iOS逆向工程之给App脱壳

本篇博客以微信为例,给微信脱壳。"砸壳"在iOS逆向工程中是经常做的一件事情,,因为从AppStore直接下载安装的App是加壳的,其实就是经过加密的,这个“砸壳”的过程就是一个解密的过程。未砸壳的App是无法在Class-dump、Hopper等工具中使用的。所以我们要将App进行砸壳处理。在Android开发中也存在App加壳的处理,比如什么360加固了,其实就是给App加一层壳。

本篇博客我们就以WeChat(微信)为例,从AppStore上下载微信并安装,然后使用dumpdecrypted工具(当然你也可以使用其他砸壳工具)进行砸壳处理。砸壳后会生成解密后的App文件,然后我们就可以使用Class-dump和Hopper处理解密后的文件了。废话少说,就开始今天的主题。

 

一、生成dumpdecrypted.dylib动态库

首先我们要生成“砸壳”用的动态库dumpdecrypted.dylib,我们“砸壳”时主要用到这个动态库。该动态库的源码在github上是开源的(Github地址),要想得到dumpdecrypted.dylib这个动态库,只需要从github上下载代码,然后进行编译,生成dumpdecrypted.dylib即可。下方就是使用make命令对dumpdecrypted的源码进行编译。

进入到dumpdecrypted文件夹下,运行make命令即可。

  

编译完成后,dumpdecrypted文件夹中就会多一个dumpdecrypted.dylib动态库,该动态库就是稍后我们砸壳使用的工具。

  

 

二、“砸壳”前的准备工作

接下来就是要在越狱手机上寻找要“砸壳”的app路径了,首先使用ssh连接到你的越狱设备,然后在越狱设备中打开你要砸壳的App, 此处我们以微信为例。从AippStore中下载安装的应用都会位于/var/mobile/Applications中,下方的截图就是我手机上从AppStore中下载的应用的安装路径。当然,下方是使用iExplore工具进行查看的,下方内容中,文件的拷贝我们都会用到iExplorer,当然你也可以使用之前提到过的iFunBox。

  

 

从上方的截图中要找出微信所在的目录是非常困难的,应用少的话你可以点开一个个的看。向上面这种应用比较多的情况的话,一个个文件夹点开是不太现实的,所以我们得通过另一种方式来定位“微信”App所在的目录。

这种快捷定位“微信”所在目录的方式就是“查看应用进程”的方式,首先你需要打开微信,然后运行下方的命令,来查看文件目录/var/mobile/目录下的所有正在运行的App进行,具体要用到的命令如下所示:

 ps -e | grep /var/mobile

  

 

上方截图就是上述命令运行后所输出的内容,从上述内容中我们轻而易举的就可以找到“WeChat”所在目录。我们可以通过iExplore打开该目录,更直观的来看一下微信App所在的目录,具体内容如下所示. 上面这个进程的绝对路径我们要记下来,因为后边砸壳的时候会使用到该路径

  

接下来我们就要使用Cycript工具来寻找WeChat的Document路径了,如果你的越狱设备上没有安装Cycript工具的话,那么请前往Cydia下载安装Cycript工具。下方步骤就是使用Cycript工具来查看附加进程的Document目录的步骤。

 

1.使用Cycript注入目标进程中

cycript -p WeChat

上述命令执行完毕后,会进入到cycript模式中,如下所示。当然,在iOS9.2.1上的越狱设备执行上述命令会报错,可能是目前Cycript这个强大的工具还不支持iOS9.2吧。所以我是在iOS7.2上做的该实验。

  

 

2.获取该进程的Document目录

[[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomans:NSUserDomainMask][0]

输入上述内容,然后点击回车,就会输出WeChat进程的Document目录,输出结果如下所示。下方的红色部分就是WeChat的Document目录的绝对路径。

  

 

找到上述目录后,使用iExplore进入到该目录下,将上面我们生成的dumpdecripted.dylib动态库拷贝到该目录下即可,如下所示:

  

 

三、开始砸壳

上述“砸壳”的准备工作就绪后,接下来我们就要开始砸壳了。进入到WeChat的Document目录中,执行下方的命令进行砸壳。

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Applications/3DC16044-E5BB-4038-9E31-CFE3C7134A7B/WeChat.app/WeChat

在上述命令中,DYLD_INSERT_LIBRARIES后边这个动态库就是我们上面生成的动态库,后边这个路径就是WeChat执行文件的绝对路径,运行上述命令后,就开始砸壳了,下方截图就是我们砸壳的过程。
   

 

砸壳过程完成后,会在我们的Document目录下生成一个WeChat.decrypted文件,如下截图所示。该文件就是脱壳后的文件,我们可以将该文件拷贝到我们的Mac上,以备使用。

  

 

四、导出脱壳App的头文件

将上面生成的WeChat.decrypted脱壳文件拷贝的我们的Mac上,接下来就是我们class-dump出厂的时刻了。接下来我们要使用class-dump导出该脱壳文件的所有头文件。具体步骤如下所示。

 

1.前奏

WeChat.decrypted文件后,我执行了下方的命令来导出其头文件,下方的命令在没有加壳的app中是好使的,直接就可以导出相应App的头文件,如下所示:

class-dump -S -s -H WeChat.decrypted -o ./Headers

执行上述命令结束后是下方这个结果, 并没有导出想要的头文件,Google了一下,是ARM的架构不对,所以就没导出成功。

  

 

2.开始导出头文件

从上述截图中我们可看到,Headers文件夹中并没有生成相应的头文件。是我们解密的文件有问题吗?于是乎,我使用了Hopper打开了解密后的文件,是可以正常打开的,于是乎又Google一下,原来是我们在导出头文件时指定的ARM架构不正确,于是乎使用class-dump的--arch配置项来指定了armv7的架构,这样的话,头文件就导出成功了。

class-dump --arch armv7 -S -s -H WeChat.decrypted -o ./Headers

操作步骤和结果如下图所示, 导出成功,你可以慢慢的分析了。

   

 

五、Hopper

上面使用了class-dump来操作我们脱壳的文件,木有问题。那么接下来来看一下在Hopper上的效果如何,下方就是使用Hopper打开“脱壳”文件的效果。当然,你也可以使用IDA Pro来查看,当然此处我们使用的是Hopper。从下方的截图来看,结果是Perfect的。

  

 

至此呢,我们脱壳的过程就这么愉快的结束了,你可以去分析你想分析的东西了。

 

时间: 2025-01-11 12:27:45

iOS逆向工程之给App脱壳的相关文章

iOS逆向工程使用LLDB的USB连接调试第三方App_IOS

LLDB是Low Level Debugger的简称,在iOS开发的调试中LLDB是经常使用的,LLDB是Xcode内置的动态调试工具.使用LLDB可以动态的调试你的应用程序,如果你不做其他的额外处理,因为debugserver缺少task_for_pid权限,所以你只能使用LLDB来调试你自己的App.那么本篇博客中就要使用LLDB来调试从AppStore下载安装的App,并且结合着Hopper来分析第三方App内部的结构.LLDB与Hopper的结合,会让你看到不一样的东西,本篇博客就会和你

iOS逆向工程使用dumpdecrypted工具给App脱壳_IOS

本篇以微信为例,给微信脱壳."砸壳"在iOS逆向工程中是经常做的一件事情,,因为从AppStore直接下载安装的App是加壳的,其实就是经过加密的,这个"砸壳"的过程就是一个解密的过程.未砸壳的App是无法在Class-dump.Hopper等工具中使用的.所以我们要将App进行砸壳处理.在Android开发中也存在App加壳的处理,比如什么360加固了,其实就是给App加一层壳. 本篇我们就以WeChat(微信)为例,从AppStore上下载微信并安装,然后使用d

