【iOS逆向】一、逆向内容简介与越狱环境搭建

总体内容

1、逆向课程简介
2、学习逆向的条件
3、iOS越狱(iOS Jailbreak)的优点和缺点
4、完美越狱和非完美越狱以及如何判断是否越狱成功?
5、Cydia(越狱后的AppStore)
6、iPhone/Mac必备软件安装以及安装包
7、代码判断设备是否越狱

一、逆向课程简介

  • 1.1、逆向总图


    逆向总览
  • 1.2、学习逆向的效果:初级开发>高级开发>底层开发
  • 1.3、 学习逆向的价值
    • 掌握编码的本质,编写高效的代码
    • 修改已有App的功能
    • 学习优秀App的设计
    • 增强客户端的安全性
    • 通用性极强(越底层,通用性越强)

二、学习逆向的条件

  • 2.1、至少有iOS开发经验:会写 UI界面、多线程网络、数据存储等等
  • 2.2、调试设备:iPhone 6s plus,建议至少iPhone 5S(因为从5S开始支持arm64架构)或者至少是iPad Air、iPad mini2等支持arm64架构的设备
  • 2.3、iOS 9.1完美越狱,建议至少iOS8完美越狱,版本也不能太高,要保证能够完美越狱,检查手机是否可以越狱
    查看手机是否可以越狱

三、iOS越狱(iOS Jailbreak)的优点和缺点

  • 2.1、iOS越狱的优点
    • 打造个性化、与众不同的iPhone:自由安装各种实用的插件、主题、APP;修改系统APP的一些默认行为
    • 自由安装非AppSore来源的APP:“付费APP”秒变“免费APP”;未越狱iPhone安装APP的途径(AppStore、真机调试、通过证书打包签名ipa安装)
    • 灵活管理文件系统,让iPhone可以像U盘那样灵活
    • 给开发者提供了逆向工程的环境
  • 2.2、iOS越狱的缺点
    • 苹果不予保修
    • 费电,越狱后的iOS系统会常驻一些进程,耗电速度约提升10%~20%
    • 在新的iOS固件版本出来的时候,不能及时地进行更新:(1)、每个新版本的固件,都会修复上一个版本的越狱漏洞,使越狱失效;(2)、如果需要保持越狱状态,要等待新的越狱程序发布时,才能升级相应的固件版本
    • 不再受iOS系统默认的安全保护,容易被恶意软件攻击,个人隐私有被窃取的风险
    • 如果安装了不稳定的插件,容易让系统变得不稳定、变慢,甚至出现“白苹果”等问题(网上搜索解决方案)


      白苹果

四、完美越狱和不完美越狱

  • 4.1、完美越狱:越狱后的iPhone可以正常关机和重启

  • 4.2、不完美越狱

    • iPhone一旦关机后再开机时,屏幕就会一直停留在启动画面,也就是“白苹果”状态
    • 能正常开机,但已经安装的破解软件都无法正常使用,需要将设备与PC连接后,使用软件进行引导才能使用
  • 4.3、补充:一般说来,在苹果发布新的iOS固件后,针对该固件的不完美越狱会先发布,随后完美越狱才可能发布;一般较新的系统版本,均为不完美越狱

  • 4.4、越狱方法推荐1、PP助手(已于2020年2月停止维护)2、爱思助手 3、https://unc0ver.dev/等等

    爱思助手

  • 4.5、如何判断是否越狱成功

    • 手机桌面是否有Cydia
      Cydia

注意:Cydia 出现无法加载网络的解决办法

Cydia 无法加载网络

Cydia正常打开的页面

**五、Cydia(越狱后的App Store)

  • 5.1、Cydia的简单介绍

    • Cydia(越狱后的 App Store),可以在Cydia中安装各种第三方的软件(插件、补丁、APP)
    • 作者:Jay Freeman (网名:saurik)
  • 5.2、Cydia安装软件的步骤

    • 步骤1、添加软件源(不同软件的软件源可能不同),下面以 (已废弃)pp助手源:http://apt.25pp.com 为例

      添加软件源
    • 步骤2、进入软件源找到对应的软件,开始安装

      安装软件
    • 步骤3、如果软件源中的软件太多,可以搜索查找

  • 5.3、SpringBoard (就是iOS手机的桌面)

    • 有时候通过Cydia安装完插件后,可能会出现以下界面


      SpringBoard

六、iphone/Mac必备软件安装以及安装包

  • 6.1、建议安装顺序


    安装顺序
  • 6.2、Apple File Conduit "2"(iphone必备软件安装)

    • 补丁的作用(可以访问整个iOS设备的文件系统;类似的补丁还有:afc2、afc2add),可以使用工具 iFunBox
    iFunBox的使用

    注:先在 软件源 里面添加软件源http://apt.saurik.com,再搜索下载 Apple File Conduit "2"

  • 6.3、AppSync Unified(iphone必备软件安装)

    • AppSync Unified补丁的作用:可以绕过系统验证,随意安装、运行破解的ipa包
      -软件源:http://apt.91.com/
      AppSync Unified
  • 6.4、iFile(iPhone必备软件安装)

    • iFile的作用:可以在iPhone上自由访问iOS文件系统;类似的还有Filza File ManagerFile Browser
  • 软件源:http://apt.thebigboss.org/repofiles/cydia(BigBoss)

    iFile

  • 6.5、(Mac必备软件安装)

  • iFunBox:http://dl.i-funbox.com/管理文件系统
  • 爱思助手:自由安装海量APP;卸载APP;备份APP为ipa安装包
  • 6.6、安装包
    • 通常情况下的安装方式
      • 通过Cydia安装的安装包是deb格式的(结合 软件包管理工具apt)
      • 通过爱思助手安装的安装包是ipa格式的
  • 如果通过Cydia源安装deb失败
    • 通过可以先从网上下载deb格式的安装包
    • 数据线连上手机,通过iFunBox将deb安装包放到/var/root/Media/Cydia/AutoInstall
  • 重启手机,Cydia就会自动安装deb

