iOS逆向之砸壳与重签

本文只是为了学习理解整个过程和原理,砸壳和重签都有很多种简单快速的方式,本文不探讨

iPhone配置
越狱,本人使用的是iphone6s plus 12.4(非完美越狱),最好是能完美越狱,因为有些工具可能不支持非完美越狱手机,截止2020年底12.2以下均可完美越狱,可在pp助手、爱思助手查看。

  • 下载爱思助手,安装并打开后找到刷机越狱,选择一键越狱,在右侧找到CheckRa1n越狱,按照提示操作,完成之后手机中会多出一个黑色图标的软件CheckRa1n
  • 打开CheckRa1n,点击安装cydia,本人在安装过程中一直卡在了Downloading Base system界面不动,最后使用科学上网才安装成功。
  • 下载frida,打开越狱手机中应用cydia添加源:https://build.frida.re,然后搜索frida并安装,根据手机选择frida版本,6s选择Frida for pre-A12 devices

Mac配置

  • 安装工具
brew install python  #安装python
brew install wget #安装wget
#安装pip
wget https://bootstrap.pypa.io/get-pip.py
sudo python get-pip.py

pip3 install frida  #安装frida
pip3 install firda-tools #安装frida命令行工具
  • 安装脚本依赖环境下载python3脚本,cd到frida-ios-dump目录,并执行,过程中需要输入电脑密码
sudo pip3 install -r requirements.txt --upgrade
  • 安装usbmuxd与手机通信
brew install usbmuxd   #安装usbmuxd

连接

  • 手机与电脑均配置完成,下面开始通过USB使用ssh连接设备,首先可以通过终端命令检查是否可以工作frida-ps -U,若可用会输出PID - Name列表。
  • 使用终端将22映射到电脑上的2222端口,也可使用其他端口,但要保证映射和访问时使用同一个,并且dump.py脚本中也要同步进行修改。
iproxy 2222 22

此时终端会输出➜ waiting for connection,再打开一个终端窗口,使用ssh登录iphone手机

➜  ~ ssh root@127.0.0.1 -p 2222
root@127.0.0.1's password: #这里密码默认的是alpine
iPhone:~ root#

到了这一步ssh登录成功,下面就可以使用dump.py脚本查看手机里的应用了。

注:我这里使用ssh访问没有成功,折腾半天一直报错ssh_exchange_identification: read: Connection reset by peer最终放弃。采用了第二方案,使用爱思助手 --> 打开SSH通道->弹出提示包含端口,密码,保证dump.py里面一致即可,随后继续后面的步骤


