iOS逆向工具之砸壳工具(MacOS&iOS)介绍

上一篇文章地址: iOS逆向工具之class-dump(MacOS)介绍

今天是2019年12月31号,2019年最后一天了,祝你们2020跨年快乐. 明天就是2020年1月1日了,一样祝你们元旦快乐!

• 本篇文章主要介绍砸壳工具的使用.

• 若是你有更好的想法,请留言或者联系我.

---

• 我们的应用上传到AppStore后,苹果会对我们的应用进行加密.咱们的可执行文件加了一层保护壳,就好比上节中,咱们使用class-dump进行dump类的头文件. 咱们经过打包本身的应用,这个应用未上架AppStore,至关于从未加密的问题,直接使用class-dump就能够进行dump 当咱们从AppStore下载以后,咱们须要把这个壳子去掉,也就是咱们本篇提到的砸壳,砸了壳子才能获取到里面的果实.

我以前写的文章: 汇编逆向工具集(二) 介绍了dumpdecrypted的使用,本篇文章一样会介绍,你也能够看下汇编逆向工具集(二)文章中提到的dumpdecrypted.

1. dumpdecrypted

• dumpdecrypted的产生 因为AppStore下载的App是被苹果加密过的,可执行文件被套上一层保护壳 class-dump没法做用于加密过的App 想要获取头文件,须要先解密App的可执行文件,也叫砸壳 dumpdecrypted就是由越狱社区的知名人士 Stefan Esser 出品的一款砸壳工具,被越狱社区普遍运用在iOS逆向工程研究中.

• dumpdecrypted下载 github地址: dumpdecrypted

• 你能够经过git clone ,也能够直接下载,下载过程再也不详细介绍.

• 我已经下载好了,咱们看下文件内容

  

• 咱们对它进行编译,终端执行make命令

• 咱们看下编译后的生成了什么文件?

• 咱们看到生成了dumpdeycrypted.dylib

注意

• 找到要砸壳的APP的Documents目录路径(某应用为例)

估计你看到这些,就会很头疼了,到底哪一个是呢?

• 咱们借助强大的Cycript,让App告诉咱们它在哪里,直接找到它的的根目录

  

• 锁定该目录 065B70ED-FCD1-4874-B4A3-86F1B765945F

• 将dumpdecrypted.dylib拷贝到Documents目录下. 有两种方式拷贝: 第一种:

scp /Users/popo/Desktop/dump/dumpdecrypted/dumpdecrypted.dyli root@192.168.3.15:var/mobile/Containers/Data/Application/065B70ED-FCD1-4874-B4A3-86F1B765945F/Documents/dumpdecrypted.dylib
复制代码

第二种:

以上两种方式,只须要拷贝成功就行,选择那种,根据我的喜爱.

• 开始砸壳

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/9AF4167F-D4AA-4DBB-A67D-A956CCDBDEF9/WeChat.app/WeChat mach-o decryption dumper
复制代码

砸壳失败了,分析一下缘由: required code signature missing for 'dumpdecrypted.dylib 因为没有对dumpdecrypted.dylib签名,致使咱们没有砸壳成功.

• 解决问题是对dumpdecrypted.dylib文件签名,首先获取可签名的证书

• 而后为dumpecrypted.dylib签名

codesign --force --verify --verbose --sign "iPhone Developer: `(开发这信息)`" dumpdecrypted.dylib 
复制代码

而后在上传到手机

• 进行第二次砸壳

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/9AF4167F-D4AA-4DBB-A67D-A956CCDBDEF9/WeChat.app/WeChat mach-o decryption dumper
复制代码

在当前目录下会生成WeChat.decrypted文件

砸壳完成,而后你就能够拿着砸壳文件就行class-dump,静态分析汇编代码了.

问题:dumpdecrypted为何拷贝到Documents目录下操做?

AppStore对沙盒之外的绝大数目录没有写权限. Documents目录下使用dumpdecrypted.dylib时,保证它能在当前目录下写一个decrypted文件.

2.Clutch

除了dumpdecrypted,咱们还能够经过Clutch来解密.

• Clutch砸壳的原理? Clutch是生成一个新的进程,而后暂停进程并dump内存.

• 咱们下载Clutch并编译

• 咱们下载看下源码文件

• 咱们选择真机,选择证书对源码进行编译,生成可执行文件

• 咱们将编译的Clutch可执行文件拷贝到桌面,备用.