七、代码判断设备是否越狱,参考博客一参考博客二,手机是否越狱判断的 demo

  • 7.1、越狱带来的苹果安全支付机制

    • 苹果是非常重视安全性的,所以给用户设计了一套复杂的安全机制。但是很多用户喜好自由或者是被一些商家恶意的,对手机进行了越狱。这严重的破坏了手机的安全性能,给一些恶意的应用打开了方便之门。
    • 而在苹果支付中,苹果为了保护用户的隐私,支付凭证中不包含任何用户的Apple ID信息,所以我们的服务器在验证这个凭证的时候无法得知是谁的凭证,只能验证这个凭证的真伪。就像一些商家发行的不记名购物卡,只要卡是真的就可以使用,而不管你是否是这个卡的真正主人。
    • 苹果的这种支付机制保护了用户的隐私,但也为不良的黑客提供了作案的机会。黑客可以对越狱的手机添加一种恶意软件,软件会窃取你支付过程中的支付凭证,然后伪造一份假的凭证,让你的支付验证在商家的服务器上失败,但你的钱却已经支付,黑客再使用你真正的支付凭证在其他的账号中验证支付,而商家的服务器验证该支付凭证是真的,商家则认为是黑客的账号购买了商品。这样黑客就盗取了用户的资金。
      所以,为了保护用户的安全性,应该对越狱的手机,取消其支付功能。
  • 7.2、判断设备是否越狱一:通过手机越狱后增加的越狱文件判断,判断这些文件是否存在,只要有存在的,就可以认为手机已经越狱了。
const char* jailbreak_tool_pathes[] = {
   "/Applications/Cydia.app",
   "/Applications/limera1n.app",
   "/Applications/greenpois0n.app",
   "/Applications/blackra1n.app",
   "/Applications/blacksn0w.app",
   "/Applications/redsn0w.app",
   "/Applications/Absinthe.app",
   "/Library/MobileSubstrate/MobileSubstrate.dylib",
   "/bin/bash",
   "/usr/sbin/sshd",
   "/etc/apt",
   "/private/var/lib/apt/",
   NULL,
 };

+(BOOL)isJailBreak1
{
     for (int i=0; i<ARRAY_SIZE(jailbreak_tool_pathes); i++) {
         if ([[NSFileManager defaultManager] fileExistsAtPath:[NSString stringWithUTF8String:jailbreak_tool_pathes[i]]]) {
             NSLog(@"The device is jail broken!");
             return YES;
         }
      }
     NSLog(@"The device is NOT jail broken!");
     return NO;
}
  • 7.3、判断设备是否越狱二:根据是否能打开cydia判断(判断cydia的URL scheme,URL scheme是可以用来在应用中呼出另一个应用,这个方法也就是在判定是否存在cydia这个应用。)
+(BOOL)isJailBreak2{

    if ([[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@"cydia://"]]) {
          NSLog(@"The device is jail broken!");
          return YES;
    }
    NSLog(@"The device is NOT jail broken!");
    return NO;
}
  • 7.4、判断设备是否越狱三:根据是否能获取所有应用的名称判断,没有越狱的设备是没有读取所有应用名称的权限的
+(BOOL)isJailBreak3{
    if ([[NSFileManager defaultManager] fileExistsAtPath:@"User/Applications/"]) {
        NSLog(@"The device is jail broken!");
        NSArray *appList = [[NSFileManager defaultManager] contentsOfDirectoryAtPath:@"User/Applications/" error:nil];
        NSLog(@"appList = %@", appList);
        return YES;
     }
     NSLog(@"The device is NOT jail broken!");
     return NO;
}
  • 7.5、判断设备是否越狱四:根据使用stat方法来判断cydia是否存在来判断,这个方法的思路还是通过判定cydia应用,但方法是使用stat函数,同时会判断是否有注入动态库。
#import <sys/stat.h>  

+(BOOL)isJailBreak4
{
   struct stat stat_info;
   if (0 == stat("/Applications/Cydia.app", &stat_info)) {
      NSLog(@"Device is jailbroken");
      return YES;
   }

   return NO;
}

7.6、判断设备是否越狱五:攻击者可能会利用 Fishhook原理 hook了stat。那么,你可以看看stat是不是出自系统库,有没有被攻击者换掉:

#import <dlfcn.h>  

+(BOOL)isJailBreak5
{
   int ret ;
   Dl_info dylib_info;
   int (*func_stat)(const char *, struct stat *) = stat;
   if ((ret = dladdr(func_stat, &dylib_info))) {
        NSLog(@"lib :%s", dylib_info.dli_fname);
        return YES;
   }
   return NO;
}

7.7、判断设备是否越狱六:读取环境变量这个DYLD_INSERT_LIBRARIES环境变量,在非越狱的机器上应该是空,越狱的机器上基本都会有Library/MobileSubstrate/MobileSubstrate.dylib

char* printEnv(void) {
   char *env = getenv("DYLD_INSERT_LIBRARIES");
   return env;
}
+(BOOL)isJailBreak6{
   if (printEnv()) {
      NSLog(@"The device is jail broken!");
      return YES;
   }
   NSLog(@"The device is NOT jail broken!");
   return NO;
}

此文参考【IIronMan简书】

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,294评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,493评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,790评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,595评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,718评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,906评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,053评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,797评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,250评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,570评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,711评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,388评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,018评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,796评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,023评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,461评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,595评论 2 350

推荐阅读更多精彩内容