iOS逆向工程之Hopper+LLDB调试第三方App

LLDB是Low Level Debugger的简称，在iOS开发的调试中LLDB是常用的，LLDB是Xcode内置的动态调试工具。使用LLDB能够动态的调试你的应用程序，若是你不作其余的额外处理，由于debugserver缺乏task_for_pid权限，因此你只能使用LLDB来调试你本身的App。那么本篇博客中就要使用LLDB来调试从AppStore下载安装的App，而且结合着Hopper来分析第三方App内部的结构。LLDB与Hopper的结合，会让你看到不同的东西，本篇博客就会和你一块儿领略LLDB与Hopper的魅力。

 

1、SSH的USB链接--usbmuxd

以前咱们ssh链接iOS设备是经过局域网也就是WiFi来链接的，当网络环境很差的时候输入个命令行都卡，因此咱们须要一种更快的访问iOS设备的方式，那就是使用USB链接了。本篇博客中不管是SSH链接iOS设备仍是LLDB链接iOS设备，咱们都使用USB的方式进行设备的访问，这样速度就快的不行不行的了。本篇博客的第一部分就是介绍如何使用USB进行设备的SSH链接，这部分也是本篇博客的基础，不过内容还算是简单。

一、获取usbmuxd

usbmuxd虽然目前最新的版本是1.1.0，可是1.1.0版本和1.0.9版本仅支持Linux系统，也就是说咱们的Mac仍是得下载v1.0.8的版本，下载地址（usbmuxd-v1.0.8）。下载完后，将下载的文件进行解压，内容以下所示：

　　

 

2.使用usbmuxd链接iOS越狱设备

(1) 使用usbmuxd转发接口

切换到上述文件夹下的python-client目录下，执行下方的命令，将iOS上的22端口转发到当前设备的2221端口，以下所示。

./tcprelay.py -t 22:2221

下方是执行上述命令的结果：

　　

 

(2) 使用ssh链接到越狱设备

ssh root@localhost -p 2222

上述命令就是ssh链接的命令 -p后边紧跟的是上述转发的端口，执行上述命令后，结果以下：

　　

 使用usbmuxd就能够经过USB来链接咱们的iOS越狱设备了，下方的LLDB链接iOS设备也是经过USB链接的。具体请看下文。

 

2、配置debugserver

在作iOS开发时，在Mac上输入LLDB的命令就能够控制iOS端的App，是由于在咱们iOS客户端中有一个debugserver服务器。debugserver专门用来链接Mac端的LLDB客户端，接收LLDB所提供的命令，而且进行相应的执行。若是你的iOS设备进行过真机调试的话，设备中就会被安装上debugserver, 不过该debugserver只能用来调试你本身的相关应用。若是想要调试从AppStore中获取的App的话，那么咱们须要对iOS设备上的debugserver进行处理。该部分就是要处理咱们的debugserver。

1.获取debugserver

首先咱们得找到iOS设备中debugserver，并将其拷贝到Mac上进行处理，下方就是位于/Developer/usr/bin目录下的debugserver。此debugserver只支持调试咱们本身的App, 若是须要调试其余人的App的话，须要对此debugserver进行处理，处理过程见下文。

　　

 

2.对debugserver进行瘦身

lipo -thin arm64 debugserver -output debugserver

进入到到Mac中debugserver所在的目录下执行上述命令便可，-thin后方填写你的测试机相应的ARM架构便可，由于个人测试机是iPhone 6 Plus, 是arm64的架构，因此此处填的参数是arm64, 若是你的是iPhone5的设备，那么就是armv7s了。

 

3.给debugserver添加task_for_pid权限

给debugserver添加task_for_pid权限后，咱们就可使用LLDB调试其余App了。此部分咱们须要一个存储配置信息的xml文件，该文件的内容以下。你能够将下下方的文本进行拷贝，而后存储成ent.xml便可。