砸壳

  • 如果是新下载的dump脚本,需要在mac用户目录下,先执行一下source dump.py路径
  • 终端查看手机中的应用:/Users/Mac/frida-ios-dump/dump.py -l
  • 在输出的应用中找到要进行砸壳的bundle Id微信 com.tencent.xin
  • 创建一个文件夹dump,在dump文件夹下执行砸壳,砸壳生成的ipa将会保存到当前执行目录
  • 执行砸壳
➜  dump /Users/Peny/frida-ios-dump/dump.py com.tencent.xin
Start the target app com.tencent.xin
Dumping 微信 to /var/folders/2_/ts8l68y17cncks73d_vjz4vh0000gn/T
[frida-ios-dump]: OpenSSL.framework has been loaded.
[frida-ios-dump]: ProtobufLite.framework has been loaded.
[frida-ios-dump]: andromeda.framework has been loaded.
[frida-ios-dump]: mars.framework has been loaded.
[frida-ios-dump]: marsbridgenetwork.framework has been loaded.
[frida-ios-dump]: matrixreport.framework has been loaded.
start dump /var/containers/Bundle/Application/3356DDD1-7B64-4B8E-AA2D-0F7BAA394A9A/WeChat.app/WeChat
WeChat.fid: 100%|███████████████████████████████████████████████████████████████████████████| 144M/144M [00:04<00:00, 33.9MB/s]
start dump /private/var/containers/Bundle/Application/3356DDD1-7B64-4B8E-AA2D-0F7BAA394A9A/WeChat.app/Frameworks/mars.framework/mars
mars.fid: 100%|███████████████████████████████████████████████████████████████████████████| 12.7M/12.7M [00:00<00:00, 32.7MB/s]
start dump /private/var/containers/Bundle/Application/3356DDD1-7B64-4B8E-AA2D-0F7BAA394A9A/WeChat.app/Frameworks/andromeda.framework/andromeda
andromeda.fid: 100%|██████████████████████████████████████████████████████████████████████| 8.71M/8.71M [00:00<00:00, 31.2MB/s]
start dump /private/var/containers/Bundle/Application/3356DDD1-7B64-4B8E-AA2D-0F7BAA394A9A/WeChat.app/Frameworks/OpenSSL.framework/OpenSSL
OpenSSL.fid: 100%|████████████████████████████████████████████████████████████████████████| 2.38M/2.38M [00:00<00:00, 27.1MB/s]
start dump /private/var/containers/Bundle/Application/3356DDD1-7B64-4B8E-AA2D-0F7BAA394A9A/WeChat.app/Frameworks/ProtobufLite.framework/ProtobufLite
ProtobufLite.fid: 100%|█████████████████████████████████████████████████████████████████████| 205k/205k [00:00<00:00, 10.0MB/s]
start dump /private/var/containers/Bundle/Application/3356DDD1-7B64-4B8E-AA2D-0F7BAA394A9A/WeChat.app/Frameworks/marsbridgenetwork.framework/marsbridgenetwork
marsbridgenetwork.fid: 100%|██████████████████████████████████████████████████████████████| 2.40M/2.40M [00:00<00:00, 27.6MB/s]
start dump /private/var/containers/Bundle/Application/3356DDD1-7B64-4B8E-AA2D-0F7BAA394A9A/WeChat.app/Frameworks/matrixreport.framework/matrixreport
matrixreport.fid: 100%|█████████████████████████████████████████████████████████████████████| 469k/469k [00:00<00:00, 17.3MB/s]
network_setting.html: 260MB [00:12, 22.2MB/s]
0.00B [00:00, ?B/s]
Generating "微信.ipa"
➜  dump

重签名方式一

  • 查看电脑安装的所有签名
➜  security find-identity -v -p codesigning
  1) 733B3EBFD4132FB93F8E21ABC93500B89563E212 "Apple Development: xxxx@163.com (HM4asdfads)"
  2) 6A525348B0F4A138E826DF86C15765EC220CAD57 "Apple Development: xxxx (LP48asdfad)"
  3) 1A5BABAD6111FD9C1B947BC7E7B39BF07F28690F "Apple Distribution: Beijing xxxxx (55Wdsasdfadsf)"
     3 valid identities found
  • 解压ipa,cd到Payload目录下,查看wechat的签名信息
➜  codesign -vv -d WeChat.app
Executable=/Users/XXX/Desktop/dump/Payload/WeChat.app/WeChat
Identifier=com.tencent.xin
Format=app bundle with Mach-O thin (arm64)
CodeDirectory v=20500 size=2308891 flags=0x0(none) hashes=36071+7 location=embedded
Signature size=4390
Authority=Apple iPhone OS Application Signing
Authority=Apple iPhone Certification Authority
Authority=Apple Root CA
Info.plist entries=72
TeamIdentifier=88L2Q4487U
Sealed Resources version=2 rules=22 files=1683
Internal requirements count=1 size=96
  • cd到WeChat.app目录,查看machO文件的信息,在Load commond中有一个LC_ENCRYPTION_INFO_64类型用来表示加密的cryptid字段,0表示没有加密,1表示AppStore对整个app包进行对称加密过的(其在运行时的内存中解密,因此它必须要高效率,所以使用的对称加密)。可以使用爱思助手下载其他的app验证一下otool -l WeChat | grep crypt
➜  WeChat.app otool -l WeChat

...
Load command 12
          cmd LC_ENCRYPTION_INFO_64
      cmdsize 24
     cryptoff 16384
    cryptsize 121225216
      cryptid 0   # 0代表没有加密,1代表加密
          pad 0
Load command 13
...
  • 删除插件和带有插件的app包(Watch文件夹)。
  • Frameworks里面的库进行重签名
➜  WeChat.app cd Frameworks
➜  Frameworks codesign -fs "Apple Development: xxxx@163.com (HM4asdfads)"  xxx.frameworks
  • 检查WeChat可执行文件权限,如果它是白色的需要改一下权限chmod -x WeChatchmod 777 WeChat;如果是黑色说明是有执行权限的。
  • 创建一个demo工程,真机运行,将生成的demo.app包内的embedded. mobileprovision复制出来,放到WeChat.app目录下
  • 修改Info.plist文件中的Bundle Id
  • 通过授权文件(Entitlements)重签app
    终端命令:security cms -Di embedded.mobileprovision,提取Entitlements里面的内容并创建一个新的plist文件,命名可随意:如ent.plist
➜  WeChat.app security cms -Di embedded.mobileprovision
...
<key>Entitlements</key>
    <dict>
        <key>application-identifier</key>
        <string>HM4asdfads.con.xxxx.demo*</string>
        <key>keychain-access-groups</key>
        <array>
        <string>HM4asdfads.*</string>
        <string>com.apple.token</string>
        </array>
        <key>get-task-allow</key>
        <true/>
        <key>com.apple.developer.team-identifier</key>
        <string>55WHPN47NF</string>
    </dict>
...

