准备
首先你要有一台越狱机,纯属废话!其次确认越狱机上的 SSH、SCP、Cycript 工具可用,接下来就可以开启奇妙的砸壳之旅了!
将砸壳进行到底
编译签名 dumpdecrypted
- 下载 dumpdecripted 源码
MYMacBook:Desktop jiaxw$ git clone git@github.com:stefanesser/dumpdecrypted.git - cd 到
dumpdecripted目录,输入make直接编译
友情提示:许多资料说 Xcode SDK 版本要与越狱手机 iOS SDK 版本一致。笔者测试,不一致编译的MYMacBook:Desktop jiaxw$ cd dumpdecrypted/ MYMacBook:dumpdecrypted jiaxw$ makedumpdecripted.dylib也可用。如不能使用,请下载与 iOS 系统版本对应的 Xcode,并修改Makefile中的SDK路径,重新编译。修改后的Makefile如下:GCC_BIN=`xcrun --sdk iphoneos --find gcc` GCC_UNIVERSAL=$(GCC_BASE) -arch armv7 -arch armv7s -arch arm64 SDK=/the root path of your Xcode/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS10.0.sdk - 为编译生成的
dumpdecrypted.dylib签名
曾记得在 iOS 9 砸壳时,dumpdecrypted.dylib没签名也可用。在 iOS 10时,提示以下错误:dyld: could not load inserted library 'dumpdecrypted.dylib' because no suitable image found. Did find: dumpdecrypted.dylib: required code signature missing for 'dumpdecrypted.dylib'- 输入下面命令,获取开发者账号信息
MYMacBook:dumpdecrypted jiaxw$ security find-identity -v -p codesigning 1) 58E55DB5A7A35CE9ECF6601FE6C6166FDBB7555C "iPhone Developer: xxxxxx@163.com (xxxxxxxxxx)" - 使用
codesign为dumpdecrypted.dylib签名MYMacBook:dumpdecrypted jiaxw$ codesign --force --verify --verbose --sign "iPhone Developer: iPhone Developer: xxxxxx@163.com (xxxxxxxxxx)" dumpdecrypted.dylib dumpdecrypted.dylib: signed Mach-O universal (armv7 armv7s arm64) [dumpdecrypted]
- 输入下面命令,获取开发者账号信息
砸壳
- 使用
scp工具,将签名后的dumpdecrypted.dylib传输到越狱手机MYMacBook:dumpdecrypted jiaxw$ scp dumpdecrypted.dylib root@192.168.31.87:~/ - 使用
ssh登录连接到越狱手机MYMacBook:dumpdecrypted jiaxw$ ssh root@192.168.31.87 - 启动要砸壳的 App,以微信为例,查找其安装路径,后面砸壳时要输入此路径。如若不知道启动 App 的进程名,输入
ps -e即可iPhone6s:~ root# ps -e | grep WeChat 4308 ?? 0:00.58 /var/containers/Bundle/Application/6F92D215-8F9B-470E-93DB-10EFA9D72455/WeChat.app/WeChat - 将 cycript 注入微信进程,获取微信沙盒
Documents路径iPhone6s:~ root# cycript -p WeChat cy# [[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask][0] #"file:///var/mobile/Containers/Data/Application/3B83C7FD-3D73-4FEF-B33E-51CE76685E53/Documents/" - 输入
Control+D,退出cycript - cd 到上面获取的
Documents目录root# cd /var/mobile/Containers/Data/Application/3B83C7FD-3D73-4FEF-B33E-51CE76685E53/Documents/ - 将
dumpdecrypted.dylib拷贝到Documents目录cp ~/dumpdecrypted.dylib ./ - 万事俱备,只待砸壳,执行下面命令
root# DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/6F92D215-8F9B-470E-93DB-10EFA9D72455/WeChat.app/WeChat - 上述命令运行完毕后,输入
ls查看当前目录文件,WeChat.decrypted即为砸壳后的二进制文件
总结
本文主要记述了使用 dumpdecrypted 砸壳过程。除了 dumpdecrypted,常用的砸壳工具,还有大名鼎鼎的 Clutch,AloneMonkey大神的 frida-ios-dump。其中 Clutch 简单易用,但不甚稳定,对一些较大的 App 砸壳时常失败,比如微信。frida-ios-dump 稳定可靠,操作极其方便,砸壳后直接将 ipa 文件传输电脑端,但环境配置起来比较复杂,手机端需要安装frida-server,有三十多兆,占用不少系统盘资源,一些低端机比较吃紧。dumpdecrypted 使用也很稳定,不需要复杂的环境配置,但 dumpdecrypted 砸壳后只能获取解密的二进制执行文件,复制一份原有 app 包,用解密后的二进制文件替换原有文件,可以获取完整解密 app包。总之,dumpdecrypted 操作起来相较其他两款砸壳工具复杂很多,但在这复杂的过程中我们能学到更多东西!
