LLDB解密（砸壳）

前言

前段时间学习过利用工具来对加密的应用ipa包砸壳，dumpdecrypted砸壳，Clutch砸壳，frida-ios-dump砸壳，这次通过LLDB自己手动操作可执行文件，dump出解密的文件（实际上dumpdecrypted就是这个原理），简单了解砸壳的原理。

一、原理

加密内容在手机启动执行加载到内存后，是解密的，可以根据Mach-O文件记录的加密内容开始偏移值以及加密内容大小，从内存中dump出已经解密的部分，再将dump出的部分写回原执行文件，这样就得到一个完整的解密的可执行文件。

二、从越狱手机拷贝出原可执行文件

以WeChat为例

查看可执行文件路径

拷贝

查看可执行文件加密字段信息

arm64架构

了解到了这两个数据信息，就可以利用LLDB进行解密,下面选择64位架构进行解密

三、使用LLDB砸壳

参考LLDB+debugserver调试第三方应用进入lldb调试界面，并且附加到目标进程,如下：

LLDB调试

查看主模块加载地址

image.png

我们使用的物理地址为: 0x0000000100014000,先记录下来,接着根据 cryptoof与 cryptsize字段dump出解密部分，如下：

dump出解密部分

这样dump出的文件是没有Mach-O header，因此要将dump出文件Patch回原可执行文件（可以先备份原可执行文件），Patch之前先说个注意点：

注意：手机上拷贝出的Mach-O文件含有两种架构，因此我们在Patch的时候要找对架构起始偏移

从下面的Mach-O头信息可知，我们需要将dump出的文件写回70041600 + 16384 =70057984的位置

架构起始偏移

Patch操作如下(过程会有点久，耐心等待):

到这一步，原可执行文件的arm64架构文件已经解密，最后修改一下对应的加密标识 cryptID即可。

提取arm64架构的文件

lipo -thin arm64 WeChat -output /Users/kinken_yuen/Desktop/WeChat_arm64

使用Mach-OView修改字段

修改加密标识字段

最后使用class-dump能够正常dump出工程的类头文件,砸壳成功。

四、脚本调用LLDB砸壳

Github:https://github.com/BlueCocoa/dumpdecrypted-lldb

python脚本dump

参考

使用lldb砸壳