iOS 應(yīng)用砸殼和導(dǎo)出類(lèi)信息

下載的非越獄應(yīng)用都是經(jīng)過(guò)加密的,加密后可以保證一定的安全性,但是對(duì)于逆向開(kāi)發(fā)的人來(lái)說(shuō),加密應(yīng)用無(wú)法進(jìn)行靜態(tài)分析,也無(wú)法導(dǎo)出類(lèi)信息等。加密對(duì)應(yīng)著解密,也就是我們常說(shuō)的應(yīng)用砸殼。
應(yīng)用砸殼分為兩種:靜態(tài)砸殼動(dòng)態(tài)砸殼。

  • 靜態(tài)砸殼:只有了解了應(yīng)用的加密算法和邏輯才可以在不運(yùn)行應(yīng)用的前提下進(jìn)行解密操作,這種方式操作難度大。
  • 動(dòng)態(tài)砸殼:運(yùn)行應(yīng)用程序,從內(nèi)存中讀取可執(zhí)行文件對(duì)應(yīng)的區(qū)域,這種方法簡(jiǎn)單且不需要了解應(yīng)用的加密方式。

一、iOS 應(yīng)用運(yùn)行原理

加密應(yīng)用 --> 系統(tǒng)內(nèi)核對(duì)加密應(yīng)用進(jìn)行解密 --> dyld 加載解密后的 Mach-O 文件 --> 內(nèi)存中某個(gè)區(qū)域存在解密后的可執(zhí)行文件數(shù)據(jù)


應(yīng)用運(yùn)行原理.png

二、砸殼方式

這里只討論動(dòng)態(tài)砸殼,原理都是從內(nèi)存中讀取解密后的數(shù)據(jù),動(dòng)態(tài)砸殼有以下四種砸殼工具:

  • Clutch
  • dumpdecrypted
  • frida-ios-dump

1、利用 Clutch 砸殼

  • 首先下載 Clutch 發(fā)布版本
    Clutch.png
  • 將 Clutch 文件復(fù)制到越獄手機(jī) /usr/bin/ 文件夾下
wifi 
scp Clutch root@<your.device.ip>:/usr/bin/Clutch
usb
iproxy 2222 22
scp -P 2222 Clutch root@localhost:/usr/bin/Clutch

  • 設(shè)置手機(jī)中的 Clutch 具有可執(zhí)行權(quán)限
    添加可執(zhí)行權(quán)限.png
  • 在越獄手機(jī)上運(yùn)行要砸殼的應(yīng)用,然后使用 Clutch -i 命令查看可砸殼的應(yīng)用列表
    可砸殼應(yīng)用列表.png
  • 使用 Clutch -d BundleIdClutch -d 序號(hào) 命令進(jìn)行砸殼
    砸殼.png
  • 將砸殼后的應(yīng)用保存到電腦上,手機(jī)上需要安裝 Apple File Conduit,Mac 上需要安裝 ** iFunBox**
    拷貝到電腦.png

2、利用 dumpdecrypted 砸殼

  • 下載 dumpdecrypted,使用 make 命令生成 dylib 動(dòng)態(tài)庫(kù)
    image.png
  • dumpdecrypted.dylib 復(fù)制到手機(jī) ~/ 目錄下
scp -P 2222 dumpdecrypted.dylib root@localhost:~/dumpdecrypted.dylib

  • 連接手機(jī)打開(kāi)APP,查看 APP 路徑
    查看 APP 路徑.png
  • 進(jìn)入手機(jī) ~/ 目錄,對(duì)砸殼應(yīng)用動(dòng)態(tài)注入 dumpdecrypted.dylib,命令如下:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 應(yīng)用路徑

動(dòng)態(tài)注入.png
當(dāng)前目錄下以 .decrypted 為后綴的就是我們解密后的可執(zhí)行文件

3、利用 frida-ios-dump 砸殼

  • 安裝 python(MAC自帶) 和 pip
sudo easy_install pip
  • 安裝 frida 
sudo pip install frida-tools
  • 手機(jī)安裝 ** Frida**
  • 連接手機(jī)查看當(dāng)前進(jìn)程,在 Mac 中輸入frida-ps -U 可以查看手機(jī)當(dāng)前的進(jìn)程
    當(dāng)前進(jìn)程.png
  • 下載 frida-ios-dump ,修改 dump.py 文件中用戶名密碼端口號(hào)
    修改dump.png
  • 執(zhí)行 ./dump.py DisplayName 進(jìn)行砸殼
    砸殼.png

