iOS逆向常用操作笔记

如果你目前还做不了巨人,那么就去思考如何优雅的站在巨人肩膀上。

此笔记只是把自己常用的一些操作命令记录,当做为个人逆向手册吧。

一、LLDB常用命令

1. 模块操作:

​ image list -o -f | grep MiaoPai //显示 MiaoPai Image模块的信息

​ image lookup -r -n NUWebViewController //查询NUWebViewController类或者方法在哪个模块里面

2. 断点操作:

2.1 基本断点:

​ br s -a 0xA5446 //在固定地址0xA5446下断,此地址是绝对地址。

​ br s -a '0x0009a000 + 0xb446' //用ALSR+IDA偏移下断,ALSR的获取需要使用image list

​ br s -n "[UIAlertView initWithTitle:message:delegate:cancelButtonTitle:otherButtonTitles:]" //符号断点这样也行

​ br s -n "initWithTitle:message:delegate:cancelButtonTitle:otherButtonTitles:" //对所有含有initWithTitle方法的地方下断点。

​ br s -n alertControllerWithTitle:message:preferredStyle: //对所有含有alertControllerWithTitle方法的地方下断点。

​ po (void*)class_getMethodImplementation(NSClassFromString(@"UIAlertView"),NSSelectorFromString(@"initWithTitle:message:delegate:cancelButtonTitle:otherButtonTitles:")) //这个可以先打出[UIAlertView initWithTitle:message:delegate:cancelButtonTitle:otherButtonTitles:]的内存地址,然后使用br s -a addr下断点。

2.2 条件断点:

​ br s -a 0x03193730 -c '(BOOL)[(NSString *)$x0 isEqualToString:@"winsong"]'

2.2 断点命中行为:

​ br command add index // 给序号为index的断点增加命中后的行为

2.3 内存读写断点:

​ watchpoint set expression -w write -- addr //给addr地址处设置内存写入断点

​ watchpoint set expression -w read -- addr //给addr地址处设置内存读断点

2.4 禁用断点:

​ br dis index

2.5 删除断点:

​ br del index

2.6 查看断点:

​ br list //查看断点列表 原型:breakpoint list

3.寄存器操作:

​ re w r0 0 //把r0寄存器修改为0

​ re read //查看所有寄存器的值

4.内存操作(可以用x 命令代替):

4.1 内存读:

​ mem r -s4 -fx -c16 addr // 查看addr处的内存情况,这里主要解释一下上面这条命令每个-的作用,-s主要是控制显示的是以多少个字节显示,如-s1就是Byte的显示,如-s2就是以Word显示,如-s4就是以Dword显示。-f主要是控制显示的格式其后面有效数值:

​ mem r -s1 -fY -c0x20 0x38b0fe70

​ mem r -o/Users/winsong/Desktop/temp.bin -c0x8CA000 -b 0xbffff3c0 //dump指定地址 指定大小的内存以Hex格式dump到文件中

​ x -ff -c0xAC718 -o/Users/winsong/Desktop/temp.bin $x0--force //dump指定地址 指定大小的内存以浮点数格式dump到文件中

​ x -b -c0xAC718 -o/Users/winsong/Desktop/temp.bin $x0--force //dump指定地址 指定大小的内存以Hex格式dump到文件中

4.2 内存写:

​ memory write -s1 -fx 0x144dade11 0x38 //对0x144dade11内存地址写入一个字节为0x38

4.3 关于x命令的拓展

常规格式:

1).打印32位地址:

​ (lldb) x -fx -c8 -l4 $r0 //-f(格式控制)、-c(总个数控制)、-l(每一行的个数控制)

​ 0x10004005: 0x7400001f 0x74000006 0x0f000006 0x74000067

​ 0x10004015: 0x74000007 0x21000007 0x7400006b 0x74000009

2).打印字符串:

​ (lldb) x -fY -c0x30 -l0x10 $r0 //-f(格式控制)、-c(总个数控制)、-l(每一行的个数控制)

