IOS 解密APP(逆向工程完整详解)

最近手痒,整理了下IOS APP逆向工程相关资料,分享出来大家一起看看。

逆向工程可分为四步:砸壳、dump、hook、重签。

一、砸壳:

概述:IOS的APP,若上传了App Store会被苹果进行一次加密,所以我们下载下来的安装包都是加密的,若要进行dump需要进行一次解密,即砸壳。

我们以微信为例:

首先我们需要一台已经越狱了的iPhone手机,然后进入Cydia安装需要的三款工具openSSH、Cycript、iFile。(调试程序时可以方便地查看日志文件)

新版本iTunes已经将应用功能去掉了,所以大家只能用手机从App Store下载最新微信。

砸壳第一步:获取微信的可执行文件的具体位置和沙盒的具体位置,我们先把iPhone上的所有程序都关掉,唯独留下微信。

连接ssh,打开Mac的bash,用ssh连上iPhone(确保iPhone跟Mac在同一个网段)。openSSH的root密码默认为:alpine

然后输入命令 ps -e | grep WeChat

有时候我们需要一个APP的Bundle id了,这里笔者有一个小技巧,我们可以把iPhone上的所有App都关掉,唯独保留APP如微信,然后输入命令

ps -e ,便可输出当前运行的APP的Bundle id。

寻找沙盒Documents具体路径,我们需要用Cycript找出微信的Documents具体路径。输入命令cycript -p WeChat

打开微信,进入cy#模式输入NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, ES)[0]就能找出Documents的具体路径,或者使用cy# directory = NSHomeDirectory(),也可以得到沙河位置(缺少/Documents)。

control+D 可退出模式

编译dumpdecrypted 进入dumpdecrypted源码的目录,输入指make来编译dumpdecrypted。一般make后会在当前目录下生成一个dylib文件。

4.创建动态库文件

(1)一错

在确保Makefile中对动态库的设置和iOS真机环境一致后,在当前目录下输入:make。

但是失败了,错误信息如下:

`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path`

-F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks

-F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c

-o dumpdecrypted.o dumpdecrypted.c 

/bin/sh: /Applications/Xcode: No such file or directory  make: *** [dumpdecrypted.o] Error 127 

原因是找不到/Applications/Xcode来执行其中的一些脚本。 好吧,我的Mac中有3个Xcode:/Applications/Xcode 5.0.2, /Applications/Xcode 5.1.1, /Applications/Xcode 6 Beta4,就是没有/Applications/Xcode。

没事,将Xcode 5.1.1重命名为Xcode就行了:

$ sudo mv Xcode\ 5.1.1.app/ Xcode.app/

(2)再错

再make,还是报错,错误信息和上面一样。

不怕,我们还有xcode-select这个小伙伴,通常Xcode找不到之类的错误都应该找它帮忙:

$ xcode-select -p  /Applications/Xcode 5.1.1.app/Contents/Developer 

原来xcrun查找cmd tool时的路径还是Xcode 5.1.1/,当然什么都找不到了。这时候将它重置就行了(默认是/Applications/Xcode.app/):

$ sudo xcode-select -r  $ xcode-select -p    /Applications/Xcode.app/Contents/Developer   

(3)成功再make,成功,输出如下:

$ make 

`xcrun --sdk iphoneos --find gcc` -Os

-Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path`

-F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks

-F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c

-o dumpdecrypted.o dumpdecrypted.c  `xcrun --sdk iphoneos --find gcc` -Os

-Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path`

-F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks

-F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -dynamiclib

-o dumpdecrypted.dylib dumpdecrypted.o   

$ ls  Makefile          dumpdecrypted.c          dumpdecrypted.o  README              dumpdecrypted.dylib   

可以看到目录中多了两个文件,其中dylib后缀的就是我们要创建的动态库文件,也就是用来砸壳的锤子。

scp拷贝指令 使用scp指令把dumpdecrypted.dylib拷贝到iPhone的Documents路径目录下输入指令:scp

开始砸壳!!! 回到手机的ssh上,输入dumpdecrypted的指令。

dumpdecrypted的具体用法:

DYLD_INSERT_LIBRARIES=/PathFrom/dumpdecrypted.dylib /PathTo 

mach-o decryption dumper DISCLAIMER: This tool is only meant for security research purposes, not for application crackers.

[+] detected 32bit ARM binary in memory.

[+] offset to cryptid found: @0x56a4c(from 0x56000) = a4c

[+] Found encrypted data at address 00004000 of length 38748160 bytes - type 1.

[+] Opening /private/var/mobile/Containers/Bundle/Application/2C920956-E3D6-4313-BD88-66BD24CEBE9B/WeChat.app/WeChat for reading.

[+] Reading header

[+] Detecting header type

[+] Executable is a FAT image - searching for right architecture

[+] Correct arch is at offset 16384 in the file

[+] Opening WeChat.decrypted for writing.

