"金蛋破壳：iOS应用砸壳工具解密"

上一篇文章地址: 渐入佳境: 解密class-dump的奥秘

今天是2019年12月31号,2019年最后一天了,祝大家2020跨年快乐.

明天就是2020年1月1日了,同样祝大家元旦快乐!

App应用上传到AppStore后，苹果会对咱们的应用进行加密。我们的可执行文件加了一层保护壳，就比如上节中，我们使用class-dump进行dump类的头文件。
我们通过打包自己的应用，这个应用未上架AppStore，相当于从未加密的问题，直接使用class-dump就可以进行dump。
当我们从AppStore下载之后，我们需要把这个壳子去掉，也就是我们本篇提到的砸壳，砸了壳子才能获取到里面的果实。

我之前写的文章: "技艺精进：iOS逆向工具精选" 介绍了dumpdecrypted的砸壳,本篇文章也会介绍它.

1. dumpdecrypted

dumpdecrypted的产生
由于AppStore下载的App是被苹果加密过的,可执行文件被套上一层保护壳
class-dump无法作用于加密过的App
想要获取头文件,需要先解密App的可执行文件,也叫砸壳
dumpdecrypted就是由越狱社区的知名人士 Stefan Esser 出品的一款砸壳工具,被越狱社区广泛运用在iOS逆向工程研究中.
dumpdecrypted下载
github地址: dumpdecrypted

dumpdecrypted

你可以通过git clone ,也可以直接下载,下载过程不再详细介绍.
我已经下载好了,我们看下文件内容

dumpdecrypted 文件
我们对它进行编译,终端执行make命令

make 编译

我们看下编译后的生成了什么文件?

7747CD0B-86E8-4888-9567-912C72D44F3E.png

我们看到生成了dumpdeycrypted.dylib

注意

找到要砸壳的APP的Documents目录路径(某应用为例)

估计你看到这些,就会很头疼了,到底哪个是呢?

我们借助强大的Cycript,让App告诉我们它在哪里,直接找到它的的根目录
锁定该目录 065B70ED-FCD1-4874-B4A3-86F1B765945F

2960658-4d3bbc74c665ca04.png

将dumpdecrypted.dylib拷贝到Documents目录下.
有两种方式拷贝:
第一种:

scp /Users/popo/Desktop/dump/dumpdecrypted/dumpdecrypted.dyli root@192.168.3.15:var/mobile/Containers/Data/Application/065B70ED-FCD1-4874-B4A3-86F1B765945F/Documents/dumpdecrypted.dylib

第二种:

以上两种方式,只需要拷贝成功就行,选择那种,根据个人喜好.

开始砸壳

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/9AF4167F-D4AA-4DBB-A67D-A956CCDBDEF9/WeChat.app/WeChat mach-o decryption dumper

砸壳失败了,分析一下原因:
required code signature missing for 'dumpdecrypted.dylib
由于没有对dumpdecrypted.dylib签名,导致我们没有砸壳成功.

解决问题是对dumpdecrypted.dylib文件签名,首先获取可签名的证书

然后为dumpecrypted.dylib签名

codesign --force --verify --verbose --sign "iPhone Developer: `(开发这信息)`" dumpdecrypted.dylib

然后在上传到手机

进行第二次砸壳

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/9AF4167F-D4AA-4DBB-A67D-A956CCDBDEF9/WeChat.app/WeChat mach-o decryption dumper

在当前目录下会生成WeChat.decrypted文件

砸壳完成,然后你就可以拿着砸壳文件就行class-dump,静态分析汇编代码了.

问题:dumpdecrypted为什么拷贝到Documents目录下操作?

AppStore对沙盒以外的绝大数目录没有写权限. Documents目录下使用dumpdecrypted.dylib时,保证它能在当前目录下写一个decrypted文件.

2.Clutch

除了dumpdecrypted,我们还可以通过Clutch来解密.

Clutch砸壳的原理?
Clutch是生成一个新的进程,然后暂停进程并dump内存.
我们下载Clutch并编译

Clutch

我们下载看下源码文件

Clutch编译源码

我们选择真机,选择证书对源码进行编译,生成可执行文件

Clutch 可执行文件

我们将编译的Clutch可执行文件拷贝到桌面,备用.

