微信反编译

所谓的反编译也就是砸壳,为什么要砸壳?为了更好的掌握IOS结构,简单的说可以了解诸如微信这样的牛掰的App的架构,我们通过对砸壳出的文件进行分析,还可以推敲出更多有用的东西。

准备工具:

  • 一台越狱后的iPhone
  • PP助手 可访问越狱应用市场的第三方软件
  • iTools Pro iPhone 越狱文件管理工具
  • class-dump 导出App头文件(前提是 App 在AppStore上加的密已经解除)
  • dumpdecrypted 解密App在AppStore加的密(砸壳)

ipa安装包获取途径

获取要被砸壳的App的ipa安装包,获取途径有两种

  1. iTunes 下载安装包。下载的ipa安装包肯定是加密后的,需要砸壳。
  2. PP 助手下载越狱应用。下载的ipa安装包已经被解密,可直接使用导出头文件。

环境配置

安装配置所需工具

  1. class-dump。下载最新版class-dump.dmg并打开,将class-dump.dmg安装包内的class-dump文件拷贝到 /usr/local/bin 目录下,有两种方式
  • 打开class-dump.dmg安装包,打开 /usr/local/bin ,拖拽安装包内class-dump 至 /usr/local/bin 目录下
  • 打开class-dump.dmg(安装包目录),拖拽class-dump至mac桌面,再通过以下命令拷贝至 /usr/local/bin
localhost:~ wany$ cd ~/Desktop/
localhost:Desktop wany$ sudo scp class-dump /usr/local/bin
  1. dumpdecrypted。Github上下载最新的dumpdecrypted源码,进入下载的dumpdecrypted目录(我这里是 ~/Download/dumpdecrypted-master),dumpdecrypted目录下执行以下命令编译出dumpdecrypted.dylib
localhost:~ wany$ cd ~/Download/dumpdecrypted-master
localhost:dumpdecrypted-master wany$ make

`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-
......省略部分输出.......
honeOS9.3.sdk/System/Library/PrivateFrameworks'

localhost:dumpdecrypted-master wany$ ls
Makefile        dumpdecrypted.c     dumpdecrypted.o
README          dumpdecrypted.dylib
localhost:dumpdecrypted-master wany$ 

  1. 越狱的iPhone,通过Cydia 安装openSSH。启动Cydia->搜索,输入 openssh 关键字查找,安装。

导出头文件(微信为例)

ipa安装包来自AppStore。

砸壳。每个App都有自己的沙盒,App启动,沙盒也会自然启动。在App 沙盒的tmp目录下放入动态解密库dumpdecrypted.dylib,App运行时通过加载该动态解密库dumpdecrypted.dylib,对代码进行解密,重新生成一个解密后的程序文件WeChat.decrypted

  1. 如果iPhone 中已安装微信可跳过本步骤,否则连接iTunes 安装该微信(重装微信需谨慎,微信聊天记录、图片、等重要数据可能会丢失)

  2. ssh 连接iPhone。这里我的ip为192.168.00.00,iPhone 和 Mac必须在同一网络下。

localhost:~ wany$ sudo ssh root@192.168.00.00
  1. 获取iPhone中微信沙盒的路径。这个寻找比较麻烦,我是通过iFunbox 找到的,寻找到微信的沙盒,iFunBox 下方会显示微信的沙盒路径。一定还有更简单的方法获取该路径,请自行探索。

  2. 获取iPhone中微信安装包路径。这个寻找比较麻烦,我是通过iTool Pro 找到的,一般都存放在 /var/mobile/Containers/Bundle/Application/ 下的某一个项目里面,如果显示的不是一个36位的字符串,可以尝试点击iTools Pro 下的导出按钮,导出到Mac桌面,保存到Mac桌面时名字就是一个36位的字符串。 一定还有更简单的方法获取该路径。

  3. dumpdecrypted.dylib 拷贝至 沙盒路径/tmp 目录下

  4. 执行砸壳命令

wany-iPhone:~  root#
wany-iPhone:/var/mobile/Containers/Data/Application/CFB9D15E-9A4F-4849-A0A4-8F276E5C52B2/tmp root#  DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/Application/B209E97B-607B-4217-8AD5-0DABEAB48B3E/WeChat.app/WeChat
mach-o decryption dumper

DISCLAIMER: This tool is only meant for security research purposes, not for application crackers.

