本文仅供学习与交流,请勿用于商业用途。
学习逆向的用处
- 了解iOS的底层实现
- 破解别人的软件,实现各种变态的功能(微信抢红包、钉钉打卡等等...)
- 保护自己的代码,隐藏隐私数据,隐藏函数
- 分析别人的代码架构 - 这个需要你有一定的架构知识
听起来好像很屌的样子
需要掌握的基础知识
- iOS正向开发知识
- App的签名机制&&重签名APP
- 代码注入(MachO文件、dylib)
- 常用工具的使用(class-dump、restore-symbol、LLDB、MonkeyDev)
- ARM汇编
逆向开发的流程
- 解密、导出应用程序、class-dump导出头文件、IDA反编译二进制文件,为后续工作作准备。
- 从界面表现入手,获取当前界面布局及控制器。
- hook发现的一些相关类,记录输出调用顺序及参数。
- 找到关键函数,查看调用堆栈,hook测试效果。
- 静态分析加动态调试分析关键函数的实现逻辑。
- 模拟或篡改函数调用逻辑。
- 制作插件,或者移植到非越狱机器。
整体流程就是这样,但过程可能不会太顺利,有时需要反复探索才能定位目标函数。这个过程很枯燥,也很有趣。
常用工具
frida-ios-dump
简介:一键砸壳工具,需要越狱手机。
用法:
$ iproxy 2222 22
$ frida-ios-dump -l //查看所有的进程 可以用 grep 过滤
$ frida-ios-dump Display name or Bundle identifier 砸到电脑的下载目录
class-dump
简介:class-dump 是一个工具,它利用了 Objective-C 语言的运行时特性,将存储在 Mach-O 文件中的头文件信息提取出来,并生成对应的 .h 文件。
用法:
$class-dump -H MachO文件路径 -o 导出头文件需要存放路径
$class-dump -H ./WeChat -o ~/Desktop/wechatHeader
restore-symbol
简介:对二进制文件进行符号还原。
用法:
$restore-symbol origin_mach_o_file -o mach_o_with_symbol
IDA Pro
简介:跨平台反编译工具,可已将二进制文件反编译成汇编语言代码及伪代码,支持动态调试。
Charles
简介:抓包工具,可以抓HTTP请求,支持SSL。
Postman
简介:一款功能强大的接口测试工具,能大幅提升工作效率。
MonkeyDev
简介:iOS逆向开发神器,只需拖入一个砸壳应用,自动集成class-dump、restore-symbol、Reveal、Cycript和注入的动态库并重签名安装到非越狱机器。
使用:安装完成之后用Xcode新建工程,选择MonkeyApp,把需要逆向的ipa包拖入到工程里,即可直接运行。
实战-抖音去水印
新建MonkeyApp工程,将砸好壳的抖音ipa拖进工程,打开工程设置,搜索MONKEY关键字,打开restore-symbol.
首先我们抓包获取到视频的URL:https://aweme.snssdk.com/aweme/v1/play/?video_id=v0200f010000bmmosn3d82diq4cg9mg0&line=0&ratio=540p&watermark=1&media_type=4&vr_type=0&improve_bitrate=0&logo_name=aweme_suffix,我们看到链接里有个watermark的参数值为1,我猜想这个值可能控制是否有水印,所以我们用Postman把watermark参数改为0测试一下,结果发现获取的视频果然没有水印,所以我们需要注入代码去修改这个链接。
然后我们使用class-dump获取所有头文件,使用IDA反编译抖音的二进制文件,以备后面使用。
我们知道保存视频到相册必须要调用系统的API,因此我们先打一个符号断点。
然后运行App,执行保存操作,进入我们刚才打的断点
我们看一下调用栈,发现有几层调用栈是___lldb_unnamed_symbol,这些是没有被符号化,可能是block,至于怎么符号化block这里先不介绍了,此路不通,我们换一个方向考虑。
我们使用视图层级查看工具,发现分享的控制器AWEAwemeShareViewController
然后我们打开AWEAwemeShareViewController.h里,在里面搜索press、tap关键字,发现shareViewTapped:方法,我猜想点击保存的时候就是调用的这个方法,我们来试着hook一下这个方法。
打开Logos目录下面的.xm文件,在文件的最后面加上下面的代码,并打上断点,运行一下,证实我们的想法是对的。
%hook AWEAwemeShareViewController
- (void)shareViewTapped:(id)arg1 {
%orig();
}
%end
打开IDA,找到AWEAwemeShareViewController的shareViewTapped:方法,反编译成伪代码。
经过查看,我们找到AWEShareService协议,看名字应该是处理逻辑的类,我们在class-dump导出的头文件里去搜索AWEShareService关键字,发现AWEShareService和AWEShareServiceUtils两个类,分别查看它们的方法,找到AWEShareServiceUtils中的两个方法可能和下载有关。