[+] Copying the not encrypted start of the file

[+] Dumping the decrypted data into the file

[+] Copying the not encrypted remainder of the file

[+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset 4a4c

[+] Closing original file

[+] Closing dump file

这样就代表砸壳成功了,当前目录下会生成砸壳后的文件,即WeChat.decrypted。同样用scp命令把WeChat.decrypted文件拷贝到电脑上,接下来我们要正式的dump微信的可执行文件了。

scp远程下载到本地 输入指令:scp -r root@ip:文件目录/文件名 /目的地

二、dump

针对于debug或者release的包,无需砸壳,可以直接dump。只有从App Store下载下来的包,需要砸壳。

dump方法为:安装后使用的命令为:class-dump -H 需要导出的框架路径 -o 导出的头文件存放路径 如:cd到该文件下,用class-dump -H WeChat 便可以得到微信代码的所有方法的声明.h文件。

三、HOOK

找到CMessageMgr.h和WCRedEnvelopesLogicMgr.h这两文件,其中我们注意到有这两个方法:- (void)AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2; ,- (void)OpenRedEnvelopesRequest:(id)arg1;。没错,接下来我们就是要利用这两个方法来实现微信自动抢红包功能。其实现原理是,通过hook微信的新消息函数,我们判断是否为红包消息,如果是,我们就调用微信的打开红包方法。这样就能达到自动抢红包的目的了。哈哈,是不是很简单,我们一起来看看具体是怎么实现的吧。

新建一个dylib工程,因为Xcode默认不支持生成dylib,所以我们需要下载iOSOpenDev,安装完成后(Xcode7环境会提示安装iOSOpenDev失败,请参考iOSOpenDev安装问题),重新打开Xcode,在新建项目的选项中即可看到iOSOpenDev选项了。

>need-to-insert-img

iOSOpenDev dylib代码 选择Cocoa Touch Library,这样我们就新建了一个dylib工程了,我们命名为autoGetRedEnv。

删除autoGetRedEnv.h文件,修改autoGetRedEnv.m为autoGetRedEnv.mm,然后在项目中加入CaptainHook.h

因为微信不会主动来加载我们的hook代码,所以我们需要把hook逻辑写到构造函数中。

attribute((constructor)) static void entry() { //具体hook方法 } hook微信的AsyncOnAddMsg: MsgWrap:方法,实现方法如下:

//声明CMessageMgr类 CHDeclareClass(CMessageMgr); CHMethod(2, void, CMessageMgr, AsyncOnAddMsg, id, arg1, MsgWrap, id, arg2)

{    //调用原来的AsyncOnAddMsg:MsgWrap:方法   

CHSuper(2, CMessageMgr, AsyncOnAddMsg, arg1, MsgWrap, arg2);   

//具体抢红包逻辑    //...   

//调用原生的打开红包的方法   

//注意这里必须为给objc_msgSend的第三个参数声明为NSMutableDictionary,不然调用objc_msgSend时,不会触发打开红包的方法   

((void (*)(id, SEL, NSMutableDictionary*))objc_msgSend)(logicMgr, @selector(OpenRedEnvelopesRequest:), params); }

__attribute__((constructor)) static void entry()

{    //加载CMessageMgr类    CHLoadLateClass(CMessageMgr);   

//hook AsyncOnAddMsg:MsgWrap:方法    CHClassHook(2, CMessageMgr, AsyncOnAddMsg, MsgWrap); }

项目的全部代码,笔者已放入Github中。

完成好具体实现逻辑后,就可以顺利生成dylib了。

重新打包微信App

为微信可执行文件注入dylib 要想微信应用运行后,能执行我们的代码,首先需要微信加入我们的dylib,这里我们用到一个dylib注入神器:yololib,从网上下载源代码,编译后得到yololib。

使用yololib简单的执行下面一句就可以成功完成注入。注入之前我们先把之前保存的WeChat.decrypted重命名为WeChat,即已砸完壳的可执行文件。 ./yololib 目标可执行文件 需注入的dylib 注入成功后即可见到如下信息:

dylib注入 新建Entitlements.plist

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

<plist version="1.0"> <dict>   

<key>application-identifier</key>    <string>123456.com.autogetredenv.demo</string>   

<key>com.apple.developer.team-identifier</key>    <string>123456</string>   

<key>get-task-allow</key>    <true/>    <key>keychain-access-groups</key>    <array>       

<string>123456.com.autogetredenv.demo</string>    </array> </dict> </plist>

这里大家也许不清楚自己的证书Teamid及其他信息,没关系,笔者这里有一个小窍门,大家可以找到之前用开发者证书或企业证书打包过的App(例如叫Demo),然后在终端中输入以下命令即可找到相关信息,命令如下: ./ldid -e ./Demo.app/demo

接下来把我们生成的dylib(libautoGetRedEnv.dylib)、刚刚注入dylib的WeChat、以及embedded.mobileprovision文件(可以在之前打包过的App中找到)拷贝到WeChat.app中。

5、重签

给微信重新签名

命令格式:codesign -f -s 证书名字 目标文件

PS:证书名字可以在钥匙串中找到

分别用codesign命令来为微信中的相关文件签名,具体实现如下:

重新签名 打包成ipa 给微信重新签名后,我们就可以用xcrun来生成ipa了,具体实现如下:

xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa 复制代码

安装拥有抢红包功能的微信

以上步骤如果都成功实现的话,那么真的就是万事俱备,只欠东风了~~~

我们可以使用iTools工具,来为iPhone(此iPhone Device id需加入证书中)安装改良过的微信了。

正在跳转(iOS交流裙 密码:123)

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350