• 咱们能够经过两种方式进行拷贝

1 经过iFunBox拷贝目录/usr/bin目录下

2 经过SCP拷贝

scp Clutch/clutch root@设备ip:/usr/bin/
复制代码

• 咱们看下Clutch的参数

Clutch [OPTIONS]
-b --binary-dump     Only dump binary files from specified bundleID
-d --dump            Dump specified bundleID into .ipa file
-i --print-installed Print installed application
--clean              Clean /var/tmp/clutch directory
--version            Display version and exit
-? --help            Display this help and exit

复制代码

通过对参数的翻译:

1.clutch -b 砸壳后的文件是二进制文件

2.clutch -d 砸壳后的文件是ipa文件

3.clutch -i 查看安装的应用

4.clutch --clean /var/tmp/clutch 目录清理

5.clutch --version 显示版本并退出

6.clutch -? --help 显示帮助并退出

复制代码

• 咱们经过ssh协议经过终端链接越狱机

1.上图:咱们能够看到经过执行 sh sshLogin.sh,咱们不须要输入密码直接能够链接到越狱机,同事执行clutch -i 命令 2.从终端显示,执行的clutch -i 并无执行成功 3.权限不够,加权来凑.咱们须要对/usr/bin目录下的clutch进行加权 4.加权,你能够chmod 777 /user/bin/clutch 5.一样加权,你也能够经过chmod +x /user/bin/clutch 6. (1)中提交的sh 执行脚本,我会在文章iOS逆向工具之Cydia(iOS)介绍中介绍如何使用

• 再次执行clutch -i 验证是否受权成功

• 咱们进行砸壳

  

1.咱们能够看到应用的再越狱中运行的序列号为1 2.咱们还能够看到应用的bundle id

• 咱们砸壳能够经过两种方式进行

1.经过执行命令 clutch -d app序列号 2.经过执行命令 clutch -d app包名

• 砸壳成功后,咱们能够看到提示信息

# Zipping WeChat.app
# Swapping architectures..
# DONE: /private/var/mobile/Documents/Dumped/hk.itools.appe-iOS7.0-(Clutch-2.0.4).ipa
复制代码

• 咱们能够看到砸壳生成ipa目录

• 有了目录地址,咱们经过iFunBox或者scp 拷贝到Mac,等待分析应用.

这就是Clutch砸壳,很容易使用

注意 虽然咱们介绍了两款砸壳工具,并不表明,你想砸壳的应用,使用上面两种方式都很顺利.我曾经尝试砸壳某应用,使用两种方式,我并无砸壳成功.

分析 1.有可能这款应用作了防御 2.咱们的砸壳应用已经不使用某应用了,砸壳方式须要改变

咱们接下来继续介绍第三方砸壳方式

3.frida-ios-dump 一条命令完成iOS应用砸壳

Dynamic instrumentation toolkit for developers, reverse-engineers, and security researchers. 面向开发人员、逆向工程师和安全研究人员的动态工具工具包。

• Frida地址: Frida

• Frida的使用场景 1. hook特定函数并更改返回值 2. 分析特定协议,同时其动态嗅探,解密 3. 应用调试 4. 在iOS应用上dump类和方法信息

• iOS在Cydia安装Frida,咱们该怎样安装呢?

注意 若是你第一次打开Cydia,搜索Frida是搜索不到的,咱们须要在软件源中添加,红线画的是frida软件源地址,你能够添加一下.

• 若是你已经配置完成,咱们跳转到搜索页面

咱们搜索frida,而后安装便可.

• 咱们Mac下安装frida,怎么安装呢? 打开咱们的终端,输入 sudo pip install frida

咱们经过终端已完成安装

注意 若是出现下面的错误

Uninstalling a distutils installed project (six) has been deprecated and will be
removed in a future version. This is due to the fact that uninstalling a distutils 
project will only partially uninstall the project.
复制代码

咱们如何解决这个问题呢? 缘由:Apple预安装的这个six库出于安全缘由被设置为sudo也不能够执行操做，因此须要依赖于高版本的库就须要更新six. 终端执行命令

sudo pip install frida –upgrade –ignore-installed six
复制代码

问题解决后,你能够在尝试安装

• 咱们配置frida-ios-dump,并配置frida firda-ios-dump下载地址

• 我已经下载好了,咱们打开文件看看

  

咱们能够看到js,python,sh脚本等文件

• 咱们执行sudo pip install -r /opt/frida-ios-dump/requirements.txt --upgrade命令配置环境

下载了不少文件,须要等待一会,就会配置好

• 咱们还须要编辑一下dump.py文件中的参数

1. 你能够直接打开文件 2. 你也能够经过命令打开文件vim /opt/dump/frida-ios-dump/dump.py,进行编辑后保存 3. 若是没有修改密码,这里了不须要进行修改;若是修改密码,请修改你的密码 4. 到这里frida环境配置完成

• 咱们打开终端,进行端口转发,经过ssh链接越狱机.(链接过程,我会在Cydia文章详细介绍)

端口转发

ssh链接越狱机

• 咱们接着执行dump.py -l命令,查看一下须要砸壳的应用

• 接着咱们执行dump.py 应用名/应用bundle id

• 能够在用户目录下找到砸壳的ipa

• 我把ipa中的二进制文件拷贝到桌面,验证是否砸壳成功

没有壳的应用,cyrptid 为0

4.总结 咱们本篇文章主要讲解了砸壳三剑客.

• dumpdecrypted
• Clutch
• frida-ios-dump

文章介绍到这里,想必你应该会使用三款软件了. 下篇文章继续介绍iOS逆向工具. 请持续关注,留言给我或者加群联系我.