揭开iOS逆向解密的神秘面纱

前言

学习和了解逆向工程,可以帮助我们分析竞品和自己喜欢的APP的开发架构和某些功能的大体实现思路,也可以自己手动对其它APP大刀阔斧进行二次加工,满足自己的需求。 学习iOS逆向一段时间了,这里简单做个总结,揭开iOS逆向的神秘面纱。

Mac远程登录iPhone

iOS和Mac OS X都是基于Darwin(苹果的一个基于Unix的开源系统内核),所以iOS中同样支持终端的命令行操作。

在逆向工程中,我们经常会通过命令行来操纵iPhone。为了能够让Mac终端中的命令行能作用在iPhone上,我们得让Mac和iPhone建立连接。连接有两种方式:wifi连接和usb连接。

先在越狱软件上安装ssh插件OpenSSH ,命令行下和应用交互的插件Cycript
让越狱手机和mac电脑在同一个局域网下(为了能够通过ssh服务从mac电脑访问手机)
在mac的命令行终端 通过ssh服务登录手机 输入ssh root@手机ip。默认情况下的root密码是alpine。root密码可以自己修改。
然后在手机上运行程序,在mac终端上利用ps -A 查看手机当前运行的进程,找到进程id后便可以利用cycript进行一些列操作。例如:进入当前运行着的微信进程的cycript状态cycript -p WeChat

采用wifi连接有时候会出现卡顿延迟的现象,所以我通常采用usb连接。

Mac上有个服务程序usbmuxd(它会开机自动启动),可以将Mac的数据通过USB传输到iPhone
我使用了两个脚本进行登录:

  • python ~/iOS/tcprelay.py -t 22:10010进行端口的映射
  • ssh -p 10010 root@localhost usb的登录

Cycript的使用

Cycript是Objective-C++、ES6(JavaScript)、Java等语法的混合物,可以用来探索、修改、调试正在运行的Mac\iOS APP。官网:http://www.cycript.org

比如一些简单的使用:

// 微信进程
cycript -p WeChat
// 获得沙盒路径
NSSearchPathForDirectoriesInDomains(NSDocumentDirectory,NSUserDomainMask,YES)[0]
// 打印当前页面view的层级
UIApp.keyWindow.recursiveDescription().toString()

主要搭配Reveal使用,从Reveal中获得某个界面或者view所属的类或控制器,然后拿到该类或控制器利用cycript进行调试。比如,知道了一个view对应的类为testView,想把该view从当前界面移除,达到不显示的效果:

[testView removeFromSuperview];

代码Hook分析

如果要逆向App的某个功能少不了代码的分析。

1.通过上面的分析,找到某个view对应的类后,就需要导出该类对应的头文件进行具体的分析了。

2.首先找到App的二进制文件(Mach-O类型),(使用iFunBox把该文件导出到Mac上)然后使用class-dump工具导出其中的所有头文件,这些头文件中可以看到其中的属性和方法。class-dump -H Mach-O文件路径 -o 头文件存放目录

3.如果要查看Mach-O文件完整信息,建议用MachOView。otool -l打印所有的 Load Commands,建议搭配grep进行正则过滤。otool -L 可以查看使用的库文件。

4.头文件分析完毕后,就可以利用theos进行越越代码的开发了,编译生成Tweak插件(deb格式)。

利用nic.pl指令,选择iphone/tweak,创建一个tweak工程。
在这个tweak工程中编辑Tweak.xm文件,编写自己的越狱代码。
开发完成后利用make package打包和make install安装到手机。重启应用,你会发现对应的功能已经根据hook的代码改变了。
原理:iOS在越狱后,会默认安装一个名叫mobilesubstrate的动态库,它的作用是提供一个系统级的入侵管道,所有的tweak都可以依赖它来进行开发。在目标程序启动时根据规则把指定目录的第三方的动态库加载进去,第三方的动态库也就是我们写的破解程序,从而达到修改内存中代码逻辑的目的。

