【移动应用开发技术】揭开iOS逆向解密的神秘面纱

【移动应用开发技术】揭开iOS逆向解密的神秘面纱

前言学习和了解逆向工程，可以帮助我们分析竞品和自己喜欢的APP的开发架构和某些功能的大体实现思路，也可以自己手动对其它APP大刀阔斧进行二次加工，满足自己的需求。学习iOS逆向一段时间了，这里简单做个总结，揭开iOS逆向的神秘面纱。

Mac远程登录iPhone

iOS和MacOSX都是基于Darwin（苹果的一个基于Unix的开源系统内核），所以iOS中同样支持终端的命令行操作。

在逆向工程中，我们经常会通过命令行来操纵iPhone。为了能够让Mac终端中的命令行能作用在iPhone上，我们得让Mac和iPhone建立连接。连接有两种方式：wifi连接和usb连接。

先在越狱软件上安装ssh插件OpenSSH,命令行下和应用交互的插件Cycript

让越狱手机和mac电脑在同一个局域网下(为了能够通过ssh服务从mac电脑访问手机)

在mac的命令行终端通过ssh服务登录手机输入sshroot@手机ip。默认情况下的root密码是alpine。root密码可以自己修改。

然后在手机上运行程序，在mac终端上利用ps-A查看手机当前运行的进程，找到进程id后便可以利用cycript进行一些列操作。例如：进入当前运行着的微信进程的cycript状态cycript-pWeChat

先在越狱软件上安装ssh插件OpenSSH,命令行下和应用交互的插件Cycript

让越狱手机和mac电脑在同一个局域网下(为了能够通过ssh服务从mac电脑访问手机)

在mac的命令行终端通过ssh服务登录手机输入sshroot@手机ip。默认情况下的root密码是alpine。root密码可以自己修改。

然后在手机上运行程序，在mac终端上利用ps-A查看手机当前运行的进程，找到进程id后便可以利用cycript进行一些列操作。例如：进入当前运行着的微信进程的cycript状态cycript-pWeChat

采用wifi连接有时候会出现卡顿延迟的现象，所以我通常采用usb连接。

Mac上有个服务程序usbmuxd（它会开机自动启动），可以将Mac的数据通过USB传输到iPhone

我使用了两个脚本进行登录：

python~/iOS/tcprelay.py-t22:10010进行端口的映射

ssh-p10010root@localhostusb的登录

Mac上有个服务程序usbmuxd（它会开机自动启动），可以将Mac的数据通过USB传输到iPhone

我使用了两个脚本进行登录：Cycript的使用

Cycript是Objective-C++、ES6（JavaScript）、Java等语法的混合物，可以用来探索、修改、调试正在运行的Mac\iOSAPP。官网：

比如一些简单的使用：主要搭配Reveal使用，从Reveal中获得某个界面或者view所属的类或控制器，然后拿到该类或控制器利用cycript进行调试。比如，知道了一个view对应的类为testView,想把该view从当前界面移除，达到不显示的效果：

代码Hook分析

如果要逆向App的某个功能少不了代码的分析。

1.通过上面的分析，找到某个view对应的类后，就需要导出该类对应的头文件进行具体的分析了。

2.首先找到App的二进制文件（Mach-O类型），（使用iFunBox把该文件导出到Mac上）然后使用class-dump工具导出其中的所有头文件，这些头文件中可以看到其中的属性和方法。class-dump-HMach-O文件路径-o头文件存放目录

3.如果要查看Mach-O文件完整信息，建议用MachOView。otool-l打印所有的LoadCommands，建议搭配grep进行正则过滤。otool-L可以查看使用的库文件。

4.头文件分析完毕后，就可以利用theos进行越越代码的开发了，编译生成Tweak插件(deb格式)。

利用nic.pl指令，选择iphone/tweak，创建一个tweak工程。

在这个tweak工程中编辑Tweak.xm文件，编写自己的越狱代码。

开发完成后利用makepackage打包和makeinstall安装到手机。重启应用，你会发现对应的功能已经根据hook的代码改变了。

原理：iOS在越狱后，会默认安装一个名叫mobilesubstrate的动态库，它的作用是提供一个系统级的入侵管道，所有的tweak都可以依赖它来进行开发。在目标程序启动时根据规则把指定目录的第三方的动态库加载进去，第三方的动态库也就是我们写的破解程序，从而达到修改内存中代码逻辑的目的。

利用nic.pl指令，选择iphone/tweak，创建一个tweak工程。

在这个tweak工程中编辑Tweak.xm文件，编写自己的越狱代码。

开发完成后利用makepackage打包和makeinstall安装到手机。重启应用，你会发现对应的功能已经根据hook的代码改变了。

原理：iOS在越狱后，会默认安装一个名叫mobilesubstrate的动态库，它的作用是提供一个系统级的入侵管道，所有的tweak都可以依赖它来进行开发。在目标程序启动时根据规则把指定目录的第三方的动态库加载进去，第三方的动态库也就是我们写的破解程序，从而达到修改内存中代码逻辑的目的。

5.有时候想看某个类中的某个方法的实现以及调用逻辑，就需要用到HopperDisassembler工具。theos的常用语法

砸壳(脱壳)

如果使用越狱手机直接从pp助手下载下来的部分应用免去了我们自己脱壳的过程。但是如果是从AppStore下载下来的应用，AppStore已经为该应用进行了加密，再使用class-dump是无法导出头文件的，这是时候就需要对APP进行脱壳操作了。

脱壳工具有两种，Clutch和dumpdecrypted

Clutch:

在Mac终端登陆到iPhone后，利用Clutch脱壳

Clutch-i列举手机中已安装的应用中加密的应用。

Clutch-d应用bundleid对加密的应用脱壳，脱壳成功后会生产新的Match-O文件。对这个新的文件进行class-dump操作即可。

在Mac终端登陆到iPhone后，利用Clutch脱壳

Clutch-i列举手机中已安装的应用中加密的应用。

Clutch-d应用bundleid对加密的应用脱壳，脱壳成功后会生产新的Match-O文件。对这个新的文件进行class-dump操作即可。

有时候使用Clutch脱壳，会出现失败的情况，比如脱壳微信的时候就会出现错误。这个时候就需要使用dumpdecrypted：

终端进入dumpdecrypted.dylib所在的目录var/root

使用环境变量DYLD_INSERT_LIBRARIES将dylib注入到需要脱壳的可执行文件（可执行文件路径可以通过ps-A查看获取）

执行命令DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib可执行文件路径即可完成脱壳操作。

终端进入dumpdecrypted.dylib所在的目录var/root

使用环境变量DYLD_INSERT_LIBRARIES将dylib注入到需要脱壳的可执行文件（可执行文件路径可以通过ps-A查看获取）

执行命令DYLD_INSERT_LIBRARIES=dumpdecr