前言

學(xué)習(xí)和了解逆向工程，可以幫助我們分析競品和自己喜歡的APP的開發(fā)架構(gòu)和某些功能的大體實現(xiàn)思路，也可以自己手動對其它APP大刀闊斧進行二次加工，滿足自己的需求。 學(xué)習(xí)iOS逆向一段時間了，這里簡單做個總結(jié)，揭開iOS逆向的神秘面紗。

Mac遠程登錄iPhone

iOS和Mac OS X都是基于Darwin（蘋果的一個基于Unix的開源系統(tǒng)內(nèi)核），所以iOS中同樣支持終端的命令行操作。

在逆向工程中，我們經(jīng)常會通過命令行來操縱iPhone。為了能夠讓Mac終端中的命令行能作用在iPhone上，我們得讓Mac和iPhone建立連接。連接有兩種方式：wifi連接和usb連接。

先在越獄軟件上安裝ssh插件OpenSSH ,命令行下和應(yīng)用交互的插件Cycript
讓越獄手機和mac電腦在同一個局域網(wǎng)下(為了能夠通過ssh服務(wù)從mac電腦訪問手機)
在mac的命令行終端 通過ssh服務(wù)登錄手機 輸入ssh root@手機ip。默認情況下的root密碼是alpine。root密碼可以自己修改。
然后在手機上運行程序，在mac終端上利用ps -A 查看手機當(dāng)前運行的進程，找到進程id后便可以利用cycript進行一些列操作。例如：進入當(dāng)前運行著的微信進程的cycript狀態(tài)cycript -p WeChat

采用wifi連接有時候會出現(xiàn)卡頓延遲的現(xiàn)象，所以我通常采用usb連接。

Mac上有個服務(wù)程序usbmuxd（它會開機自動啟動），可以將Mac的數(shù)據(jù)通過USB傳輸?shù)絠Phone
我使用了兩個腳本進行登錄：

• python ~/iOS/tcprelay.py -t 22:10010進行端口的映射
• ssh -p 10010 root@localhost usb的登錄

Cycript的使用

Cycript是Objective-C++、ES6（JavaScript）、Java等語法的混合物，可以用來探索、修改、調(diào)試正在運行的Mac\iOS APP。官網(wǎng)：http://www.cycript.org

比如一些簡單的使用：

// 微信進程
cycript -p WeChat
// 獲得沙盒路徑
NSSearchPathForDirectoriesInDomains(NSDocumentDirectory,NSUserDomainMask,YES)[0]
// 打印當(dāng)前頁面view的層級
UIApp.keyWindow.recursiveDescription().toString()

主要搭配Reveal使用，從Reveal中獲得某個界面或者view所屬的類或控制器，然后拿到該類或控制器利用cycript進行調(diào)試。比如，知道了一個view對應(yīng)的類為testView,想把該view從當(dāng)前界面移除，達到不顯示的效果：

[testView removeFromSuperview];

代碼Hook分析

如果要逆向App的某個功能少不了代碼的分析。

1.通過上面的分析，找到某個view對應(yīng)的類后，就需要導(dǎo)出該類對應(yīng)的頭文件進行具體的分析了。

2.首先找到App的二進制文件（Mach-O類型），（使用iFunBox把該文件導(dǎo)出到Mac上）然后使用class-dump工具導(dǎo)出其中的所有頭文件，這些頭文件中可以看到其中的屬性和方法。class-dump -H Mach-O文件路徑 -o 頭文件存放目錄

3.如果要查看Mach-O文件完整信息，建議用MachOView。otool -l打印所有的 Load Commands，建議搭配grep進行正則過濾。otool -L 可以查看使用的庫文件。

4.頭文件分析完畢后，就可以利用theos進行越越代碼的開發(fā)了，編譯生成Tweak插件(deb格式)。

利用nic.pl指令，選擇iphone/tweak，創(chuàng)建一個tweak工程。
在這個tweak工程中編輯Tweak.xm文件，編寫自己的越獄代碼。
開發(fā)完成后利用make package打包和make install安裝到手機。重啟應(yīng)用，你會發(fā)現(xiàn)對應(yīng)的功能已經(jīng)根據(jù)hook的代碼改變了。
原理：iOS在越獄后，會默認安裝一個名叫mobilesubstrate的動態(tài)庫，它的作用是提供一個系統(tǒng)級的入侵管道，所有的tweak都可以依賴它來進行開發(fā)。在目標程序啟動時根據(jù)規(guī)則把指定目錄的第三方的動態(tài)庫加載進去，第三方的動態(tài)庫也就是我們寫的破解程序，從而達到修改內(nèi)存中代碼邏輯的目的。

5.有時候想看某個類中的某個方法的實現(xiàn)以及調(diào)用邏輯，就需要用到Hopper Disassembler工具。

theos的常用語法

• %hook ,%end : hook一個類的開始和結(jié)束
• %log：打印方法調(diào)用詳情
• HBDebugLog：跟NSLog類似
• %new：添加一個新的方法的時候使用
• %orig：函數(shù)原來的代碼邏輯
• %ctor：在加載動態(tài)庫時調(diào)用
• logify.pl：可以將一個頭文件快速轉(zhuǎn)換成已經(jīng)包含打印信息的xm文件
• 如果有額外的資源文件（比如圖片），放到項目的layout文件夾中，對應(yīng)著手機的根路徑/
  

砸殼(脫殼)

如果使用越獄手機直接從pp助手下載下來的部分應(yīng)用免去了我們自己脫殼的過程。但是如果是從App Store下載下來的應(yīng)用，App Store已經(jīng)為該應(yīng)用進行了加密，再使用class-dump是無法導(dǎo)出頭文件的，這是時候就需要對APP進行脫殼操作了。

脫殼工具有兩種，Clutch 和 dumpdecrypted

Clutch :

在Mac終端登陸到iPhone后，利用Clutch脫殼
Clutch -i 列舉手機中已安裝的應(yīng)用中加密的應(yīng)用。
Clutch -d 應(yīng)用bundleid 對加密的應(yīng)用脫殼，脫殼成功后會生產(chǎn)新的Match-O文件。對這個新的文件進行class-dump操作即可。

有時候使用Clutch脫殼，會出現(xiàn)失敗的情況，比如脫殼微信的時候就會出現(xiàn)錯誤。這個時候就需要使用dumpdecrypted：

終端進入dumpdecrypted.dylib所在的目錄 var/root
使用環(huán)境變量 DYLD_INSERT_LIBRARIES 將 dylib 注入到需要脫殼的可執(zhí)行文件（可執(zhí)行文件路徑可以通過ps -A查看獲?。?br /> 執(zhí)行命令 DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可執(zhí)行文件路徑 即可完成脫殼操作。

結(jié)語

了解以上逆向的流程后，你可以實現(xiàn)一些有趣的功能，比如:視頻客戶端去廣告，修改微信運動步數(shù)，防止微信消息測回，微信自動搶紅包等功能。同時，也會在自己客戶端的開發(fā)過程中更注重信息的安全保護。研究逆向，一定要善于利用各種工具，并且做好不斷失敗的準備，愈挫愈勇，終會成功。

好了，以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，如果有疑問大家可以留言交流，謝謝大家對腳本之家的支持。

最新評論