将<dict></dict>中的内容填充到ent.plist文件中,接下来就可以使用ent.plistWeChat.app进行签名了

➜  WeChatDemo ls
AppDelegate.h     AppDelegate.m     Assets.xcassets   Base.lproj        Info.plist        SceneDelegate.h   SceneDelegate.m   ViewController.h  ViewController.m  WeChat.app        ent.plist         main.m
➜  WeChatDemo codesign -fs "Apple Development: xxxx@163.com (HM4asdfads)" --no-strict --entitlements=ent.plist WeChat.app
WeChat.app: replacing existing signature
➜  WeChatDemo

重签名方式二

使用xcode创建同名工程,这里的同名指的是target一致,xcode根据target在run的时候生成app文件。新创建一个WeChat或者在任意一个工程的TARGETS添加WeChat都可以。

  • 运行同名工程,得到一个.app文件
  • 打开砸壳后的app,删除里面的插件和带有插件的app包(Watch文件夹)。
  • Frameworks里面的库进行重签名
  • 不需要改bundle id,描述文件等,直接将上面两步操作之后的app文件替换同名工程中的app文件,然后xcode run。

重签名方式三
借助xcode中Run Script,编写shell脚本,实现自动重签,主要是脚本的编写,引用一下别人写的脚本示例:

# ${SRCROOT} 它是工程文件所在的目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹,我们提前在工程目录下新建一个APP文件夹,里面放ipa包
ASSETS_PATH="${SRCROOT}/APP"
#目标ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"
#清空Temp文件夹
rm -rf "${SRCROOT}/Temp"
mkdir -p "${SRCROOT}/Temp"



#----------------------------------------
# 1. 解压IPA到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解压的临时的APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
# echo "路径是:$TEMP_APP_PATH"


#----------------------------------------
# 2. 将解压出来的.app拷贝进入工程下
# BUILT_PRODUCTS_DIR 工程生成的APP包的路径
# TARGET_NAME target名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "app路径:$TARGET_APP_PATH"

rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH"



#----------------------------------------
# 3. 删除extension和WatchAPP.个人证书没法签名Extention
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"



#----------------------------------------
# 4. 更新info.plist文件 CFBundleIdentifier
#  设置:"Set : KEY Value" "目标文件路径"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"


#----------------------------------------
# 5. 给MachO文件上执行权限
# 拿到MachO文件的路径
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
#上可执行权限
chmod +x "$TARGET_APP_PATH/$APP_BINARY"



#----------------------------------------
# 6. 重签名第三方 FrameWorks
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do

#签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

最新常见问题
在实验过程中,使用新版的weixin,dingding都不成功,提示The application is not built for this device,如下图所示

image.png

解决方案为:这是因为使用了app瘦身功能,砸壳所用的机型与重签之后使用的机型不一致,需要将plist文件中的UISupportedDevices的设备补全,或者直接将这一项删除,在脚本的第4步中添加上

#我这里使用的xs max(A2104),添加`iPhone11,6`即可安装成功
/usr/libexec/PlistBuddy -c "Add :UISupportedDevices: string iPhone11,6" "$TARGET_APP_PATH/Info.plist"
#删除
/usr/libexec/PlistBuddy -c "Delete :UISupportedDevices" "$TARGET_APP_PATH/Info.plist"

PS:本人只是为了学习和研究,如有冒犯请多多见谅~

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,313评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,369评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,916评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,333评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,425评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,481评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,491评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,268评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,719评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,004评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,179评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,832评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,510评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,153评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,402评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,045评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,071评论 2 352

推荐阅读更多精彩内容