​ 0x10004005: 1f 00 00 74 06 00 00 74 06 00 00 0f 67 00 00 74 ...t...t....g..t

反斜杠格式“x/<n/f/u><addr>“说明 这里x代表用16进制来显示结果,w代表Word(16位)大小。所以x/3xw就是用16进制来显示bytes所指空间的3个16位的元素内容。对于x命令的详细格式可以参考这篇文章,或者这篇。常见的大小格式为:b – byte 1字节,h – half word 2字节,w – word 4字节和最后的g – giant word 8字节。格式字符串则类似printf,x是16进制,f是浮点,d是十进制等等。

5. 线程操作:

​ th l //查看线程列表 原型:thread list

6. 通用操作:

​ continue // 原型:process continue

​ dis -s 908FF0 -c 50 -b //在指定地址处开始显示汇编代码 显示50行数 和显示Opcode

​ expr ((long long (*)())0x10258f910) //直接调用内存地址CALL:

​ po [[[UIWindow keyWindow] rootViewController] _printHierarchy] //针对8.0以上的系统

​ po [[UIWindow keyWindow] recursiveDescription]

​ expr (void)[CATransaction flush] //刷新UI

二、iOS调试技巧

1. LLDB+DebugServer远程调试

    请参考:http://bbs.iosre.com/t/debugserver-lldb-gdb/65

     1). debugserver localhost:1234 -a "SpringBoard"  // attach方式调试(iOS端运行)

     2). debugserver -x backboard *:1234 /var/mobile/Applications/BFC441A6-3F4B-4F18-BA15-3C5DF7148F40/testapp/test  //启动方式调试(iOS端运行)  

     3).process connect connect://localhost:1234  //lldb连接 (MacOS端运行lldb连接debugserver)

     4).process launch --stop-at-entry  //

2. 使用USB来SSH:

    请参考:http://bbs.iosre.com/t/usb-ssh-ios/193

​ 小技巧<AutoSsh>:复制下面深绿文字到新建的AutoSSh.sh文件里面双击运行即可,$path是路径

#! /bin/bash

$path/tcprelay.py -t 22:2222 &

$path/tcprelay.py -t 1234:1234 &

3. iOS越狱免登陆SSH

​ ssh-copy-id -i ~/.ssh/id_rsa.pub root@IP

三、关于chisel的使用记录:

​ 1.pviews //参数:无 功能:在程序断下来的情直接输出当前UI的层次结构

​ 2.presponder //参数:控件地址 功能:递归显示出这个控件之前的Responder

​ 3.fa11y //参数:字符串 功能:通过给定字符串找出对应控件的地址

​ 4.caflush //参数:无 功能:改变了UI的情况下刷新UI缓存

​ 5.flicker //参数:控件地址 功能:快速闪速一下控件方便定位

​ 6.paltrace //参数:View

​ 7.pinternals //参数:控件地址 功能:查看控件详细内部结构

​ 8.pvc //参数:viewController 功能:找出viewController和View的对应关系和地址

​ 9.taplog //参数:无 功能:可以找对应的控件点击事件

​ 10.show/hide、mask/unmask、border/unborder、

​ 11.visualize //参数:控件地址或者图片的内存地址 功能:用mac上的preview显示出

​ 12.binside //参数:地址 功能:下断,针对那种有ASLR的方便使用

四、其他技巧:

5.1 将NSData写到Docments目录:

​ expr (id)[$x0 writeToFile:(id)[NSString stringWithFormat:@"%@/123.bin",(NSString*)[NSSearchPathForDirectoriesInDomains( 9,1, YES) lastObject]] atomically:YES] //将寄存器X0指针里面buff写到沙盒Document目录下

5.2 对于iOS有弹窗(UIAlertView或者UIAlertController)的代码的快速定位

​ 1).可以直接下个断br s -n initWithTitle:message:delegate:cancelButtonTitle:otherButtonTitles: 然后在App操作断下来之后通过栈回溯定位关键代码

​ 2).或者可以: po (void*)class_getMethodImplementation(NSClassFromString(@"UIAlertView"),NSSelectorFromString(@"initWithTitle:message:delegate:cancelButtonTitle:otherButtonTitles:")); //这就能准确的找出对应类的函数。

