iOS逆向
1.class-dump解密
class dump 是一个用于检查保存在 Mach-O 文件中的 objective-c 运行时信息的工具,攻防中最常用、实用的命令行工具。我们用它来还原砸包后的文件。你可以通过 class dump :查看闭源的应用、frameworks、bundles。
class-dump的安装
下载好后,双击dmg文件,将其中的 class-dump 文件放到/usr/bin 目录下,然后就可以在命令行中使用了。
但是 mac os 10.11以后没法获取/usr/bin 的权限,开了Rootless机制的Mac无法获取/usr/bin的权限
我们可以换个思路
第一步,打开Terminal,输入mkdir ~/bin,在当前用户根目录下创建一个bin目录;
命令: mkdir ~/bin
第二步,把class-dump给拷贝到这个目录里,并赋予其可执行权限;
命令一: mv /.../class-dump ~/bin (/.../class-dump是指的class-dump的完整路径)
命令二: chmod +x ~/bin/class-dump
第三步,打开~/.bash_profile文件,配置环境变量
命令一: vi ~/.bash_profile
命令二: 按 i 键进入编辑模式,写入下面一行代码, export PATH=$HOME/bin/:$PATH 按ESC然后输入冒号(shift+;),然后输入wq,退出即可。
第四步,在Terminal中执行source命令
命令:source ~/.bash_profile
完成以上步骤,在terminal中执行class-dump实验一下,应该就可以了。
解析方法
class-dump -H XXX.app -o 接受地址
解析结果
AF-Demo :基本可以解析出对应的头文件,没有声明的方法也被dump出来了。
原码: GlobalTimelineViewController.h
@interface GlobalTimelineViewController : UITableViewController
@end
解析出来的 GlobalTimelineViewController.h
#import "UITableViewController.h"
@class NSArray;
@interface GlobalTimelineViewController : UITableViewController
{
NSArray *_posts;
}
@property(retain, nonatomic) NSArray *posts; // @synthesize posts=_posts;
- (void).cxx_destruct;
- (void)tableView:(id)arg1 didSelectRowAtIndexPath:(id)arg2;
- (double)tableView:(id)arg1 heightForRowAtIndexPath:(id)arg2;
- (id)tableView:(id)arg1 cellForRowAtIndexPath:(id)arg2;
- (long long)tableView:(id)arg1 numberOfRowsInSection:(long long)arg2;
- (void)viewDidLoad;
- (void)reload:(id)arg1;
@end
Swift-Demo: 无法解析 class-dump是利用Object-C语言的runtime特性
Wechat: 无法解析,原因和前面hpooer一样,因为wechat是appstore的包,是加过壳的
2.Hopper逆向
超级强大的反编译软件,不仅可以把机器码解析成汇编,还能解析出相似与Objc的伪代码。
下载Hopper Disassembler v4:安装文件
这里测试了三个包:
AF-Demo(本地打包,OC项目),
Swift-Demo(本地打包,Swift项目),
微信(Appstore包)
AF-Demo
基本可以看到类名、方法名、属性、方法实现的伪代码
我们用终端检查一遍:
otool -l Downloads/reversePack/SwiftDemo | grep cryptid
//结果: 1表示加密,0表示未加密
cryptid 0
解析结果
img
Swift-Demo
可以看到部分类名、方法名、属性等,方法实现解析的不完整
我们用终端检查一遍:
otool -l Downloads/reversePack/SwiftDemo | grep cryptid
//结果: 1表示加密,0表示未加密
cryptid 0
hpooer结果
img
Appstore-微信
基本没有什么有用的信息,AppStore的ipa是加过壳的
我们用终端检查一遍:
otool -l Downloads/reversePack/WeChat | grep cryptid
//结果: 1表示加密,0表示未加密
cryptid 1
cryptid 1
hpooer结果
img
3.Dumpdecrypted 砸壳
设备:iphone5 10.3.3、mac电脑、wifi
砸壳工具: 下载地址
iphone越狱
越狱: 百度一下 很简单
务必在Cydia中安装 cycript、adv-cmds 、pstree
砸壳工具安装
不同的越狱设备有不同的架构
下载好了后 cd 到目录下,执行下面命令
make
`xcrun --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -dynamiclib -o dumpdecrypted.dylib dumpdecrypted.o
`xcrun --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c
可能报错:
dyld: could not load inserted library ‘dumpdecrypted.dylib’ because no suitable image found. Did find: dumpdecrypted.dylib: required code signature missing for ‘dumpdecrypted.dylib’
解决办法:
//dumpdecrypted 需要签名
## 列出可签名证书
security find-identity -v -p codesigning
## 为dumpecrypted.dylib签名
codesign --force --verify --verbose --sign "iPhone Developer: xxx xxxx (xxxxxxxxxx)" dumpdecrypted.dylib
连接越狱手机
1、mac端 brew 安装 usbmuxd
brew install usbmuxd
2、将手机端的22号端口映射到本地的2222号端口,用usbmuxd自带iproxy
sudo iproxy 2222 22
3、连接
1、数据线连接方式
ssh root@localhost -p 2222
2、wifi连接方式 (iphone上的ip地址)
ssh root@192.168.xx.xx -p 2222
ip地址记得换成你自己的ip
输入密码 默认alpine 修改密码 请输入passwd
连接不上的问题?
