iOS逆向开发入门

本文仅供学习与交流,请勿用于商业用途。

学习逆向的用处

  • 了解iOS的底层实现
  • 破解别人的软件,实现各种变态的功能(微信抢红包、钉钉打卡等等...)
  • 保护自己的代码,隐藏隐私数据,隐藏函数
  • 分析别人的代码架构 - 这个需要你有一定的架构知识

听起来好像很屌的样子

需要掌握的基础知识

逆向开发的流程

  1. 解密、导出应用程序、class-dump导出头文件、IDA反编译二进制文件,为后续工作作准备。
  2. 从界面表现入手,获取当前界面布局及控制器。
  3. hook发现的一些相关类,记录输出调用顺序及参数。
  4. 找到关键函数,查看调用堆栈,hook测试效果。
  5. 静态分析加动态调试分析关键函数的实现逻辑。
  6. 模拟或篡改函数调用逻辑。
  7. 制作插件,或者移植到非越狱机器。

整体流程就是这样,但过程可能不会太顺利,有时需要反复探索才能定位目标函数。这个过程很枯燥,也很有趣。

常用工具

frida-ios-dump

简介:一键砸壳工具,需要越狱手机。
用法:

$ iproxy 2222 22
$ frida-ios-dump -l  //查看所有的进程 可以用 grep 过滤
$ frida-ios-dump Display name or Bundle identifier  砸到电脑的下载目录

class-dump

简介:class-dump 是一个工具,它利用了 Objective-C 语言的运行时特性,将存储在 Mach-O 文件中的头文件信息提取出来,并生成对应的 .h 文件。
用法:

$class-dump -H MachO文件路径 -o 导出头文件需要存放路径
$class-dump -H ./WeChat -o ~/Desktop/wechatHeader

restore-symbol

简介:对二进制文件进行符号还原。
用法:

$restore-symbol origin_mach_o_file -o mach_o_with_symbol

IDA Pro

简介:跨平台反编译工具,可已将二进制文件反编译成汇编语言代码及伪代码,支持动态调试。

Charles

简介:抓包工具,可以抓HTTP请求,支持SSL。

Postman

简介:一款功能强大的接口测试工具,能大幅提升工作效率。

MonkeyDev

简介:iOS逆向开发神器,只需拖入一个砸壳应用,自动集成class-dump、restore-symbol、Reveal、Cycript和注入的动态库并重签名安装到非越狱机器。
使用:安装完成之后用Xcode新建工程,选择MonkeyApp,把需要逆向的ipa包拖入到工程里,即可直接运行。

实战-抖音去水印

新建MonkeyApp工程,将砸好壳的抖音ipa拖进工程,打开工程设置,搜索MONKEY关键字,打开restore-symbol.

image.png

首先我们抓包获取到视频的URL:https://aweme.snssdk.com/aweme/v1/play/?video_id=v0200f010000bmmosn3d82diq4cg9mg0&line=0&ratio=540p&watermark=1&media_type=4&vr_type=0&improve_bitrate=0&logo_name=aweme_suffix,我们看到链接里有个watermark的参数值为1,我猜想这个值可能控制是否有水印,所以我们用Postman把watermark参数改为0测试一下,结果发现获取的视频果然没有水印,所以我们需要注入代码去修改这个链接。
没有水印.png

然后我们使用class-dump获取所有头文件,使用IDA反编译抖音的二进制文件,以备后面使用。

我们知道保存视频到相册必须要调用系统的API,因此我们先打一个符号断点。


添加符号断点.png

然后运行App,执行保存操作,进入我们刚才打的断点


符号断点.png

我们看一下调用栈,发现有几层调用栈是___lldb_unnamed_symbol,这些是没有被符号化,可能是block,至于怎么符号化block这里先不介绍了,此路不通,我们换一个方向考虑。

我们使用视图层级查看工具,发现分享的控制器AWEAwemeShareViewController


image.png

然后我们打开AWEAwemeShareViewController.h里,在里面搜索press、tap关键字,发现shareViewTapped:方法,我猜想点击保存的时候就是调用的这个方法,我们来试着hook一下这个方法。
打开Logos目录下面的.xm文件,在文件的最后面加上下面的代码,并打上断点,运行一下,证实我们的想法是对的。

%hook AWEAwemeShareViewController

- (void)shareViewTapped:(id)arg1 {
    %orig();
}

%end

打开IDA,找到AWEAwemeShareViewController的shareViewTapped:方法,反编译成伪代码。


image.png

经过查看,我们找到AWEShareService协议,看名字应该是处理逻辑的类,我们在class-dump导出的头文件里去搜索AWEShareService关键字,发现AWEShareService和AWEShareServiceUtils两个类,分别查看它们的方法,找到AWEShareServiceUtils中的两个方法可能和下载有关。