5.有时候想看某个类中的某个方法的实现以及调用逻辑,就需要用到Hopper Disassembler工具。

theos的常用语法

  • %hook ,%end : hook一个类的开始和结束
  • %log:打印方法调用详情
  • HBDebugLog:跟NSLog类似
  • %new:添加一个新的方法的时候使用
  • %orig:函数原来的代码逻辑
  • %ctor:在加载动态库时调用
  • logify.pl:可以将一个头文件快速转换成已经包含打印信息的xm文件
  • 如果有额外的资源文件(比如图片),放到项目的layout文件夹中,对应着手机的根路径/

砸壳(脱壳)

如果使用越狱手机直接从pp助手下载下来的部分应用免去了我们自己脱壳的过程。但是如果是从App Store下载下来的应用,App Store已经为该应用进行了加密,再使用class-dump是无法导出头文件的,这是时候就需要对APP进行脱壳操作了。

脱壳工具有两种,Clutch 和 dumpdecrypted

Clutch :

在Mac终端登陆到iPhone后,利用Clutch脱壳
Clutch -i 列举手机中已安装的应用中加密的应用。
Clutch -d 应用bundleid 对加密的应用脱壳,脱壳成功后会生产新的Match-O文件。对这个新的文件进行class-dump操作即可。

有时候使用Clutch脱壳,会出现失败的情况,比如脱壳微信的时候就会出现错误。这个时候就需要使用dumpdecrypted:

终端进入dumpdecrypted.dylib所在的目录 var/root
使用环境变量 DYLD_INSERT_LIBRARIES 将 dylib 注入到需要脱壳的可执行文件(可执行文件路径可以通过ps -A查看获取)
执行命令 DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件路径 即可完成脱壳操作。

结语

了解以上逆向的流程后,你可以实现一些有趣的功能,比如:视频客户端去广告,修改微信运动步数,防止微信消息测回,微信自动抢红包等功能。同时,也会在自己客户端的开发过程中更注重信息的安全保护。研究逆向,一定要善于利用各种工具,并且做好不断失败的准备,愈挫愈勇,终会成功。

好了,以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对我们的支持。

(0)

相关推荐

  • 汇总ios开发逆向传值的方法

    iOS的逆向传值有很多种方法,下面来总结几种常用的传值方式(只贴相关代码): 第一种:代理传值 第二个控制器: @protocol WJSecondViewControllerDelegate <NSObject> - (void)changeText:(NSString*)text; @end @property(nonatomic,assign)id<WJSecondViewControllerDelegate>delegate; - (IBAction)buttonClick

  • iOS逆向教程之logify跟踪方法的调用

    前言 根据上一篇文章的介绍,我们将App的头文件使用 class-dump 导出后,然后利用 theos 创建逆向的工程,编写 hook 的代码,从而达到修改某些功能的目的.但是有时候某些功能具体调用哪个方法我们不好定位,这时候就用到了 logify 来跟踪函数调用,从而定位到我们需要的函数. logify 是 theos 的一个组件,logify 可以将一个头文件快速转换成已经包含打印信息的xm文件.当然如果某个类中的方法很少,你完全可以自己手动添加 NSLog 的打印信息,但是某个文件中的方

  • iOS利用Block逆向传值的方式详解

    前言 在iOS通过代理逆向传值的方式详解一文中,分析了如何利用代理模式来逆向传值,其实还有一些其他的方式,如通知.Block等,相比较代理,我个人认为反而要简单些,但是需要处理好细节问题,如Block循环引用.还是用前文的案例,本次使用Block来实现,Block的基本知识本文不再赘述. 一.书写规范 Block传值,需要注意的是,谁传值就需要定义Block,捕获方仅仅需要传递Block给传值方,并处理捕获的值. 传值方 1.定义Block用于传值 2.声明一个上述Block属性,这个属性的具体

