為了保證安全性，所有的應(yīng)用都是在沙盒中運(yùn)行。所以要想完成逆向操作，我們需要更高級(jí)的權(quán)限。沒(méi)有越獄設(shè)備那就無(wú)法展開(kāi)學(xué)習(xí)和研究工作。

步驟

一.安裝好 dumpdecrypted和 class-dump 以后，在越獄機(jī)上Cydia上安裝 openSSH，通過(guò)MAC終端控制手機(jī)，openSSH密碼是alpine（手機(jī)和電腦需要在同一網(wǎng)段，然后點(diǎn)開(kāi)設(shè)置查看當(dāng)前手機(jī)分配的ip地址）

Mac-mini-Damon:~ damon$ ssh root@192.168.2.108

root@192.168.2.108's password:

iPhone4:~ root#

二.在越獄機(jī)上Cydia上安裝 Cycript

Cycript是一個(gè)理解Objective-C語(yǔ)法的javascript解釋器，這意味著我們能夠在一個(gè)命令中用Objective-C或者javascript，

甚至2者兼用。它能夠掛鉤正在運(yùn)行的進(jìn)程，能夠在運(yùn)行時(shí)修改應(yīng)用的很多東西。使用Cycript有如下好處：

1.我們能夠掛鉤正在運(yùn)行的進(jìn)程，并且找出正被使用的類(lèi)信息，例如view controllers，內(nèi)部和第3方庫(kù)，甚至程序的delegate的名稱(chēng)。

2.對(duì)于一個(gè)特定的類(lèi)，例如View Controller, App delegate或者任何其他的類(lèi)，我們能夠得到所有被使用的方法名稱(chēng)。

3.我們能夠得到所有實(shí)例變量的名稱(chēng)和在程序運(yùn)行的任意時(shí)刻實(shí)例變量的值。

4.我們能夠在運(yùn)行時(shí)修改實(shí)例變量的值。

5.我們能夠執(zhí)行Method Swizzling，例如替換一個(gè)特定方法的實(shí)現(xiàn)。

6.我們可以在運(yùn)行時(shí)調(diào)用任意方法，即使這個(gè)方法目前并不在應(yīng)用的實(shí)際代碼當(dāng)中。

Mac-mini-Damon:dumpdecrypted-master damon$ cd /Users/damon/Desktop/dumpdecrypted-master

Mac-mini-Damon:dumpdecrypted-master damon$ make

`xcrun --sdk iphoneos --find gcc` -Os? -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c

Mac-mini-Damon:dumpdecrypted-master damon$ ls

Makefile? ? ? ? dumpdecrypted.c? ? dumpdecrypted.o

README? ? ? ? ? dumpdecrypted.dylib

Mac-mini-Damon:dumpdecrypted-master damon$

三.找出要反編譯APP的執(zhí)行文件目錄，為了避免干擾，最好殺掉其他進(jìn)程，只打開(kāi)反編譯APP，使用ps -e命令得到路徑

iPhone4:~ root# ps -e

PID TTY? ? ? ? ? TIME CMD

1556 ??? ? ? ? 0:00.10 /usr/libexec/afc2d -S -L -d /

1564 ??? ? ? ? 0:03.07 /usr/libexec/deleted --idleExit

1566 ??? ? ? ? 0:00.15 /System/Library/PrivateFrameworks/GeoServices.framework/geod

1568 ??? ? ? ? 0:00.36 /usr/libexec/mobileassetd

1570 ??? ? ? ? 0:00.63 /System/Library/Frameworks/AssetsLibrary.framework/Support/assetsd

1612 ??? ? ? ? 0:00.37 sshd: root@ttys000

1622 ??? ? ? ? 0:06.20 /var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/QQ.app/QQ

1623 ??? ? ? ? 0:00.10 /System/Library/Frameworks/UIKit.framework/Support/pasteboardd

1613 ttys000? ? 0:00.05 -sh

1628 ttys000? ? 0:00.01 ps -e

iPhone4:~ root#

其中的 /var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/QQ.app/QQ 就是我們要找的

四.使用Cycript找出反編譯APP的Documents目錄路徑

iPhone4:~ root# cycript -p QQ

cy# [[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask][0]

#"file:///var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/Documents/"

cy#

其中的 /var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/Documents/ 就是我們要找的Documents目錄路徑

五.將dumpdecrypted_7.dylib拷貝到Documents目錄下，此處是使用scp方式，也可以使用iFunBox或者PP助手進(jìn)行文件操作（這里的dumpdecrypted_7.dylib是別人已經(jīng)生成好的）地址