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
        <key>com.apple.springboard.debugapplications</key>
        <true/>
        <key>get-task-allow</key>
        <true/>
        <key>task_for_pid-allow</key>
        <true/>
        <key>run-unsigned-code</key>
        <true/>
</dict>
</plist>

在给debugserver符权限时，咱们须要使用到ldid命令，若是你的Mac上没有安装ldid命令，那么请用brew进行install。执行下方的命令行就能够给咱们的debugserver赋上task_for_pid权限。须要注意的是-S与ent.xml文件名中是没有空格的。

ldid -Sent.xml debugserver

下方截图就是咱们处理debugserver的步骤，以下所示：

　　

 

四、将debugserver拷贝到iOS设备中

最后一步就是将处理好的debugserver拷贝到咱们的越狱设备中，而且给debugserver赋上可执行的权限。由于/Developer/usr/bin目录下的debugserver是只读的，因此你不能将处理好的debugserver拷贝到上述文件，你要将处理好的debugserver拷贝到/usr/bin/目录下（固然此处咱们借助IFunBox进行文件的拷贝）。

将debugserver拷贝到/usr/bin目录下后，执行下方的赋权限的命令，将可执行的权限赋给debugserver，以下所示：

chmod +x debugserver

赋完权限后，你就可使用debugserver命令来开启debuserver了，以下所示：

　　

 

3、debugserver的开启与LLDB的链接

1.开启debugserver

在越狱设备中，咱们就能够经过下方命令行来开启debugserver了，咱们此处以调试微信App为例。下方的命令就是启动debugserver来监听来自任何IP地址的接入，iOS设备的接入端口是12345，所要调试的App为“WeChat”。命令以下：

debugserver *:12345 -a "WeChat"

在咱们iOS设备上执行上述命令的效果以下所示，执行完上述命令后，咱们的iOS设备就会等待Mac终端LLDB的接入。

　　

 

2.LLDB链接debugserver

LLDB链接debugserver可使用WIFI进行链接，但是WIFI是不稳定的，并且特别的慢，因此此处咱们要使用usbmuxd进行LLDB和debugserver的链接。

（1）进行端口的转发

和第一部分中的内容相同，咱们使用usbmuxd进行端口的转发，将上述的“12345”端口对接到Mac本地的某个端口，此处咱们使用“12345”端口。进入到usbmuxd-1.0.8目录下的python-client下执行下方的命令。

./tcprelay.py -t 12345:12345

具体操做步骤以下所示：

 

（2）Mac端LLDB的接入

进行端口转发后，接下来咱们就开始进入lldb模式，而后进行debugserver的链接了。首先在terminal上输入lldb命令，而后输入下方的地址进行链接。由于咱们使用usbmuxd进行了端口的转发，所以可使用本地的环回测试地址来进行debugserver的链接。

process connect connect://127.0.0.1:12345

下方是链接后的结果，LLDB与debugserver创建完成后，咱们就可使用lldb来调试微信这个应用了。

 

4、Hopper + LLDB

在上篇博客《iOS逆向工程之给WeChat脱壳》 咱们已经给微信进行可脱壳处理，因此使用Hopper进行处理是没有问题的。此部分咱们就要将Hopper与LLDB结合在一块儿发挥其双剑合璧的做用。该部分也算是本篇博客中实战的一部分。

1.查看线程中的WeChat

LLDB链接上debugserver后，咱们首先使用下方的命令来查看当前进程中的全部模块。从这些输出信息中咱们能找到“WeChat”这个进程在虚拟内存相对于模块基地址的偏移量。

image list -o -f

lldb链接debugserver后，执行上述命令输出的部分结果以下所示。下方截图中，第一个就是“WeChat”程序的相关信息。左边红框就是ASLR偏移量（随机偏移量），ASLR偏移量其实就是虚拟内存的地址相对于模块基地址的偏移量。右边红框中的地址就是偏移后的地址。

