上一篇文章: "举一反三:iOS逆向App签名"
"金蛋破壳:iOS应用砸壳工具解密",介绍了如何通过工具砸壳,读者朋友可以先阅读一下。
本篇文章,我们将使用LLDB进行手动砸壳操作,以增强对iOS应用程序的逆向分析能力。
- LLDB砸壳实现的原理
使用lldb砸壳是一种常见的逆向工程技术,旨在绕过iOS应用程序的加密保护,以便进行更深入的分析和调试。
通过lldb连接到运行中的应用程序,找到其可执行文件的内存地址,并将其内容dump到本地文件中。
这样,我们就可以绕过加密保护,获得对应用程序的完全访问,并进行后续的逆向分析工作。
本篇以某App为例,进行砸壳
下载好你想砸壳的App
- 我们找到App的可执行文件
ps -ax | grep app
4215 ?? 0:13.06 /var/containers/Bundle/Application/5C560292-9C39-4080-9D7A-3D83413EB127/app/app
- 把可执行文件拷贝到电脑,通过otool 查看二进制文件的信息
otool -arch arm64 -l 二进制 | grep -C5 LC_ENCRYPTION
cmd LC_MAIN
cmdsize 24
entryoff 2361676
stacksize 0
Load command 12
cmd LC_ENCRYPTION_INFO_64
cmdsize 24
cryptoff 16384
cryptsize 34504704
cryptid 1
pad 0
cryptid为1,即为加密
- 我们通过lldb进行进程附加
(lldb) image list
[ 0] E11692A0-C528-3ADD-8B12-6BA7F7F8D51F 0x0000000100b80000 /private/var/containers/Bundle/Application/5C560292-9C39-4080-9D7A-3D83413EB127/app/二进制 (0x0000000100b80000)
memory read --force -outfile ./Decrypted.bin --binary --count 34504704 0x0000000100b80000+16384
34504704 bytes written to 'Decrypted.bin'
获取解密的数据Decrypted.bin
- 用解密后的数据替换原加密数据
dd seek=16384 bs=1 conv=notrunc if=./Decrypted.bin of=二进制
MachOView -> LC_ENCRYPTION_INFO 修改cryptid为0
在脱壳后,我们需要验证一下class-dump是否可行,以确认解密的Mach-O文件是否成功解密。
砸壳成功后,使用工具对其进行分析,例如 class-dump、Hopper、IDA 等,以查看其中的内容。