10.3.3越狱后 ssh 连接不上的问题,
1.cydia卸载OpenSSL 和 Openssh
2.添加源 : http://cydia.ichitaso.com/test
3.在cydia搜索页面搜索Dropbear并安装
4.重新安装OpenSSL (Openssh就不用了,装不装都无所谓)
5.重启设备
6.最后电脑上执行ssh root@ip -p 2222 就可以了连上了 (默认密码alpine)
获取当前的进程
ps -e
如下就是正在运行的WeChat
PID TTY TIME CMD
680 ?? 0:01.76 /var/containers/Bundle/Application/0B9C2D83-D6BA-4D24-B624-5AEB733DAE9D/WeChat.app/WeChat
cycript进入(钩入)该应用程序
确保手机已经下载了cycript工具 使用命令cycript 进程id (进程id就是上面获取到的PID)如:
cycript -p 680
可以使用control+d 或者 输入exit(0)命令 退出cycript
cycript获取沙盒路径
yang:~ root# cycript -p 680
cy# NSHomeDirectory()
@"/var/mobile/Containers/Data/Application/6AFE1710-57C2-42CC-84FB-73B9A96C605A"
cy# [NSHomeDirectory() stringByAppendingString:@"/Documents"]
@"/var/mobile/Containers/Data/Application/6AFE1710-57C2-42CC-84FB-73B9A96C605A/Documents"
将砸壳工具拷贝到沙盒路径下
新打开一个终端窗口 把dumpdecrypted.dylib 拷贝进去沙盒路径路径 Documents或者tmp目录都可以,如果Documents砸壳会有问题,可以拷贝到tmp目录
1、数据线连接
scp -p 2222 Mac中dumpdecrypted.dylib的路径 root@localhost:沙盒路径路径
2、wifi连接
scp Mac中dumpdecrypted.dylib的路径 root@越狱机ip地址:沙盒路径路径
如下:
scp -p 2222 /Users/yang/Downloads/reversePack/dumpdecrypted-master/dumpdecrypted.dylib root@192.168.0.146:/var/mobile/Containers/Data/Application/6AFE1710-57C2-42CC-84FB-73B9A96C605A/Documents
输入默认密码 alpine
开始砸壳
cd到该沙盒路径下(也就是我们前面获取到的微信的沙盒目录) 指定一个环境变量,这个环境变量会去加载指定目录下的文件 ,这个文件地址使用我 ps -e 获取出来的wechat地址。
格式如下:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件的路径(即之前获取到的Bundle路径)
运行后 就会开始解密 解密文件会放到同级目录 可以ls查看是否有.decrypted这个解密文件 有的话 则为解密成功
如下:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/0B9C2D83-D6BA-4D24-B624-5AEB733DAE9D/WeChat.app/WeChat
WeChat.decrypted 文件会生成在当前目录
将解密文件拷贝到Mac上
新开终端 将越狱机内的解密文件拷贝到Mac上
1、usb连接
scp -p 2222 root@localhost:沙盒中解密文件路径 Mac指定路径
2、wifi连接
scp root@越狱机ip地址:沙盒中解密文件路径 Mac指定路径
class-dump 解密
class-dump --arch armv7 WeChat.decrypted -H -o /Users/yang/Downloads/reversePack/dumpdecrypted-master/wechat
class-dump会还原出所有的.h文件 如下是部分文件
摘取内容如下:
//
// Generated by class-dump 3.5 (64 bit).
//
// class-dump is Copyright (C) 1997-1998, 2000-2001, 2004-2013 by Steve Nygard.
//
#import "NSObject.h"
#import "UIAlertViewDelegate.h"
@class NSString;
@interface WXGClearCache : NSObject <UIAlertViewDelegate>
{
unsigned long _cacheMask;
}
+ (id)sharedInstance;
@property(nonatomic) unsigned long cacheMask; // @synthesize cacheMask=_cacheMask;
- (void)alertView:(id)arg1 clickedButtonAtIndex:(int)arg2;
- (void)parseFileInformationsWithXml:(id)arg1;
// Remaining properties
@property(readonly, copy) NSString *debugDescription;
@property(readonly, copy) NSString *description;
@property(readonly) unsigned int hash;
@property(readonly) Class superclass;
@end
img
