iOS逆向之class-dump

时间  2019-11-18
标签 ios 逆向 class dump 栏目 iOS 繁體版
原文   原文链接

1.class-dump

class-dump是用来dump目标文件的类信息的工具。它利用Objective-C语言的runtime的特性,将存储在mach-O文件中的@interface和@protocol信息提取出来,并生成对应的.h文件。官方介绍以下:html

This is a command-line utility for examining the Objective-C runtime information stored in Mach-O files. It generates declarations for the classes, categories and protocols. This is the same information provided by using ‘otool -ov’, but presented as normal Objective-C declarations, so it is much more compact and readable.git

1.1安装class-dump

下载地址:http://stevenygard.com/projects/class-dump/。打开连接后,选择class-dump-3.5.dmg,进行下载。下载完成以后,将dmg文件中的class-dump复制到/usr/bin目录,并在终端执行以下执行进行赋权:github

sudo chmod 777 /usr/bin/class-dump

而后运行class-dump指令,便可看到以下结果:app

1.2使用class-dump

执行指令:ide

class-dump -H /Applications/Calculator.app -o /Users/GofLee/Desktop/CalculateHeads

【说明】:工具

  • /Applications/Calculator.app:计算器app的路径;
  • /Users/GofLee/Desktop/CalculateHeads:存放dump结果的头文件文件夹路径。

执行上面的指令以后,咱们能够在 /Users/GofLee/Desktop/CalculateHeads 目录下看到生成的.h列表:ui

从上面的结果能够看到,咱们有了这些.h文件以后,就能够初步了解目标App的程序结构。后面能够结合Reveal和cycript工具,更精准的分析目标App某个页面的功能实现。google

一样的,咱们也能够导出AppKit、UIKit的头文件:加密

class-dump -H /System/Library/Frameworks/AppKit.framework -o /Users/GofLee/Desktop/AppKitHeaders

 【注意】:有时class-dump指令会执行失败,没法获得想要的头文件,或头文件的内容是加密的密文。出现这种状况是由于class-dump的做用对象必须是未经加密的可执行文件,通常App Store中下载的App都是通过签名加密的,这个时候须要先进行砸壳。spa

2.class-dump-z

class-dump-z 是对 class-dump 和 class-dump-x 的改进版,彻底用C++重写,避免动态调用,这使得 class-dump-z 比 class-dump 和 class-dump-x快10倍左右,而且能够在 Linux、Mac、 iPhone 上运行。

下载地址:https://code.google.com/archive/p/networkpx/wikis/class_dump_z.wiki

其余同class-dump。

3.砸壳:dumpdecrypted

第一步:源码下载:https://github.com/stefanesser/dumpdecrypted

第二步:使用make指令编译源码;

前两步也能够省略,直接下载编译好的dumpdecrypted.dylib(须要使用与iOS设备系统相同的版本)。

作完前两步以后,会生成一个dumpdecrypted.dylib文件,咱们经过IExplorer软件,将这个文件拷贝到须要砸壳的App的Documents目录,以下图所示:

接下来,经过终端和手机创建链接,具体指令参看Cycript内容。

cd到对应App的Documents路径,执行指令:

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/Application/866571F2-B677-4F41-82D4-ABE217EFE450/XXXX.app/XXXX

指令执行结果:

这时,Documents目录下多了一个“xxxx.decrypted”文件,将该文件拷贝到电脑,继续使用class-dump进行头文件分析。

若是通过上面的操做,仍是不能获得想要的头文件,那么有多是代码使用的 OC 和 Swift 混编,而 class-dump 是利用的 OC 的运行时机制,因此有 Swift 的代码无法 dump 出来,那就只有直接用 IDA 看了。

【说明】:

a.怎么获取 App的Documents路径?

经过cycript指令,根据应用进程,进入到应用,而后执行以下指令获取:

//经过以下指令获取到根目录路径以后,再拼接/Documents便可获得Documents的路径
path = NSHomeDirectory()

b.怎么获取App的可执行文件路径?

经过打印进程信息,是能够直接获得可执行文件路径的,指令以下:

ps ax | grep Evernote

结果以下:

c.执行指令,有可能遇到以下所示错误:

遇到该错误的时候,按以下步骤操做:

  • 第一步:拷贝dumpdecrypted.dylib 文件到设备的 /usr/lib目录下;
  • 第二步:切换到mobile用户,指令以下:
su mobile
  • 第三步:cd到 /var/mobile/Documents 目录,指令以下:
cd /var/mobile/Documents
  • 第四步:执行以下指令:
DYLD_INSERT_LIBRARIES=/usr/lib/dumpdecrypted.dylib /var/containers/Bundle/Application/2223555C-A7F5-40D3-B713-4B4E3FFCCE96/Evernote.app/Evernote
  • 第五步:在 /var/mobile/Documents 目录下,能够看到 Evernote.decrypted 文件已经生成。

4.导出Frameworks 和 PrivateFrameworks 的头文件

脚本可参考:https://github.com/EthanGHub/DumpFrameworks

下面标粗标红的地方须要进行相应的修改:

#!/usr/bin/perl
#
# 24 November 2008
# Framework Dumping utility; requires class-dump
# 执行方法:终端进入DumpFrameworks.pl所在的目录 执行命令  ./DumpFrameworks.pl 
#
 
use strict;
 
use Cwd;
use File::Path;
 
my $HOME = (getpwuid($<))[7] || $ENV{'HOME'} 
  or die"Could not find your home directory!";
 
# This command must be in your path.
# http://www.codethecode.com/projects/class-dump/
my $CLASS_DUMP = 'class-dump'; 
 
# Public Frameworks
dump_frameworks('/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/iPhoneSimulator10.3.sdk/System/Library/Frameworks',
'Frameworks');
 
# Private Frameworks
dump_frameworks('/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/iPhoneSimulator10.3.sdk/System/Library/PrivateFrameworks',
'PrivateFrameworks');
 
sub dump_frameworks
{
  my($dir, $subdir) = @_;
 
  opendir(my $dirh, $dir) or die"Could not opendir($dir) - $!";
 
  # Iterate through each framework found in the directory
  foreach my $file (grep { /\.framework$/ } readdir($dirh))
  {
    # Extract the framework name
    (my $fname = $file) =~ s/\.framework$//;
    print"Framework: $fname\n";
 
    my $headers_dir = "$HOME/Headers/$subdir/$fname";
 
    # Create the folder to store the headers
    mkpath($headers_dir);
 
    # Perform the class-dump
    my $cwd = cwd();
    chdir($headers_dir) or die"Could not chdir($headers_dir) - $!";
 
    system($CLASS_DUMP, '-H', "$dir/$file");
   
   if($? == -1)
    {
      die"Could not execute $CLASS_DUMP - $!\n";
    }
    
    chdir($cwd) or die"Could not chdir($cwd) - $!";
  }
}

命令执行完,在用户目录下 会出现 Headers,里面包括了导出的Frameworks 和PrivateFrameworks 文件夹,以下图所示:

5.参考资料

iOS app 逆向分析

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程