[+] detected 32bit ARM binary in memory.
[+] offset to cryptid found: @0xc4a4c(from 0xc4000) = a4c
[+] Found encrypted data at address 00004000 of length 42450944 bytes - type 1.
[+] Opening /private/var/mobile/Containers/Bundle/Application/B209E97B-607B-4217-8AD5-0DABEAB48B3E/WeChat.app/WeChat for reading.
[+] Reading header
[+] Detecting header type
[+] Executable is a FAT image - searching for right architecture
[+] Correct arch is at offset 16384 in the file
[+] Opening WeChat.decrypted for writing.
[+] Copying the not encrypted start of the file
[+] Dumping the decrypted data into the file
[+] Copying the not encrypted remainder of the file
[+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset 4a4c
[+] Closing original file
[+] Closing dump file

wany-iPhone:/var/mobile/Containers/Data/Application/CFB9D15E-9A4F-4849-A0A4-8F276E5C52B2/tmp root#

6)断开Mac和iPhone ssh连接

wany-iPhone:~ root# logout
Connection to 192.168.00.00 closed.
localhost:~ wany$ 

导出iPhone 中刚刚生成的WeChat.decrypted 到 Mac电脑桌面

localhost:~ wany$ scp root@192.168.00.00:/var/mobile/Containers/Data/Application/CFB9D15E-9A4F-4849-A0A4-8F276E5C52B2/tmp/WeChat.decrypted ~/Desktop/
  1. 砸壳
localhost:~ wany$ cd ~/Desktop/
localhost:Desktop wany$ class-dump -s -S -H WeChat.decrypted  WeChatHead (执行后,等待片刻,控制台无任何输出)
//头文件导出成功
localhost:Desktop wany$ 

如果砸出的文件夹WeChatHead中只有一个名为CDStructures.h 的文件,说明解密是不完整的
查看是否解密完成。cryptid这个标志位判断是否解密,1的代表未解密,0的代表解密。

localhost:Desktop wany$ otool -l WeChat.decrypted | grep crypt
WeChat.decrypted (architecture armv7):
     cryptoff 16384
    cryptsize 42450944
      cryptid 0
WeChat.decrypted (architecture arm64):
     cryptoff 16384
    cryptsize 45678592
      cryptid 1

由此可见,arm64 还处于未解密的状态,我们刚才只是解密了armv7。所以我们导不出任何有用的东西。继续使用以下命令

localhost:Desktop wany$ class-dump --arch armv7  WeChat.decrypted -H -o WeChatHead

如果依然导不出任何有用的东西,我也不清楚了,还在学习中。

ipa安装包来着pp助手越狱应用市场。

寻找下载的ipa目录所在目录(简称该目录为xxx),解压ipa安装包。
我这里下载的微信ipa 名为 ‘微信 6.3.25(越狱应用).ipa’ ,为了方便下面介绍的使用,这里更名为‘WeChat_YueYu.ipa’

localhost:~ wany$ cd xxx
localhost:xxx wany$ unzip WeChat_YueYu.ipa
localhost:xxx wany$ ls
WeChat_YueYu    WeChat_YueYu.ipa
localhost:xxx wany$ cd WeChat_YueYu
localhost:WeChat_YueYu wany$ ls
META-INF        iTunesArtwork
Payload         iTunesMetadata.plist
localhost:WeChat_YueYu wany$ cd Payload
localhost:Payload wany$ ls
WeChat.app
//砸壳
localhost:Payload wany$ class-dump -H WeChat.app -o WeChatHead   (执行后,等待片刻,控制台无任何输出)
//头文件导出成功
localhost:Payload wany$ ls
WeChat.app  WeChatHead
localhost:Payload wany$ open WeChatHead

接下来就开始愉快的分析微信头文件吧,你一定会更上一层楼的。

如果再砸壳中出现以下问题

 class-dump[12985:861374] Error: Cannot find offset for address 0x300000000100b925 in stringAtAddress:

那么这个软件很可能使用的swift编程语言(非OC),目前还没有出现swift 砸壳工具,还有一种很小的可能性是该软件做了反砸壳机制 ,看这里

参考书籍 : 《IOS 应用逆向工程 2》

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,634评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,951评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,427评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,770评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,835评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,799评论 1 294
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,768评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,544评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,979评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,271评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,427评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,121评论 5 340
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,756评论 3 324
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,375评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,579评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,410评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,315评论 2 352

推荐阅读更多精彩内容