编译后的Clutch

我们可以通过两种方式进行拷贝

1 通过iFunBox拷贝目录/usr/bin目录下

2960658-6322cba4ef28e53a.png

2 通过SCP拷贝

scp Clutch/clutch root@设备ip:/usr/bin/

我们看下Clutch的参数


Clutch [OPTIONS]
-b --binary-dump     Only dump binary files from specified bundleID
-d --dump            Dump specified bundleID into .ipa file
-i --print-installed Print installed application
--clean              Clean /var/tmp/clutch directory
--version            Display version and exit
-? --help            Display this help and exit

经过对参数的翻译:


1.clutch -b 砸壳后的文件是二进制文件

2.clutch -d 砸壳后的文件是ipa文件

3.clutch -i 查看安装的应用

4.clutch --clean /var/tmp/clutch 目录清理

5.clutch --version 显示版本并退出

6.clutch -? --help 显示帮助并退出

我们通过ssh协议通过终端连接越狱机

1.上图:我们可以看到通过执行 sh sshLogin.sh,我们不需要输入密码直接可以连接到越狱机,同事执行clutch -i 命令
2.从终端显示,执行的clutch -i 并没有执行成功
3.权限不够,加权来凑.我们需要对/usr/bin目录下的clutch进行加权
4.加权,你可以chmod 777 /user/bin/clutch
5.同样加权,你也可以通过chmod +x /user/bin/clutch
6. (1)中提交的sh 执行脚本,我会在文章iOS逆向工具之Cydia(iOS)介绍中介绍如何使用

再次执行clutch -i 验证是否授权成功

clutch 授权成功

我们进行砸壳

砸壳准备

1.我们可以看到应用的再越狱中运行的序列号为1
2.我们还可以看到应用的bundle id

我们砸壳可以通过两种方式进行

1.通过执行命令 clutch -d app序列号
2.通过执行命令 clutch -d app包名

砸壳成功后,我们可以看到提示信息

# Zipping WeChat.app
# Swapping architectures..
# DONE: /private/var/mobile/Documents/Dumped/hk.itools.appe-iOS7.0-(Clutch-2.0.4).ipa

ipa目录

有了目录地址,我们通过iFunBox或者scp 拷贝到Mac,等待分析应用.

这就是Clutch砸壳,很容易使用

注意
虽然我们介绍了两款砸壳工具,并不代表,你想砸壳的应用,使用上面两种方式都很顺利.我曾经尝试砸壳某应用,使用两种方式,我并没有砸壳成功.

分析
1.有可能这款应用做了防护
2.我们的砸壳应用已经不使用某应用了,砸壳方式需要改变

我们接下来继续介绍第三方砸壳方式

3.frida-ios-dump 一条命令完成iOS应用砸壳

frida

Dynamic instrumentation toolkit for developers, reverse-engineers, and security researchers.
面向开发人员、逆向工程师和安全研究人员的动态工具工具包。

Frida地址: Frida
Frida的使用场景
1. hook特定函数并更改返回值
2. 分析特定协议,同时其动态嗅探,解密
3. 应用调试
4. 在iOS应用上dump类和方法信息
iOS在Cydia安装Frida,我们该怎样安装呢?

注意
如果你第一次打开Cydia,搜索Frida是搜索不到的,我们需要在软件源中添加,红线画的是frida软件源地址,你可以添加一下.

Cydia_Frida

如果你已经配置完成,我们跳转到搜索页面

搜索frida

我们搜索frida,然后安装即可.

我们Mac下安装frida,怎么安装呢?
打开我们的终端,输入 sudo pip install frida

Mac下安装frida

我们通过终端已完成安装

注意
如果出现下面的错误

Uninstalling a distutils installed project (six) has been deprecated and will be
removed in a future version. This is due to the fact that uninstalling a distutils 
project will only partially uninstall the project.

我们如何解决这个问题呢?
原因:Apple预安装的这个six库出于安全原因被设置为sudo也不可以执行操作，所以需要依赖于高版本的库就需要更新six.
终端执行命令

sudo pip install frida –upgrade –ignore-installed six

问题解决后,你可以在尝试安装

我们配置frida-ios-dump,并配置frida
firda-ios-dump下载地址
我已经下载好了,我们打开文件看看

frida-ios-dump

我们可以看到js,python,sh脚本等文件

我们执行sudo pip install -r /opt/frida-ios-dump/requirements.txt --upgrade命令配置环境

配置环境

下载了很多文件,需要等待一会,就会配置好

我们还需要编辑一下dump.py文件中的参数

dump.py文件配置

1. 你可以直接打开文件
2. 你也可以通过命令打开文件vim /opt/dump/frida-ios-dump/dump.py,进行编辑后保存
3. 如果没有修改密码,这里了不需要进行修改;如果修改密码,请修改你的密码
4. 到这里frida环境配置完成

我们打开终端,进行端口转发,通过ssh连接越狱机.(连接过程,我会在Cydia文章详细介绍)

端口转发

端口转发

ssh连接越狱机

ssh连接越狱机

我们接着执行dump.py -l命令,查看一下需要砸壳的应用

dump.py -l

接着我们执行dump.py 应用名/应用bundle id

砸壳成功,生成ipa

ipa文件

我把ipa中的二进制文件拷贝到桌面,验证是否砸壳成功

砸壳成功

没有壳的应用,cyrptid 为0

4.总结

我们本篇文章主要讲解了砸壳三剑客.

dumpdecrypted
Clutch
frida-ios-dump

文章介绍到这里了.

下篇文章继续介绍iOS逆向工具.