在介绍地址这块的东西是先熟悉一下下方的两个概念：

• 模块在内存中的起始地址----模块基地址
• ASLR偏移 ---- 虚拟内存起始地址与模块基地址的偏移量

从下方的输出结果咱们能够知道:ASLR偏移量 = 0x5b000, 模块偏移后基地址 = 0x5f000

　　

 

下方是使用Hopper打开的解密后的微信的安装包，其起始地址从下图中咱们能够看出是0x4000, 这个地址就是模块偏移前的地址，也就是模块在虚拟内存中的起始地址。从Hopper中咱们能够知道：模块偏移前的基地址=0x4000

　　

从上面两组数据咱们能够得出：

　　模块偏移后的基地址（0x5f000）= ASLR偏移量（0x5b000）+ 模块偏移前基地址（0x4000）

上面这个公式是尤其重要的，由于Hopper中显示的都是“ 模块偏移前基地址”，而LLDB要操做的都是“模块偏移后的基地址”。因此从Hopper到LLDB，咱们要作一个地址偏移量的转换。这个在下方会屡次用到。固然，有一点须要注意的是Hopper与LLDB所选择的AMR架构的位数得一致，要么是32位，要么都是64位，若是位数不匹配的话，那么计算出来的内存地址确定是不对的。

 

二、使用LLDB给微信登陆添加断点

(1)、加断点前的分析

“断点”这个东西在iOS开发中可谓是常用的东西，接下来咱们要作的就是给在微信点击登陆进行页面跳转时添加一个断点。就是点击左边截图的登陆按钮往右边页面跳转时添加一个断点。咱们暂且将断点添加在右边页面的初始化方法中。

　　

 

要给上述右边页面添加断点首先得知道上面“手机号登陆”视图控制器的内存地址，而后才可使用LLDB添加断点。那么寻找上述视图控制器的内存地址的任务就交给了咱们的Hopper来作了。在Hopper中咱们搜索“Login”，而后会筛选出好的带有Login关键字的ViewController，而后咱们在筛选的结果中再次寻找可疑目标对象。而后咱们找到了一个名为“WCAccountPhoneLoginControlLogic”（咱们能够翻译一下英文，大概意思就是“微信手机帐号登陆控制逻辑”）的类，从这个类的名字中咱们不难推断出该类极有可能就是咱们要寻找的“手机帐号登陆”页面。

　　

通过上述分析后，咱们决定要给该类的“initWithData”（这确定是个初始化方法）使用LLDB添加断点。

 

(2)、定位断点地址

通过第一步找到添加断点的类中的方法后，接下来咱们要计算出该方法的内存地址，而后使用LLDB给该地址添加断点。经过Hopper咱们很容易定位到上述的“initWithData:”方法，的位置，以下所示。下方截图中这个带“星号”的地址就是“initWithData:”方法偏移前的基地址。根据上面的公式咱们很容易就能够计算出该方法“偏移后的基地址”也就是真正的内存地址。算法以下所示：

initWithData内存地址 = 0x1304b60 + 0x5b000（ALSR偏移） = 0x135FB60

　　

 

(3)、添加断点

使用下述命令，给上述地址添加断点。断点添加后，点击登陆按钮就会跳转到“手机号登陆”页面就会执行该断点，下方截图的红框中就是“断点”执行后的效果。从下方截图中咱们能够看出该断点的编号是1，Breakpoint后方就是断点编号，该编号会在操做断点是会用到，下方会给出实例。

br s -a 0x135FB60

　　

 

(4)、断点的单步执行（ni, si）

你能够经过nexti (简写：ni)和stepi (简写：si)来进行单步的调试。ni遇到跳转不会进入到跳转中去，而si则会跳转到相应的分支中去。下方就是经过si和ni进行单步调试的效果截图。

　　

 

(5) 放开执行该断点（c）

命令c能够执行该断点, 上面这种状况若是执行c命令，由于只有一个断点，该断点执行后，就会跳转到“手机号登录页面”。

 