+ (void)downloadAndShareWithURLString:(id)arg1 videoModel:(id)arg2 distinationURL:(id)arg3 shareType:(long long)arg4 pointResume:(_Bool)arg5 hasWatermark:(_Bool)arg6 shouldAddEndWatermark:(_Bool)arg7 saveAsLivePhotoEnabled:(_Bool)arg8 shouldSaveDirectly:(_Bool)arg9 preprocess:(CDUnknownBlockType)arg10 completion:(CDUnknownBlockType)arg11;
+ (id)_URLListForAwemeModel:(id)arg1 videoModel:(id)arg2 forBTDShareType:(long long)arg3 hasWatermark:(_Bool *)arg4 shouldSaveDirectly:(_Bool *)arg5 shouldAddEndWatermark:(_Bool *)arg6;
hook这两个方法,然后打断点进行调试。
%hook AWEShareServiceUtils
+ (void)downloadAndShareWithURLString:(id)arg1 videoModel:(id)arg2 distinationURL:(id)arg3 shareType:(long long)arg4 pointResume:(_Bool)arg5 hasWatermark:(_Bool)arg6 shouldAddEndWatermark:(_Bool)arg7 saveAsLivePhotoEnabled:(_Bool)arg8 shouldSaveDirectly:(_Bool)arg9 preprocess:(id)arg10 completion:(id)arg11 {
%orig();
}
+ (id)_URLListForAwemeModel:(id)arg1 videoModel:(id)arg2 forBTDShareType:(long long)arg3 hasWatermark:(_Bool *)arg4 shouldSaveDirectly:(_Bool *)arg5 shouldAddEndWatermark:(_Bool *)arg6 {
id result = %orig();
BOOL hasWatermark = *arg4;
BOOL shouldSaveDirectly = *arg5;
BOOL shouldAddEndWatermark = *arg6;
return result;
}
%end
我们发现_URLListForAwemeModel方法的返回值就是视频的下载链接,然后我们再看一下这个方法的参数,发现第2个参数videoModel里包含两个实例变量_hasWatermark和_hasEndWatermark,值都为ture。
打开AVEvideoModel的头文件,找到对应的属性
hook一下AVEvideoModel类两个属性的getter方法,让它们都返回NO,然后重新运行,断点调试,发现_URLListForAwemeModel返回的链接里watermark参数已经是0了。
%hook AWEVideoModel
- (BOOL)hasWatermark {
return NO;
}
- (BOOL)hasEndWatermark {
return NO;
}
%end
到这里我觉得可能已经成功了,于是保存了一个视频,到相册里查看,发现保存的视频居然还有水印。于是我怀疑是不是链接后面又被修改过,于是再次抓包看了一下,发现链接确实没有问题了。于是猜想是客户端添加的水印。
于是打开我们最开始打的那个符号断点,运行调试,发现调用栈变了,多了一层-[AWEDynamicWaterMarkExporter waterMarkExporterFinished:]:,从名字看就是给视频添加水印成功的回调。
于是我猜想肯定是有一个变量控制客户端添加水印的逻辑,于是把之前hookAWEVideoModel的两个方法注掉运行,然后再加上运行,通过对比发现,两次运行_URLListForAwemeModel方法调用后的shouldSaveDirectly参数的值不一样,通过名字我们可以猜出这个参数可能就是我们想要找的参数。
于是,我们把这个参数修改为YES,重新运行
+ (id)_URLListForAwemeModel:(id)arg1 videoModel:(id)arg2 forBTDShareType:(long long)arg3 hasWatermark:(_Bool *)arg4 shouldSaveDirectly:(_Bool *)arg5 shouldAddEndWatermark:(_Bool *)arg6 {
id result = %orig();
BOOL hasWatermark = *arg4;
BOOL shouldSaveDirectly = *arg5;
BOOL shouldAddEndWatermark = *arg6;
*arg5 = YES;
return result;
}
接下来是见证奇迹的时刻,我们再保存一个视频到相册,然后去相册查看,发现视频已经没有水印了。到这里我们的抖音去水印就完成了。