Mac-mini-Damon:~ damon$ scp /Users/damon/Desktop/dumpde/dumpdecrypted_7.dylib root@192.168.2.108:/var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/Documents/

root@192.168.2.108's password:

dumpdecrypted_7.dylib? ? ? ? ? ? ? ? ? ? ? ? 100%? 81KB? 81.0KB/s? 00:00

Mac-mini-Damon:~ damon$

六.然后就是使用dumpdecrypted砸殼

iPhone4:~ root# cd /var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/Documents/

iPhone4:/var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/Documents root# DYLD_INSERT_LIBRARIES=dumpdecrypted_7.dylib /var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/QQ.app/QQ

mach-o decryption dumper

DISCLAIMER: This tool is only meant for security research purposes, not for application crackers.

[+] detected 32bit ARM binary in memory.

[+] offset to cryptid found: @0x4a4c(from 0x4000) = a4c

[+] Found encrypted data at address 00004000 of length 46284800 bytes - type 1.

[+] Opening /private/var/mobile/Applications/B1215D4A-24B7-480F-B91D-8F5386B0211A/QQ.app/QQ for reading.

[+] Reading header

[+] Detecting header type

[+] Executable is a FAT image - searching for right architecture

[+] Correct arch is at offset 16384 in the file

[+] Opening QQ.decrypted for writing.

[+] Copying the not encrypted start of the file

[+] Dumping the decrypted data into the file

[+] Copying the not encrypted remainder of the file

[+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset 4a4c

[+] Closing original file

[+] Closing dump file

iPhone4:~ root# ls

(null)/? ? ? ? CustomFace/? ? ? ? Image/? ? ? ? Other/? ? ? ? QQAppSetting.plist? TRctBundle/? app.m? ? ? ? ? ? ? ? dumpdecrypted_7.dylib? wallet/

AVEngine.log? ? Doc/? ? ? ? ? ? ? LuaPluginDir/? QMusicSdk/? ? QQFlow.ini? ? ? ? ? Theme/? ? ? client_wording.json? giftInfo/? ? ? ? ? ? ? webappCache2/

Audio/? ? ? ? ? FileRecv/? ? ? ? ? MQZONEv1/? ? ? QQ.decrypted? QQHeadThumb/? ? ? ? ThemeInfo/? content/? ? ? ? ? ? patchScripts/? ? ? ? ? wupseq.dat

ConfigStorage/? FileTransferTemp/? MyFolder/? ? ? QQ.ini? ? ? ? QZoneImageThumb/? ? Video/? ? ? contents/? ? ? ? ? ? tbmg.data

root#

其中的 QQ.decrypted 就是我們要的破解文件

七.使用class-dump將文件解析

將QQ.decrypted拷貝到Mac桌面文件夾,使用class-dump進(jìn)行解析

Mac-mini-Damon:~ damon$ cd /Users/damon/Desktop/test

Mac-mini-Damon:test damon$ class-dump --arch armv7 QQ.decrypted > QQ.m

Mac-mini-Damon:test damon$

得到的QQ.m文件就是我們需要的頭文件，class-dump --arch armv7 QQ.decrypted > QQ.m，因?yàn)槲沂怯玫氖謾C(jī)是iPhone4做的（沒(méi)辦法，只能用公司不用的4進(jìn)行越獄），所以使用 armv7，其他型號(hào)使用相對(duì)應(yīng)的 4（armv7），4s（armv7），5（armv7），5s（arm64），6（arm64），6s（arm64）

1)分析從AppStore下載的IPA包

class-dump --arch armv7 QQ.decrypted > QQ.m

2)分析從越獄平臺(tái)下載的越獄IPA包

class-dump -H MYXJ.app -o /Users/damon/Desktop/test/headMYXJ

第二部分 分析APP UI

Reveal簡(jiǎn)介

Reveal能夠在運(yùn)行時(shí)調(diào)試和修改iOS應(yīng)用程序。它能連接到應(yīng)用程序，并允許開(kāi)發(fā)者編輯各種用戶(hù)界面參數(shù)，

這反過(guò)來(lái)會(huì)立即反應(yīng)在程序的UI上。就像用FireBug調(diào)試HTML頁(yè)面一樣，在不需要重寫(xiě)代碼、