(6)断点的禁用和开启

上面也有提到，上述建立的断点的编号是1，咱们要对该断点进行禁用和开启操做，具体命令以下所示：

br dis 1 -- 禁用（disable）编号为1的断点

br en 1 -- 启用（enable）编号为1的断点

br dis  -- 禁用全部断点

br en  -- 启用全部断点

具体操做结果以下, 当断点禁用后，点击登陆按钮就不会触发该断点了。当断点重启后，点击登陆按钮仍是会触发该断点的。具体效果以下所示：

　　

 

(7) 断点的删除

br del 1 -- 删除（delete）编号为1的断点

br del  -- 删除全部断点

 

3.输出寄存器的值(p, po)

在iOS开发中，咱们在使用LLDB调试时，常常会用到po命令来输出某个变量或者常量的值。在使用LLDB调试WeChat时，咱们也可使用某些命令来输出寄存器中的值。咱们使用$来访问某个寄存器中的值，而且使用p命令进行打印。下方就是经过p命令将r1寄存器中所存的内容进行打印，在打印以前将$r1进行类型转换，po命令则输出了Objective-C的对象，而p输出的是C语言类型的数据。以下所示：

　　

咱们还能够将一个地址所存放的值进行打印，下方这个命令就是输出了$sp指针所指的地址处所存放的值：

p/x $sp

　　

 

4.修改寄存器中的值

咱们不只能够查看某些寄存器中的值，并且可修改寄存器中的中，经过下述命令咱们就能够修改指的寄存器中的值。

register write 寄存器 值

接下来咱们将要经过一个实例来实战一下register write这个命令，经过在Hopper中对登陆模块的分析，咱们不难发现“WCAccountManualAuthControlLogic”这个类中的“handleAuthResponse:”方法就是用来处理“登陆认证响应”的方法。也就是说“handleAuthResponse:”负责处理登陆业务逻辑的网络响应，而且在这个函数的前边有一个比较（cmp r0, r1）, 根据r0和r1的比较结果来进行跳转。

　　

接下来咱们要作的事情就是，在比较寄存器r0和r1中的值时咱们要改变r1寄存器中的值，而后观察App的运行效果。下方这个截图是随便输入手机号和密码时所提示的内容。也就是正常的流程会弹出下方的框。

　　

接下来咱们要作的就是给0x1063a24 + 0x5b000 = 0x10BEA24 （cmp）这个内存地址添加断点，而后去修改寄存器r1的值。下方截图就是给0x10BEA24这个内存址添加了断点，而且在输入手机号和密码后，点击登陆会执行咱们添加的断点，以下所示。在断点出咱们清楚的看到了cmp r0, r1这行ARM指令。

　　

接下来咱们先将r0和r1中的值进行打印，$r0 = 8, $r1 = 351。而后咱们将$r1中的值改为8，而后输入c继续执行，发现以前正常流程的alter就不会弹出来了，而是从新进行了一次网络请求。

　　

 

上述示例都是在32位系统上作的，若是你使用的是arm64架构的设备，如iPhone6Plus,那么你的地址会比上述地址要长一倍。下方两个截图是使用iPhone 6 Plus越狱设备作实验的截图，能够和上述步骤进行一下对比，虽然有所不一样，可是上述内容在调试下方内容时也是适用的。

　

　　

 

本篇博客的内容就到这儿吧，至此，你应该能将LLDB与Hopper结合起来使用了吧。今天咱们以“微信”为例子，并无别的意思，只是想在真正的实例中实现一下。使用微信作实验的缘由就是微信作的足够安全，毕竟微信的团队仍是很强大的。由于用个人越狱设备作完上述实验后，该越狱设备已经不能登陆微信帐号了，确定是微信的后台监测到该“越狱设备”的异常行为了，从而作了一些安全措施。

“攻与防”就像“矛与盾”相辅相成。