iOS传感器开发——为APP添加手机密码、指纹进行安全验证

iOS传感器开发--为APP添加手机密码.指纹进行安全验证 一.引言         iPhone5s之后,iPhone硬件上已支持进行指纹识别的功能,相应的,一些新的api也可以应用于APP中,进行用户安全的验证.目前,开发者可以使用的安全验证方式有两种,一种是通过手机密码进行验证,一种是通过识别指纹进行验证. 二.为APP添加安全验证 要使用安全验证的相关api,我们需要引入如下头文件: ? 1 #import <LocalAuthentication/LocalAuthentication

服务器-开发一款iOS视频类的App后台需要什么?

问题描述 开发一款iOS视频类的App后台需要什么? 想开发一款iOS视频类的app,就是想自己走一下整体流程.但我只是大致上了解前端的东西,后台的服务器用什么语言写还有数据库用什么写都不清楚,说白了就是不清楚json怎么来的根本就不知道?谁能给我指点下吧,都苦恼好几天了!谢谢!还有,我要都要用那个语言写呢? 解决方案 php+mysql?这个组合应该比较广泛吧,我也是新手 解决方案二: 用哪个语言来写不是关键,关键是无论什么编程语言,都需要一个学习的过程,没有一种语言简单到对于一窍不通的人拿来

ios 可以后台的app拨打号码吗?

问题描述 ios 可以后台的app拨打号码吗? 我想做的事情是,后台的app中定时一个timer,到时间后可以调出拨号键盘自动拨打一个号码,能实现不???在线等 解决方案 iOS在后台运行app 解决方案二: http://www.myext.cn/other/a_19068.html 解决方案三: http://tech.ifeng.com/a/20141208/40895618_0.shtml

ios 蓝牙-IOS 蓝牙模块 手机App如何控制蓝牙音箱播放音乐

问题描述 IOS 蓝牙模块 手机App如何控制蓝牙音箱播放音乐 IOS 蓝牙模块 手机App如何控制蓝牙音箱播放音乐,求详细代码,求大神指导ONZ..

详解IOS开发之实现App消息推送(最新)_IOS

好久没有写过博客啦,今天就由本菜鸟给大家做一个简单的IOSApp消息推送教程吧!一切从0开始,包括XCode6, IOS8, 以及苹果开发者中心最新如何注册应用,申请证书以及下载配置概要文件,相信很多刚开始接触iOS的人会很想了解一下.(ps:网上看了一下虽然有很多讲述推送的好教程,我也是看着一步步学会的,但是这些教程的时间都是去年或者更早时期的,对引导新手来说不是很合适) 第一部分 首先第一步当然是介绍一下苹果的推送机制(APNS)咯(ps:其实每一篇教程都有),先来看一张苹果官方对其推送做出

IOS如何在Host App 与 App Extension 之间发送通知_IOS

如何从你的一个App发送通知给另一个App? (例:搜狗输入法下载皮肤完成后使用皮肤) 注:搜狗输入法是App.而键盘是Extension 当你为你的App 添加 App Extension时,如果想在App 发送通知给 Extension或许这篇文章可以帮助你. 了解更多内容 // 发送通知 - (void)postNotificaiton { CFNotificationCenterRef notification = CFNotificationCenterGetDarwinNotifyC

Appium+python自动化19-iOS模拟器(iOS Simulator)安装自家APP

前言 做过iOS上app测试的小伙伴应该都知道,普通用户安装app都是从appstore下载安装,安装测试版本的app,一般就是开发给的二维码扫码安装, 或者开发给个.ipa的安装包文件,通过itools安装.对于没有iPhone真机的小伙伴,想在iOS模拟器上安装app测试可不是那么容易的事情.   一.启动iOS Simulator 1.Xcode>Open Developer Tool>iOS Simulator,打开后在hardware里面选对应的iPhone版本就能启动模拟器了 2.