重新構(gòu)建和重新部署應(yīng)用程序的情況下就能夠調(diào)試和修改iOS用戶(hù)界面。

Reveal查看任意app的高級(jí)技巧介紹了如何在越獄設(shè)備上查看任意app的技巧：

1)iOS設(shè)備需要越獄，iOS6以上

2)安裝Reveal，越獄設(shè)備與安裝Reveal的Mac在同一wifi內(nèi)。

3)點(diǎn)擊菜單Help / Show Reveal Library in Finder，獲取libReveal.dylib

4)將libReveal.dylib上傳到設(shè)備的/Library/MobileSubstrate/DynamicLibraries

5)編輯并上傳一個(gè)libReveal.plist，格式和/Library/MobileSubstrate/DynamicLibraries下面的其他plist類(lèi)似，其中的filter的bundle寫(xiě)要查看的iOS App的bundle Id。

格式如下：

{ Filter = { Bundles = ( "你要查看的app的bundle Id" ); }; }

6)重啟iOS設(shè)備

第三部分 反編譯

一：Hopper簡(jiǎn)介

Hopper是一款運(yùn)行在Mac、Windows和Linux下的調(diào)試(os x only)、反匯編和反編譯的交互式工具。

可以對(duì)32、64位的MAC程序、Windows程序和IOS程序(arm)進(jìn)行調(diào)試、反編譯等。

功能

1)能夠分析出函數(shù)的代碼塊、變量等

2)可以生成代碼塊的控制流圖CFG

3)可以通過(guò)Python腳本來(lái)調(diào)用Hopper的其他一些功能，使用更加靈活

4)在MAC上還可以通過(guò)GDP動(dòng)態(tài)調(diào)試分析

5)對(duì)Objective C的極佳的支持——能夠解析出Selector、字符串和發(fā)送的消息

6)反編譯，生成偽代碼

7)分析快速，且占用資源少

二：IDA Pro簡(jiǎn)介

IDA Pro是一個(gè)非常強(qiáng)大的反匯編和調(diào)試工具，支持Windows,Linux, Mac OS X平臺(tái)

IDA Pro權(quán)威指南（第2版）

第四部分 網(wǎng)絡(luò)接口分析

Charles簡(jiǎn)介

Charles是Mac下常用的對(duì)網(wǎng)絡(luò)流量進(jìn)行分析的工具，類(lèi)似于Windows下的Fiddler。

在開(kāi)發(fā)iOS程序的時(shí)候，往往需要調(diào)試客戶(hù)端和服務(wù)器的API接口，這個(gè)時(shí)候就可以用Charles，Charles能夠攔截SSL請(qǐng)求、模擬慢速網(wǎng)絡(luò)、

支持修改網(wǎng)絡(luò)請(qǐng)求包并多次發(fā)送、能夠篡改Request和Response等強(qiáng)大的功能。下面介紹安裝和使用方法。

功能

1)攔截SSL請(qǐng)求

2)模擬慢速網(wǎng)絡(luò)

菜單Proxy中的Throttle Setting可以對(duì)此進(jìn)行設(shè)置

3)支持修改網(wǎng)絡(luò)請(qǐng)求包并多次發(fā)送

4)斷點(diǎn)功能

Charles能夠斷到發(fā)送請(qǐng)求前（篡改Request）和請(qǐng)求后（篡改Response）

5)捕獲記錄控制 可以過(guò)濾出關(guān)注的請(qǐng)求。菜單Proxy中的Record Setting可以對(duì)此進(jìn)行設(shè)置

第五部分 使用調(diào)試器hook

gdb調(diào)試命令

已經(jīng)集成在Xcode中去了用于調(diào)試App程序

但是直接在硬件設(shè)備上執(zhí)行時(shí)，可以獲得更多的功能

可以調(diào)試設(shè)備上所有的進(jìn)程

快速分離和重新附著到某個(gè)進(jìn)程上

沒(méi)有桌面形式的操作系統(tǒng)上進(jìn)行開(kāi)發(fā)程序時(shí)的調(diào)試

攻擊者可以修改gdb命令的腳本文件，來(lái)達(dá)到操作設(shè)備上任何程序的

運(yùn)行、修改、監(jiān)控設(shè)備上的所有的程序

iOS應(yīng)用程序安全(22)-使用GDB進(jìn)行運(yùn)行時(shí)分析和操作

iOS安全攻防(二十)動(dòng)態(tài)調(diào)試?yán)?--gdb基礎(chǔ)篇

iOS逆向工程讀書(shū)筆記

第六部分 如何防止被反編譯

代碼混淆的必要性以及方法：

1) 使用c語(yǔ)言實(shí)現(xiàn)關(guān)鍵的代碼邏輯

2）使用宏替換