  • iOS通过代理逆向传值的方式详解

    前言 在iOS开发中,常见的几种逆向传值方式,有代理(delegate).通知(NSNotification),block等等,本文就给大家分析下,如何理解和快速上手代理模式,并以一个简单的逆向传值为案例,看看代理模式是不是很难. 一.代理模式中的几个概念 讲代理模式之前,首先需要弄清楚两个概念:被代理对象和代理对象.并且需要知道它们之间是靠协议关连起来的. 1.被代理对象 被代理对象往往就是真正有做事意图的那个对象,比如卖房子案例中的想卖房子的房主,保姆婴儿案例中想喝奶的婴儿.但是它们自己做不

  • iOS通过逆向理解Block的内存模型

    前言 正常情况下,通过分析界面以及 class-dump 出来头文件就能对某个功能的实现猜个八九不离十.但是 Block 这种特殊的类型在头文件中是看不出它的声明的,一些有 Block 回调的方法名 dump 出来是类似这样的: - (void)FM_GetSubscribeList:(long long)arg1 pageSize:(long long)arg2 callBack:(CDUnknownBlockType)arg3; 因为这种回调看不到它的方法签名,我们无法知道这个 Block

  • iOS逆向教程之跟踪函数调用详解

    前言 今天学习的是跟踪函数调用,什么意思呢,举个例子,如果想做一个微信自动抢红包的插件,就需要写这么一个功能,当红包来了的时候,自动触发微信的抢红包函数.好,那咱就先找到这个函数. 映射端口 $ sh usb.sh Forwarding local port 10001 to remote port 22 Incoming connection to 10001 另起一终端登录 $ sh login.sh 找到微信安装路径 ps -A|grep mobile 8636 ?? 0:35.91 /v

  • iOS逆向教程之动态调试详解

    前言 有时候想更了解别人App的调用流程,就需要在App运行的时候进行动态调试.动态调试指的是将程序运行起来,通过下断点.打印等方式,查看参数.返回值.函数调用流程等. 下面话不多说了,来随着小编一起看看详细的介绍吧 Xcode的动态调试原理 首先了解一下 Xcode 编译和调试器的发展.Xcode 中的编译器发展历程:GCC -> LLVM,调试器的发展历程:GDB -> LLDB . Xcode 调试安装到手机上的应用的原理:Xcode 通过 LLDB 调试器把调试指令发送到手机上的 de

  • ARM汇编逆向iOS 实战

    我们先讲一些ARM汇编的基础知识.(我们以ARMV7为例,最新iPhone5s上的64位暂不讨论) 基础知识部分: 首先你介绍一下寄存器: R0-R3:用于函数参数及返回值的传递 R4-R6, R8,R10-R11:没有特殊规定,就是普通的通用寄存器 R7:栈帧指针(Frame Pointer).指向前一个保存的栈帧(stack frame)和链接寄存器(link register, lr)在栈上的地址. R9:操作系统保留 R12:又叫IP(intra-procedure scratch),

  • 揭开iOS逆向解密的神秘面纱

    前言 学习和了解逆向工程,可以帮助我们分析竞品和自己喜欢的APP的开发架构和某些功能的大体实现思路,也可以自己手动对其它APP大刀阔斧进行二次加工,满足自己的需求. 学习iOS逆向一段时间了,这里简单做个总结,揭开iOS逆向的神秘面纱. Mac远程登录iPhone iOS和Mac OS X都是基于Darwin(苹果的一个基于Unix的开源系统内核),所以iOS中同样支持终端的命令行操作. 在逆向工程中,我们经常会通过命令行来操纵iPhone.为了能够让Mac终端中的命令行能作用在iPhone上,

  • 一篇文章揭开Kotlin协程的神秘面纱

    前言 Kotlin协程提供了一种新的异步执行方式,但直接查看库函数可能会有点混乱,本文中尝试揭开协程的神秘面纱. 理论 它是什么 这是别人翻译: 协程把异步编程放入库中来简化这类操作.程序逻辑在协程中顺序表述,而底层的库会将其转换为异步操作.库会将相关的用户代码打包成回调,订阅相关事件,调度其执行到不同的线程(甚至不同的机器),而代码依然想顺序执行那么简单. 我的理解:子任务程协作运行,优雅的处理异步问题解决方案. 它能干什么? 我在做安卓开发,它能替换掉Handler,AsyncTask 甚至