5.3 查找按钮的Target点击事件

​ po [myButton allTargets] //myButton 为按钮的内存地址
​ {(
​ <MagicEventListener: 0x7fb58bd2e240>
​ )}

​ (lldb) po [$myButton actionsForTarget:(id)0x7fb58bd2e240 forControlEvent:0]
​ <__NSArrayM 0x7fb58bd2aa40> _handleTap:)

​ 现在你或许想在它发生的时候加一个断点。在 -[MagicEventListener _handleTap:] 设置一个符号断点就可以了,在 Xcode 和 LLDB 中都可以,然后你就可以点击按钮并停在你所希望的地方了。

5.4 App瘦身和签名

​ 利用lipo命令留下支持armv7s的header

​ 1.lipo -thin armv7s <SrcFile> -output <DesFile>

​ 2.ldid -Sent.xml SrcFile(如果此方法不行就换下面第二种)//注意此处“-S”选项与“ent.xml”之间是没有空格的。

​ 3.codesign -s - --entitlements ent.plist -f <SrcFile> //注意这里的SrcFile是进过处理的,最后复制到IOS机器上并给其权限chmod +x <SrcFile>//注意这里的SrcFile是进过处理的

5.5.文件的拷贝:(可以用PP助手代替)

​ scp -P 2222 root@localhost:/Developer/usr/bin/debugserver ~/debugserver //将手机上的debugserver 拷贝至MAC当前目录(已经端口转换了)

​ scp SrcFile zj-dt0094@192.168.43.141:/Users/zj-dt0094/desktop //将手机上的SrcFile 拷贝至Mac的desktop上(前提是已经ssh上手机了)

​ scp SrcFile root@172.17.6.97:/var/mobile/Downloads //将电脑上的SrcFile 拷贝至手机上

​ scp -rp /var/mobile/Applications/431430A4-6F89-45ED-BA3E-B257DFD0B99C/MiaoPai.app zj-dt0094@192.168.43.141:/Users/zj-dt0094/desktop //拷贝整个目录

5.6.砸壳

​ 进入APP的Document目录后 执行以下命令:DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/Application/BFED82A3-3238-4F41-B797-C1CB584CBE05/qqlive.app/qqlive

​ 具体见: http://www.jianshu.com/p/a4373b5feca0

5.7.对于swift+OC混编的程序如何快速定位关键代码

​ 1. 第一步还是和之前分析OC程序一样的通过View找到对应的ViewController,

​ 2. 第二步就和之前OC(拿到ViewController之后就去对应的头文件找对应的事件)不一样,这里是到IDA的String Windows里面去找,假设找到的 是:<Trigraphy.EditorEffectsMenuViewController: 0x1276c65b0>,那就复制EditorEffectsMenuViewController在String Windows里面搜索,双击红色框里面的就可以找到对应的metaData了。

5.8 lldb 自动带入库

​ 打开终端:(依次输入,什么都没提示,打开xcode项目,有Hook 1(expr --@import UIKit等提示,意味着成功))

touch ~/.lldbinit

echo display @import UIKit >> ~/.lldbinit

echo target stop-hook add -o \"target stop-hook disable\" >> ~/.lldbinit

5.9 App打包成IPA

mkdir Payload

mv test.app Payload

zip -ry test.ipa Payload

6.0 在iDA去除SVC

​ IDA 二进制byte搜索 “01 10 00 D4” 将其替换为 nop 1F 20 03 D5

六、砸壳技巧:

​ 1、Clutch砸壳

​ 2、dumpdecrypted.dylib
​ 使用dumpdecrypted砸壳,出现killed:9 请参考此处 // https://iosre.com/t/ios-9-3-3-dumpdecrypted-killed-9/4489

​ 3、CrackerXI (cyida插件方便)

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,417评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,921评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,850评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,945评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,069评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,188评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,239评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,994评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,409评论 1 304
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,735评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,898评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,578评论 4 336
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,205评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,916评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,156评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,722评论 2 363
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,781评论 2 351

推荐阅读更多精彩内容