最近在学习逆向工程,把学习的经历整理一下方便以后查阅。
因为手机系统是iOS10.3所以还没能越狱,所以一下的教程都是以非越狱机为主,以第三方助手上下的越狱软件为主,省去脱壳的时间。
要hook app 有三种方式:
1.通过cycript进行同网段hook手机里的app
2.通过注入dylib
3.把app转换成dylib,导入自己工程
前期准备工具(部分网站可能需要翻墙):
cycript
iOSOpenDev
yololib
MachOView
class-dump
iOS App Signer
Hopper Disassembler
openssh //越狱机可使用
学习主线:
这里具体的安装环境都由大神文章为主线
Urinx/iOSAppHook*
大神在github里提供了整合资源,嫌麻烦的可以直接下来调用,cd到bin目录 ./xxx (xxx即为要操作的命令)
这里主要讲学习中遇到的问题,在按着大神的文章走时,会发现dylib注入成功,安装成功,但是打开就会闪退,这里主要是Entitlements或重签证书的不对的问题,这里有一篇大神提到的文章里面的4.8段落里的步骤可以解决Entitlements不对的问题,重签建议参考这篇,在使用iOS App Signer 时候证书,选择choose custom file然后选择对应的证书重签会少出错
这里的大神教的是第一种hook app的方法,用cycript hook 同网段带有注入dylib的app,直接在命令行进行操作,但是有个局限的地方就是要同网段,带有监听cycript端口的dylib才有用。
第二种方法学习的时候我是参考简书上的大神的文章进行学习的,其实第二种和第一种的操作很类似,只是在当时学习的时候,不太懂原理,后来才发现是一样的事,这个方法是关键的方法,第一种是在这里写端口监听,第二种是写hook方法,只要按照反编译后的包都可以实现效果,强烈推荐导入rpetrich/CaptainHook
attribute((constructor)) static void entry()
{
//具体hook方法
}
初期建议用原生的语法或者CaptainHook Tweak之类的模板。在熟悉了相关的原理和语法之后,强烈建议在实际开发中使用Logos Tweak模板。语法讲解可参考大神文章
整体的思路是,脱壳->注入dylib->重签->打包
这两个方法得到的文件都是不能够上传到appstore的,因为苹果不支持第三方dylib。
第三种方法是把app打包成dylib然后让这个app的私有算法为你服务
参考大神文章
tobefuturer/app2dylib主要使用这个工具
这里要注意了,大神文章里都是精简的,我补几句,看文章中有执行文件和动态库文件,这个动态库文件是把执行文件由FAT->Thin->dylib这样才能打包,输入命令
lipo [path] -thin [type] -output [path]/[name]
用lipo命令吧fat转成对应的thin文件,path是路径,type是转出类型,先输入fat文>件路径,再输出thin文件路径
接下来跟着大神的步骤就可以了,这就是最近几天学习的总结,最要是把参考的文章整理和自己遇到的问题,大神略过的进行一个补充,能让刚接触逆向的朋友有个参考,有什么不懂的可以留言大家一起探讨,逆向这条路还很长。。。
特别感谢:杨君大神的指导,宣传一下iOS逆向的论坛