三、砸殼腳本

個(gè)人比較傾向使用 frida-ios-dump 砸殼,所以這里介紹的砸殼腳本就以 frida-ios-dump 為基礎(chǔ)。

  • 首先建立一個(gè)存放腳本的文件夾,然后創(chuàng)建 shell 腳本 dump.sh,下面是本人的腳本內(nèi)容:
/Users/sun/SunShell/frida-ios-dump/dump.py $1
// 前面路徑為 dump.py 絕對(duì)路徑
  • 配置腳本可以全局使用,打開(kāi) ~/.bash_profile 配置全局搜索路徑
export SUNSHELL=~/SunShell  #自定義腳本文件夾
export PATH=$PATH:$SUNSHELL
  • 配置好后就可以在任意文件夾下使用 dump.sh DisplayName 命令進(jìn)行砸殼

四、導(dǎo)出類(lèi)信息

砸殼完了以后我們就可以導(dǎo)出應(yīng)用中的類(lèi)信息了。

  • 下載 class-dump
  • 使用 class-dump 命令導(dǎo)出頭信息
Usage: class-dump [options] <mach-o-file>

  where options are:
        -a             show instance variable offsets
        -A             show implementation addresses
        --arch <arch>  choose a specific architecture from a universal binary (ppc, ppc64, i386, x86_64)
        -C <regex>     only display classes matching regular expression
        -f <str>       find string in method name
        -H             generate header files in current directory, or directory specified with -o
        -I             sort classes, categories, and protocols by inheritance (overrides -s)
        -o <dir>       output directory used for -H
        -r             recursively expand frameworks and fixed VM shared libraries
        -s             sort classes and categories by name
        -S             sort methods by name
        -t             suppress header in output, for testing
        --list-arches  list the arches in the file, then exit
        --sdk-ios      specify iOS SDK version (will look in /Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS<version>.sdk
        --sdk-mac      specify Mac OS X version (will look in /Developer/SDKs/MacOSX<version>.sdk
        --sdk-root     specify the full SDK root path (or use --sdk-ios/--sdk-mac for a shortcut)

打開(kāi)命令行進(jìn)入 class-dump 所在的目錄下,執(zhí)行 ./class-dump --arch arm64 TargetAppMach-O -H -o ./Headers 命令導(dǎo)出頭文件到 Headers 文件夾下。
同樣我也寫(xiě)了一個(gè)全局的導(dǎo)出類(lèi)信息的腳本:

# 第一個(gè)參數(shù)是可執(zhí)行文件名稱
# 第二個(gè)參數(shù)是輸出文件夾,可選
# 第三個(gè)參數(shù)是架構(gòu)類(lèi)型,可選,默認(rèn)是arm64
outputName="./$1_Headers"
cpu_arch="arm64"

if [ $2 ]; then
    outputName=$2
fi

if [ $3 ]; then
    cpu_arch=$3
fi

/Users/sun/SunTool/class-dump --arch ${cpu_arch} $1 -H -o ${outputName}

腳本使用方式 class-dump.sh NewsLiteclass-dump.sh NewsLite Headersclass-dump.sh NewsLite arm64

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 概述 軟件脫殼,顧名思義,就是對(duì)軟件加殼的逆操作,把軟件上存在的殼去掉(解密)。 砸殼原理 應(yīng)用加殼(加密)提交給...
    沒(méi)八阿哥的程序閱讀 7,446評(píng)論 0 2
  • 砸殼 提交給Appstore發(fā)布的App,都經(jīng)過(guò)官方保護(hù)而加密,這樣可以保證機(jī)器上跑的應(yīng)用是蘋(píng)果審核過(guò)的,也可以管...
    king_jensen閱讀 1,454評(píng)論 0 1
  • 砸殼原理 砸殼顧名思義就是對(duì)軟件進(jìn)行逆向操作,對(duì)已加密的軟件進(jìn)行解密,從而獲取真實(shí)軟件源碼。App Store下載...
    Hanfank閱讀 20,067評(píng)論 7 12
  • 我們?nèi)粘i_(kāi)發(fā)提交給Appstore發(fā)布的App,都經(jīng)過(guò)官方保護(hù)而加密,這樣可以保證機(jī)器上跑的應(yīng)用是蘋(píng)果審核過(guò)的,也...
    妖精的菩薩閱讀 19,318評(píng)論 1 14
  • 【日精進(jìn)打卡第19天】 【知-學(xué)習(xí)】 《增廣賢文全集》誦讀30分鐘,共30分鐘。 【經(jīng)典名句分享】 人生苦短,別去...
    玉_蓮子閱讀 179評(píng)論 0 0

友情鏈接更多精彩內(nèi)容