iOS逆向工程（9）免越狱集成Reveal和Flex到任意APP

背景

• Reveal 和 FLEX 都是非常强大的利器。
• Reveal 可以查看APP的视图，层次，动态修改空间位置等，是一款非常强大的界面调试工具利器。
• FLEX 是应用内部调试工具，包括动态查看类，库，沙盒，动态修改UI，等一款非常强大的分析利器。
• 此篇文章是介绍了如何将这两款工具，在非越狱机上，集成这两款强大利器。

---

先演示下效果（抖音APP示例）

快速集成 - 步骤

1. brew install ldid
2. 通过脚本安装Theos：https://github.com/bigsen/Theos-Script
3. 安装 MonkeyDev

git clone https://github.com/AloneMonkey/MonkeyDev.git
cd MonkeyDev/bin
sudo ./md-install

4. 下载工程后运行：https://github.com/bigsen/CrackeApp

---

目录

1. Reveal 和 FLEX 介绍
2. 搭建开发环境 - Theos
3. 搭建开发环境 - MonkeyDev
4. 获取脱壳后的 IPA
5. 在IPA中植入 Reveal 和 Flex

---

1. Reveal 和 FLEX 介绍

（1）Reveal 是什么

• Reveal 官方地址：https://revealapp.com
• Reveal 是一个iOS程序界面调试工具，可以在Reveal上查看视图的层级和修改控件的属性，用来调试UI。
• Reveal 允许开发者在不修改代码、不重新构建项目、不重新部署应用程序的情况下就能够调试iOS应用的用户界面。

（2）Reveal 延长试用时间方法

• 对于官网下载的Reveal，默认给予的是14天左右的试用时间。
• 首先 https://revealapp.com/download/ 从官网下载reveal，并填写自己（未注册过）的邮箱。

• 然后会收到一封邮件，包含试用的激活码。

• 打开reveal 输入激活码即可。
• 试用到期后，把电脑时间调整到注册日期之时，然后再打开reveal即可恢复试用时间。

（1）FLEX 是什么

• FLEX官方地址：https://github.com/Flipboard/FLEX
• Flipboard/ FLEX (Flipboard Explorer) 是 Flipboard 发布的应用内调试工具，开发者可在toolbar中查看和修改运行中的应用。

（2）FLEX 安装

• 可通过pod方式引入：pod 'FLEX', '~> 2.0'

（3）FLEX 功能：

1. 查看、实时修改view（与Reveal相关功能类似，视觉验证中非常有用）

   
   

2. 监控网络请求记录（与Charles抓包功能类似）

   
   

3. 沙盒内容查看（数据持久化内容）

   
   

4. 查看App中所有的类以及所用到的系统Framework。

   
   

5. 动态查看和修改NSUserDefaults值。

   
   

6. 快速查看打印日志（来自NSLog）

7. 动态修改对象属性值。

8. 动态调用实例和类方法。

---

2. 搭建开发环境 - Theos

（1）安装方式一（自动）

• 自动下载脚本TheosScript.sh，不需手动添加ldid、libsubstrate、dpkg-deb等。
• 脚本地址：https://github.com/bigsen/Theos-Script

演示：

（2）安装方式二（手动）

1. 从 GitHub 上下载Theos

export THEOS=/opt/theos 
sudo git clone --recursive https://github.com/theos/theos.git $THEOS

小问题：git 克隆下来的theos，make packget install 如果提示提示缺少 _Prefix/NullabilityCompat.h 等文件，需要我们去https://github.com/theos/headers 把这个头文件放到/opt/theos/include目录中就行了。

sudo git clone https://github.com/theos/headers /opt/theos/include/

2. 配置ldid

ldid 是专门用来 名 iOS 可执行文件的工具,用以在越狱 iOS 中 代替 Xcode 自带的 codesign。

• 第一种方法：

brew install ldid

• 第二种方法：
  从 http://joedj.net/ldid 下 ldid,把它放在“ /opt/theos/bin/ ”下,然后用以下命令赋予它可执行权限:

sudo chmod 777 /opt/theos/bin/ldid

3. dpkg-deb

• deb 是越狱开发安装包的标准格式,dpkg-deb 是一个用于操作 deb 文件的工具,有了这个工具,Theos 才能正确地把工程打包成为 deb 文件。

• 从 https://raw.githubusercontent.com/DHowett/dm.pl/master/dm.pl 下 dm.pl,将其重命名为 dpkg-deb 后,放到“/opt/theos/bin/”目录下,然后用以下命令赋予其可执行权限:

sudo chmod 777 /opt/theos/bin/dpkg-deb

---

3. 搭建开发环境 - MonkeyDev

• MonkeyDev ，是越狱开发iOSOpenDev的升级，越狱插件开发集成神器。
• 官方文档：https://github.com/AloneMonkey/MonkeyDev/wiki

git clone https://github.com/AloneMonkey/MonkeyDev.git
cd MonkeyDev/bin
sudo ./md-install

• 这样以后， 本地就有了MonkeyDev 开发功能， 可以在Xcode新建项目时，选择MonkeyApp。

---

4. 获取脱壳后的 IPA （3种方法）

第一种：

• 利用"dumpdecrypted"给ipa砸壳：https://www.jianshu.com/p/a4373b5feca0

第二种：

• 一条命令砸壳 (详细菜鸟版) ：https://www.jianshu.com/p/6eb62eabb988

第三种：

• 通过越狱设备， 使用PP助手越狱版本, 下载对应APP到手机上。
• 然后使用ifunbox，从/var/mobile/Containers/Bundle/Application 中找到，拷贝出来.app 包即可。

第四种：

通过PP助手是下载越狱ipa文件。

---

5. 在IPA中植入Reveal 和 Flex

到现在这一步我们已经有了：

• FLEX 工具
• Reveal 工具
• MonkeyDev 环境
• 脱壳后的 IPA文件

然后我们就可以正式开始我们的集成工作:

（1）新建 MonkeyDev 工程。

（2）替换 Reveal Framework 为自己电脑当前对应版本。

• 使用自己电脑的RevealServer.framework替换掉/opt/MonkeyDev/frameworks下面的RevealServer.framework。

sudo rm -f -r /opt/MonkeyDev/Frameworks/RevealServer.framework
sudo cp -f -r /Applications/Reveal.app/Contents/SharedSupport/iOS-Libraries/RevealServer.framework /opt/MonkeyDev/Frameworks/RevealServer.framework

（3）MonkeyDev 工程添加FLEX Pod依赖。

• 打开 MonkeyDev 工程中的 Podfile，在target ' XXX Dylib' do
  里面填写pod 'FLEX', '~> 2.0'。

（4）注册监听，初始化FLEXManager。

• 导入头文件。
• 在CHConstructor里注册DidFinish监听，初始化FLEX。

（5）放入脱壳后的ipa到MonkeyDev工程。
然后运行MonkeyDev工程。

某些APP启动会Crash，需要打开AntiAntiDebug.m，取消注释这句话。
rebind_symbols((struct rebinding[1]){{"sysctl", my_sysctl, (void*)&orig_sysctl}},1);

---

文中Demo示例：https://github.com/bigsen/CrackeApp

https://www.jianshu.com/p/db142e71ce9a

参考文章

• FLEX 官方
• MonkeyDev 官方

参考书籍

• 《iOS逆向工程》
• 《iOS应用与逆向安全》

下一篇：iOS逆向工程（10）破解任意 APP HTTPS 加密