  • 揭开正则表达式的神秘面纱(regexlab出品)

    引言 正则表达式(regular expression)就是用一个"字符串"来描述一个特征,然后去验证另一个"字符串"是否符合这个特征.比如 表达式"ab+" 描述的特征是"一个 'a' 和 任意个 'b' ",那么 'ab', 'abb', 'abbbbbbbbbb' 都符合这个特征. 正则表达式可以用来:(1)验证字符串是否符合指定特征,比如验证是否是合法的邮件地址.(2)用来查找字符串,从一个长的文本中查找符合指定特征的

  • C# IQueryable<T>揭开表达式树的神秘面纱

    什么是树? 什么是树?这个问题好像有点白痴.树不就是树嘛. 我们从最下面的主干开始往上看,主枝-分支-分支....可以说是无限分支下去.我们倒过来看就是这样: 平时我们用得最多的树结构数据就是XML了,节点下面可以无限添加子节点.我们想想平时还用过什么树结构数据,比如:菜单无限分级.评论区的楼层. 这和我们今天讲的有毛关系啊.... 我们今天主要就是来分析表达式树的.. lambda表达式和表达式树的区别: Lambda表达式: Func<Student, bool> func = t =&g

  • 基于ios逆向过程中lldb调试技巧(推荐)

    假如你准备在模拟器里面运行这个,你可以在"(lldb)"提示的后面输入下面的: (lldb) po $eax LLDB在xcode4.3或者之后的版本里面是默认的调试器.假如你正在使用老一点版本的xcode的话,你又GDB调试器.他们有一些基本的相同的命令,因此假如你的xcode使用的是"(gdb)"提示,而不是"(lldb)"提示的话,你也能够更随一起做,而没有问题. "po"命令是"print object&qu

  • iOS逆向工程之Hopper中的ARM指令详解

    虽然前段时间ARM被日本软银收购了,但是科技是无国界的,所以呢ARM相关知识该学的学.现在看ARM指令集还是倍感亲切的,毕竟大学里开了ARM这门课,并且做了不少的实验,当时自我感觉ARM这门课学的还是可以的.虽然当时感觉学这门课以后似乎不怎么用的上,可曾想这不就用上了吗,不过之前学的都差不多忘了,还得捡起来呢.ARM指令集是精简指令集,从名字我们就能看出指令的个数比那些负责指令集要少一些.当然本篇所涉及的ARM指令集是冰山一角,不过也算是基础,可以阅读Hopper中的汇编了,实践出真知,看多了自

  • iOS逆向开发之微信自动添加好友功能

    这一次,小程演示怎么让一个APP自动地运行,从而代替手工的操作.同样以"微信"以例,实现在一个微信群里面,对所有的成员,自动地一个一个地发出添加好友的请求. 知识点还是之前介绍的东西,流程方面还是跟踪与最终注入.因为这是一个系列的文章讲解(微信公众号"广州小程" -> 逆向开发),所以读者可以联系前面的文章来理解,用自己的话"翻译"成自己的知识与经验. 本文解决一个问题:如何让第三方程序自动化地运行. (一)批量添加好友的效果 小程使用&q

  • js逆向解密之网络爬虫

    1 引言 数月前写过某网站(请原谅我的掩耳盗铃)的爬虫,这两天需要重新采集一次,用的是scrapy-redis框架,本以为二次爬取可以轻松完成的,可没想到爬虫启动没几秒,出现了大堆的重试提示,心里顿时就咯噔一下,悠闲时光估计要结束了. 仔细分析后,发现是获取店铺列表的请求出现问题,通过浏览器抓包,发现请求头参数中相比之前多了一个X-Shard和x-uab参数,如下图所示: X-Shard倒是没什么问题,一看就是兴趣点的经纬度,但x-uab看过之后就让人心里苦了,js加密啊,只能去逆向解密了. 2

随机推荐