iOS 应用砸壳和导出类信息

下载的非越狱应用都是经过加密的,加密后可以保证一定的安全性,但是对于逆向开发的人来说,加密应用无法进行静态分析,也无法导出类信息等。加密对应着解密,也就是我们常说的应用砸壳。
应用砸壳分为两种:静态砸壳动态砸壳

  • 静态砸壳:只有了解了应用的加密算法和逻辑才可以在不运行应用的前提下进行解密操作,这种方式操作难度大。
  • 动态砸壳:运行应用程序,从内存中读取可执行文件对应的区域,这种方法简单且不需要了解应用的加密方式。

一、iOS 应用运行原理

加密应用 --> 系统内核对加密应用进行解密 --> dyld 加载解密后的 Mach-O 文件 --> 内存中某个区域存在解密后的可执行文件数据


应用运行原理.png

二、砸壳方式

这里只讨论动态砸壳,原理都是从内存中读取解密后的数据,动态砸壳有以下四种砸壳工具:

  • Clutch
  • dumpdecrypted
  • frida-ios-dump

1、利用 Clutch 砸壳

  • 首先下载 Clutch 发布版本
    Clutch.png
  • 将 Clutch 文件复制到越狱手机 /usr/bin/ 文件夹下
wifi 
scp Clutch root@<your.device.ip>:/usr/bin/Clutch
usb
iproxy 2222 22
scp -P 2222 Clutch root@localhost:/usr/bin/Clutch
  • 设置手机中的 Clutch 具有可执行权限
    添加可执行权限.png
  • 在越狱手机上运行要砸壳的应用,然后使用 Clutch -i 命令查看可砸壳的应用列表
    可砸壳应用列表.png
  • 使用 Clutch -d BundleIdClutch -d 序号 命令进行砸壳
    砸壳.png
  • 将砸壳后的应用保存到电脑上,手机上需要安装 Apple File Conduit,Mac 上需要安装 ** iFunBox**
    拷贝到电脑.png

2、利用 dumpdecrypted 砸壳

  • 下载 dumpdecrypted,使用 make 命令生成 dylib 动态库
    image.png
  • dumpdecrypted.dylib 复制到手机 ~/ 目录下
scp -P 2222 dumpdecrypted.dylib root@localhost:~/dumpdecrypted.dylib
  • 连接手机打开APP,查看 APP 路径
    查看 APP 路径.png
  • 进入手机 ~/ 目录,对砸壳应用动态注入 dumpdecrypted.dylib,命令如下:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 应用路径

动态注入.png
当前目录下以 .decrypted 为后缀的就是我们解密后的可执行文件

3、利用 frida-ios-dump 砸壳

  • 安装 python(MAC自带) 和 pip
sudo easy_install pip
  • 安装 frida
sudo pip install frida-tools
  • 手机安装 ** Frida**
  • 连接手机查看当前进程,在 Mac 中输入frida-ps -U 可以查看手机当前的进程
    当前进程.png
  • 下载 frida-ios-dump ,修改 dump.py 文件中用户名密码端口号
    修改dump.png
  • 执行 ./dump.py DisplayName 进行砸壳
    砸壳.png

三、砸壳脚本

个人比较倾向使用 frida-ios-dump 砸壳,所以这里介绍的砸壳脚本就以 frida-ios-dump 为基础。

  • 首先建立一个存放脚本的文件夹,然后创建 shell 脚本 dump.sh,下面是本人的脚本内容:
/Users/sun/SunShell/frida-ios-dump/dump.py $1
// 前面路径为 dump.py 绝对路径
  • 配置脚本可以全局使用,打开 ~/.bash_profile 配置全局搜索路径
export SUNSHELL=~/SunShell  #自定义脚本文件夹
export PATH=$PATH:$SUNSHELL
  • 配置好后就可以在任意文件夹下使用 dump.sh DisplayName 命令进行砸壳

四、导出类信息

砸壳完了以后我们就可以导出应用中的类信息了。

  • 下载 class-dump
  • 使用 class-dump 命令导出头信息
Usage: class-dump [options] <mach-o-file>

  where options are:
        -a             show instance variable offsets
        -A             show implementation addresses
        --arch <arch>  choose a specific architecture from a universal binary (ppc, ppc64, i386, x86_64)
        -C <regex>     only display classes matching regular expression
        -f <str>       find string in method name
        -H             generate header files in current directory, or directory specified with -o
        -I             sort classes, categories, and protocols by inheritance (overrides -s)
        -o <dir>       output directory used for -H
        -r             recursively expand frameworks and fixed VM shared libraries
        -s             sort classes and categories by name
        -S             sort methods by name
        -t             suppress header in output, for testing
        --list-arches  list the arches in the file, then exit
        --sdk-ios      specify iOS SDK version (will look in /Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS<version>.sdk
        --sdk-mac      specify Mac OS X version (will look in /Developer/SDKs/MacOSX<version>.sdk
        --sdk-root     specify the full SDK root path (or use --sdk-ios/--sdk-mac for a shortcut)

打开命令行进入 class-dump 所在的目录下,执行 ./class-dump --arch arm64 TargetAppMach-O -H -o ./Headers 命令导出头文件到 Headers 文件夹下。
同样我也写了一个全局的导出类信息的脚本:

# 第一个参数是可执行文件名称
# 第二个参数是输出文件夹,可选
# 第三个参数是架构类型,可选,默认是arm64
outputName="./$1_Headers"
cpu_arch="arm64"

if [ $2 ]; then
    outputName=$2
fi

if [ $3 ]; then
    cpu_arch=$3
fi

/Users/sun/SunTool/class-dump --arch ${cpu_arch} $1 -H -o ${outputName}

脚本使用方式 class-dump.sh NewsLiteclass-dump.sh NewsLite Headersclass-dump.sh NewsLite arm64

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,029评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,395评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,570评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,535评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,650评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,850评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,006评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,747评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,207评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,536评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,683评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,342评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,964评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,772评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,004评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,401评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,566评论 2 349

推荐阅读更多精彩内容

  • 概述 软件脱壳,顾名思义,就是对软件加壳的逆操作,把软件上存在的壳去掉(解密)。 砸壳原理 应用加壳(加密)提交给...
    没八阿哥的程序阅读 7,073评论 0 2
  • 砸壳 提交给Appstore发布的App,都经过官方保护而加密,这样可以保证机器上跑的应用是苹果审核过的,也可以管...
    king_jensen阅读 1,342评论 0 1
  • 砸壳原理 砸壳顾名思义就是对软件进行逆向操作,对已加密的软件进行解密,从而获取真实软件源码。App Store下载...
    Hanfank阅读 19,183评论 7 12
  • 我们日常开发提交给Appstore发布的App,都经过官方保护而加密,这样可以保证机器上跑的应用是苹果审核过的,也...
    妖精的菩萨阅读 18,371评论 1 14
  • 【日精进打卡第19天】 【知-学习】 《增广贤文全集》诵读30分钟,共30分钟。 【经典名句分享】 人生苦短,别去...
    玉_莲子阅读 123评论 0 0