从头到尾教你如何class-dump苹果的私有api

作为一名爱折腾的开发者，越不让我用什么我就越想用，所以就有了这篇教程。

• 首先你需要一台越狱的iOS设备，如果你确实没有的话，你可以在此GitHub https://github.com/nst/iOS-Runtime-Headers 下载老外已经class-dump好的所有库

这里有人就会问了，别人都已经class-dump并且整理好了所有库，你干嘛还要从头到尾做一遍？没为什么，我就是爱折腾，伸手党看到这里就够了。

• 1、 在mac上安装好iFunBox，如图：

iFunBox

• 2、 从iOS 3.1开始，包括frameworks在内的许多库文件被存进了一个大cache里，这个cache文件位于“/System/Library/Caches/com.apple.dyld/dyld_shared_cache_armx”（名为dyld_shared_cache_armv7、dyld_shared_cache_armv7s或dyld_shared_cache_arm64），可以使用dyld_decache将其中的二进制文件提取出来。使用dyld_decache之前，要将“/System/Library/Caches/com.apple.dyld/dyld_shared_cache_armx”用iFunBox从iOS拷贝到OSX中。然后从https://github.com/downloads/kennytm/Miscellaneous/dyld_decache[v0.1c].bz2 下载dyld_decache。解压之后赋予其可执行权限，如下：

lizhiyongdeiMac:~ lizhiyong$ chmod +x /Users/lizhiyong/Desktop/LeoCracker/dyld_decache\[v0.1c\]

然后开始提取二进制文件，如下：

lizhiyongdeiMac:~ lizhiyong$ /Users/lizhiyong/Desktop/LeoCracker/dyld_decache\[v0.1c\] -o /where/to/store/decached/binaries/ /Users/lizhiyong/Desktop/LeoCracker/dyld_shared_cache_armv7

这样子我们提取出的所有二进制文件都存放在了“/where/to/store/decached/binaries/”下，接下来就如何找到自己感兴趣的库并class-dump出他的头文件

• 3、 举个栗子
  
  

  栗子
  
  以前我工作的时候经常要用到某些功能的私有API，而我只知道他的类名：LSApplicationWorkspace，这个时候怎么从我们刚刚提取的所有的库
  
  

  提取的库
  
  找到我们真正想用到的库呢？这个时候我们可以用到检索目标行命令：grep，具体代码如下：
  grep -r LSApplicationWorkspace /Users/lizhiyong/Desktop/LeoCracker/ios_system_framework/System/Library/Frameworks
  终端输出如图：

终端输出

看到输出结果，也就是匹配到十个左右的库，这个时候发挥程序员敏锐的嗅觉，发现了一个库：MobileCoreServices.framework，我们不妨尝试class-dump这个库看一下是否有LSApplicationWorkspace类的头文件。

• 4、现在我们正式学习如何class-dump出二进制文件的头文件。
  首先去 http://stevenygard.com/projects/class-dump 下载最新版的class-dump，下载完后，将dmg文件里的class-dump复制到“/usr/bin”下，然后在Terminal中执行“sudo chmod 777 /usr/bin/class-dump”命令赋予其执行权限。运行class-dump，即可看到它的一些基本参数，如图：

class-dump

准备工作做完之后，我们就开始用class-dump导出刚刚发现的MobileCoreServices.framework里面的头文件了，具体代码如下：
lizhiyongdeiMac:~ lizhiyong$ class-dump -S -s -H /Users/lizhiyong/Desktop/LeoCracker/ios_system_framework/System/Library/Frameworks/MobileCoreServices.framework/MobileCoreServices -o /Users/lizhiyong/Desktop/LeoCracker/ios_system_framework/System/Library/Frameworks/MobileCoreServices.framework/headfile
格式：class-dump
-S -s -H path/to/binaryFile -o /path/to/headers，path/to/binaryFile是库的二进制文件的路径，/path/to/headers是你导出的头文件要存储的路径。
导完之后我们查看导出的头文件：

库的头文件

显然我们要找的LSApplicationWorkspace类的头文件就在这里头，打开LSApplicationWorkspace.h，我们发现我们想要的功能的API都在里头：

LSApplicationWorkspace.jpeg

像这些方法名：

/+ (id)defaultWorkspace;
/- (id)allApplications;
/- (id)allInstalledApplications;
/- (BOOL)uninstallApplication:(id)arg1 withOptions:(id)arg2;

看到这些我们应该都懂了，那么我们怎么在项目中使用这些苹果禁止的私有API呢，OC的runtime机制会告诉你答案，至于怎么像正常APP一样上架AppStore呢，就需要发挥你程序员聪明机智的时候了。

（PS：这是我第一次写，以前一直用OneNote记笔记，就觉得写写博客效率慢而且很浪费时间，事实证明，确实很浪费时间 -。- ， 所以我打心底里感激那些写博客写书的作者们！）

参考:《iOS应用逆向工程》