+ (void)downloadAndShareWithURLString:(id)arg1 videoModel:(id)arg2 distinationURL:(id)arg3 shareType:(long long)arg4 pointResume:(_Bool)arg5 hasWatermark:(_Bool)arg6 shouldAddEndWatermark:(_Bool)arg7 saveAsLivePhotoEnabled:(_Bool)arg8 shouldSaveDirectly:(_Bool)arg9 preprocess:(CDUnknownBlockType)arg10 completion:(CDUnknownBlockType)arg11;

+ (id)_URLListForAwemeModel:(id)arg1 videoModel:(id)arg2 forBTDShareType:(long long)arg3 hasWatermark:(_Bool *)arg4 shouldSaveDirectly:(_Bool *)arg5 shouldAddEndWatermark:(_Bool *)arg6;

hook这两个方法,然后打断点进行调试。

%hook AWEShareServiceUtils

+ (void)downloadAndShareWithURLString:(id)arg1 videoModel:(id)arg2 distinationURL:(id)arg3 shareType:(long long)arg4 pointResume:(_Bool)arg5 hasWatermark:(_Bool)arg6 shouldAddEndWatermark:(_Bool)arg7 saveAsLivePhotoEnabled:(_Bool)arg8 shouldSaveDirectly:(_Bool)arg9 preprocess:(id)arg10 completion:(id)arg11 {
    %orig();
}

+ (id)_URLListForAwemeModel:(id)arg1 videoModel:(id)arg2 forBTDShareType:(long long)arg3 hasWatermark:(_Bool *)arg4 shouldSaveDirectly:(_Bool *)arg5 shouldAddEndWatermark:(_Bool *)arg6 {
    id result = %orig();
    BOOL hasWatermark = *arg4;
    BOOL shouldSaveDirectly = *arg5;
    BOOL shouldAddEndWatermark = *arg6;
    return result;
}

%end

我们发现_URLListForAwemeModel方法的返回值就是视频的下载链接,然后我们再看一下这个方法的参数,发现第2个参数videoModel里包含两个实例变量_hasWatermark和_hasEndWatermark,值都为ture。


image.png

打开AVEvideoModel的头文件,找到对应的属性


image.png

hook一下AVEvideoModel类两个属性的getter方法,让它们都返回NO,然后重新运行,断点调试,发现_URLListForAwemeModel返回的链接里watermark参数已经是0了。
%hook AWEVideoModel

- (BOOL)hasWatermark {
    return NO;
}

- (BOOL)hasEndWatermark {
    return NO;
}

%end

到这里我觉得可能已经成功了,于是保存了一个视频,到相册里查看,发现保存的视频居然还有水印。于是我怀疑是不是链接后面又被修改过,于是再次抓包看了一下,发现链接确实没有问题了。于是猜想是客户端添加的水印。
于是打开我们最开始打的那个符号断点,运行调试,发现调用栈变了,多了一层-[AWEDynamicWaterMarkExporter waterMarkExporterFinished:]:,从名字看就是给视频添加水印成功的回调。


image.png

于是我猜想肯定是有一个变量控制客户端添加水印的逻辑,于是把之前hookAWEVideoModel的两个方法注掉运行,然后再加上运行,通过对比发现,两次运行_URLListForAwemeModel方法调用后的shouldSaveDirectly参数的值不一样,通过名字我们可以猜出这个参数可能就是我们想要找的参数。


image.png

image.png

于是,我们把这个参数修改为YES,重新运行

+ (id)_URLListForAwemeModel:(id)arg1 videoModel:(id)arg2 forBTDShareType:(long long)arg3 hasWatermark:(_Bool *)arg4 shouldSaveDirectly:(_Bool *)arg5 shouldAddEndWatermark:(_Bool *)arg6 {
    id result = %orig();
    BOOL hasWatermark = *arg4;
    BOOL shouldSaveDirectly = *arg5;
    BOOL shouldAddEndWatermark = *arg6;
    *arg5 = YES;
    return result;
}

接下来是见证奇迹的时刻,我们再保存一个视频到相册,然后去相册查看,发现视频已经没有水印了。到这里我们的抖音去水印就完成了。


IMG_0078.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,189评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,577评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,857评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,703评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,705评论 5 366
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,620评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,995评论 3 396
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,656评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,898评论 1 298
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,639评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,720评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,395评论 4 319
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,982评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,953评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,195评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,907评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,472评论 2 342