iOS逆向-砸壳工具dumpdecrypted

      在App Store中下载的应用，都是经过苹果加密的文件，如果想分析应用的组成以及应用所包含的头文件和应用中的方法，必须把苹果加密的这层壳给砸掉，这就需要借助砸壳工具来实现，dumpdecrypted是iOS平台中常用的砸壳工具，下面就给大家讲解一下它的安装以及使用。

一、下载和安装

1、从这个地址下载 https://github.com/stefanesser/dumpdecrypted

dumpdecrypted文件夹

2、在下载文件的目录下运行“make”命令

make命令

这样既可在dump decrypted目录中看见生成了dump decrypted.o和dump decrypted.dylib文件，如下图所示

二、dumpdecrypted的使用（以微信为例）

在砸壳前，可以先用otool -l WeChat | grep crypt 查看应用是否加密，如果cryptid 为1，则表示是加密的，为0则是未加密，通常在越狱渠道下载的应用为未加密的，比如在pp助手的应用商店。

1、首先打开mac终端，用ssh连接到越狱的手机上（必须要越狱机)，OpenSSH的root密码默认为alpine。注：我的iphone的IP地址为192.168.1.105

ssh连接到手机

2、只打开微信，在终端输入ps -e,查找微信的bundle id。

命令：ps -e

红色部分为bundle id

3、使用Cycript找到微信的Documents路径

命令：cycript -p WeChat

4、用scp命令将dumpdecrypted.dylib文件拷贝到iPhone的这个Document下

scp ./dumpdecrypted.dylib [email protected]:/var/mobile/Containers/Data/Application/AF51CE20-6402-43BC-962C-8AE1151F5D65/Documents

5、开始砸壳

用命令：DYLD_INSERT_LIBRARIES=/PathFrom/dumpdecrypted.dylib /PathTo

本文中就是：DYLD_INSERT_LIBRARIES=/var/mobile/Containers/Data/Application/AF51CE20-6402-43BC-962C-8AE1151F5D65/Documents/dumpdecrypted.dylib /var/containers/Bundle/Application/EA98BDC8-19B7-4445-94CB-E2D28D3F43D4/WeChat.app/WeChat

此时可能会出现kill 9，如果出现这个问题，可以使用“su mobile”命令切换用户权限，然后继续上面的命令，这样既可砸壳成功，最终在Document目录下得到砸壳后的WeChat.decrypted文件。

最后，为什么要Document目录下砸壳呢？

因为只有在沙盒内的文件，才会对沙盒中的文件有读写权限，所以这就是第3步和第4步的操作原因了。