iOS逆向-对以root权限且有保护的触摸精灵hook

首先要讲讲要用到的工具(iOS安装工具使用Cydia中搜索安装,有些需要数据源可以自行查找):

已经越狱的IOS设备:这是必须的


iOS逆向-对以root权限且有保护的触摸精灵hook_第1张图片
设备信息

OpenSSH(数据源:http://apt.saurik.com):用于远程登录ssh和文件传输scp,默认密码alpine. 为了安全建议大家修改这个密码!!!!

class-dump-z: 用于简单分析出工程中的类名和函数名。

IDA:强大的反编译工具。

Hopper Disassembler:类似IDA 我比较喜欢,能简单转换成OC的功能。

Reveal:UI层解析工具。

iFunBox 、 iTools :两个都是强大的ios设备管理工具,越狱后能轻松读取应用文件等功能

MAC端需要配置安装:

1. Theos(环境)

详细参考:iOS插件开发-theos环境搭建

               iOS逆向工程(工具介绍)- 学习整理(这篇文章教程里有个链接集成Theos,下载运行脚本即可安装Theos,十分方便!再此也十分感谢作者@品味_生活用心)

iOS越狱手机Cydia需要安装:

1. OpenSSH

2. Cycript

如果真正逆向破解中,我给大家介绍的是远远不够的。还需要大家去挖掘!!有更好的工具也可以回复分享一下,技术是大家的嘛~~

详细步骤:

1. 确定环境已经搭建好,手机触摸精灵已经安装(使用Cydia按触摸精灵源安装)

2. 保证MAC电脑和越狱手机同一局域网(越狱手机Cydia上安装好OpenSSH)

3. 尝试动态Cycript挂钩触摸精灵,会发现一个很典型的错误,这个错误间接告诉我们触摸精灵是一款以root权限运行的APP,自身有对挂钩有保护机制。再试一下静态hook注入的方式, 还是不行。


iOS逆向-对以root权限且有保护的触摸精灵hook_第2张图片
cycript注入错误提示

问了一下认识的逆向大神,给了两个解决办法(大家如果还有更好的办法也可以回复联系我,感激不尽..):

必备前提:取出手机上触摸精灵bin文件到MAC的工作文件夹(MAC命令行 scp命令),对它处理完后再替换手机触摸精灵bin文件。

MAC命令行下:scp [email protected](设备IP):/Applications/TouchElf.app/TouchElf  /var/tmp/(要存放在电脑的文件路径)

3.1. vim编辑器直接编辑它,修改内容中restrict字符串(大写也需要更改)确保字符串字符数一致,比如我用hrstrict修改。但结果让人失望,我编辑保存替换完后,触摸精灵直接闪退。大神解释:因为触摸精灵restrict中含有data数据,修改后会影响内部数据。

3.2. 静态注入(使用编译好的insert_dylib【到github下载它,xcode运行取出编译好的文件】),将写好的Tweak文件的dylib文件(手机和电脑各拷贝一份,务必保证路径一样)。将该dylib文件注入到触摸精灵bin文件里,成功后再和手机里的替换。

详细步骤请转移狗神的颤抖吧,iGrimace!手把手教你hook以root权限运行的App 一章给出了比较详细的步骤。只是它的APP是Theos开发的需要重新编译打包安装。我们只需要替换即可!

编写静态hook:

iOS逆向-对以root权限且有保护的触摸精灵hook_第3张图片
创建Tweak

编写生成的Tweak:

3.2.1. 修改plist文件。在Bundles中写入触摸精灵的Bundle ID。

3.2.2. 修改Tweak.xm  (Logos语法看起来和OC没什么区别),hook到设置控制器(触摸精灵class-dump出来头文件中可以看到),让它弹出提示框。写如下代码:

%hook PreferenceViewController

- (void)viewDidLoad{

%orig;

UIAlertView *alertView = [[UIAlertView alloc] initWithTitle:@"PreferenceViewController" message:@"this is a message" delegate:nil cancelButtonTitle:@"OK" otherButtonTitles:nil, nil];

[alertView show];

[alertView release];

}

%end

3.2.3. 修改Makefile文件,括号只做说明。

THEOS_DEVICE_IP = 192.168.2.2(越狱手机的IP地址)

ARCHS = armv7 arm64 (越狱手机的系统位数)

TARGET = iphone:latest:8.0  (越狱手机的固件版本)

export THEOS=/opt/theos

在install.exec双引号里加上“ cp /Library/MobileSubstrate/DynamicLibraries/CrackTouchElf.dylib /var/tmp/; ” 因为要将最新的dylib注入到触摸精灵的bin文件中。


iOS逆向-对以root权限且有保护的触摸精灵hook_第4张图片
Makefile文件

3.2.4. 查看control文件,该文件中不允许有特殊符号存在(又一次我就是因为多了_导致文件编译不通过)。

做好以上可以编译文件了(make package install命令)。

iOS逆向-对以root权限且有保护的触摸精灵hook_第5张图片
编译前后的文件对比

此时手机就会自动重启。打开触摸精灵点击设置,不会像我们期望的那样弹出提示框。因为到不前为止还没有正式进入注入环节,往下看...

4.1. 从手机中取出Tweak编译生成的dylib文件到MAC ~/var/tmp/ 文件夹下(因为要和手机上的一致,不然也会闪退)。

4.2. 用编译好的insert_dylib,将MAC ~/var/tmp/ 文件夹下刚取出的dylib文件注入到早已取出的触摸精灵bin文件。会生成TouchElf_patched新文件,把这文件改名和手机上触摸精灵bin文件同名就替换掉手机上的触摸精灵bin文件。

iOS逆向-对以root权限且有保护的触摸精灵hook_第6张图片
insert完后替换手机触摸精灵上的bin文件

最好在编译打包安装一遍Tweak文件。最后发现触摸精灵被我们静态hook了!!

iOS逆向-对以root权限且有保护的触摸精灵hook_第7张图片
成功hook上

参考书籍: 沙梓社 吴航 * 著

再次感谢该书作者--狗神。点我进入作者论坛和逆向爱好者一起学逆向

总结:

我也刚刚接触逆向不久,算起来也就一个多星期的时间。逆向是种非常有用的思维方式,可以帮助我们提高iOS的正向调试能力。了解一些底层知识,不要以为逆向就是黑客,我看过一句话说得很棒:“知道如何攻破才能更好的防御”。

“iOS逆向知识,千变万化,无穷无尽,需要学习的太多了,国内文章知识还是比较少,逆向的书籍也是比较少,逆向开发方面的进步也需要我们国人也要努力。”

当然我的主要心思还会是正向开发,逆向只是辅助,生活的调味剂。也许以后不单单局限于学习iOS的逆向,也许还会学习Android逆向。因为我是吾爱破解的铁杆粉,十分有兴趣去学习这一类技术。虽然平时上班剩余时间很少,但每天花一点时间去追赶学习始终也能到达终点。

当然欢迎一些志同道合的朋友和我一起学习,互相提高!!!!

你可能感兴趣的:(iOS逆向-对以root权限且有保护的触摸精灵hook)