首先,你需要有一台越狱的iOS手机,这样你才能获得root权限,才能为所欲为;需要一台Mac机器,方便你远程操作。接着你就需要安装一打的软件了,Mac上需安装:class-dump(导出头文件),Reveal(分析UI),Hopper Disassembler(静态汇编代码分析),charles(网络分析),iFunBox(手机文件分析),usbmuxd(通过usb转发网络数据);手机上需在Cydia商店中安装:OpenSSH,Reveal Loader(和Mac上Reveal配合使用),vim, python等。
在你手机上安装完想Hack的App后,就可以开工了。
0,说明
下面所有的"#"步骤都是在SSH中操作的,"$"步骤在Mac上操作。
一,使用dumpdecrypted获得头文件
从github上下载,make编译,将生成的dumpdecrypted.dylib拷贝到手机/var/root目录下。利用Mac上iFunBox获得App的路径,然后将dumpdecrypted.dylib文件拷贝到App的Document目录下。
#cd Document
#DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib App可执行文件路径,
会在当前Document目录下生成xxx.decrypted文件,即该App未加密的可执行文件。将该decrypted文件拷到本机,用命令
$class-dump --arch armv7/arm64 -H xxx.decrypted -o 头文件路径,
生成所有头文件。由于decrypted文件为FAT格式,它实际上包了两种格式的可执行文件,armv7和arm64,需要你根据自己的手机型号选择相应的格式(我用的iPhone4为armv7格式)。获得头文件以后,就可以用Xcode新建一个Project,将所有头文件都导入Project中,方便查询。
二,使用Hopper Disassembler v3进行静态分析(或者使用IDA)
选择File -> Read Executable to Assemble打开xxx.decrypted文件,选择FAT,armv7或aarch64格式,它就开始自动帮你解析arm格式的汇编语言。在最左边搜索框中搜索你感兴趣的类和方法,可以结合Xcode中的头文件来使用。下面说说它最强大的功能了,就是可以帮你生成类oc的伪代码。选择你关心的函数,再点选右上角if(b) f(x):图标,立刻世界就简单了很多。
三,使用Reveal分析UI及相关的类
如果分析App的话,光看头文件还是一头雾水的,如果使用Reveal来分析UI使用的View类和相应的Controller类,那世界又简单了很多。先打开Mac上Reveal软件,再在手机上"设置" -> Reveal -> Enabled Applications中选中你想分析的App,再打开App,稍等片刻,最后在Reveal中选中发现的App就可以了。如果一直没有在Reveal中发现App,要确保手机和Mac在同一网络中,重启几次App看看。
四,使用charles分析网络通信
现在几乎所有的App都是C/S模式的,本地是客户端,通过网络访问Web Server端。所以想真正了解App的行为,分析网络通信是很有必要的。而且绝大多数的App(除了知名的App如微信外)网络封包没有加密,很容易分析通信过程。
手机端只需在Http Proxy中设置Mac机IP地址和8888端口即可(charles默认端口为8888)。Mac端启用charles,选择接受手机端的连接。
五,使用lldb动态调试
要分析App的关键细节,就非需要动态调试不可了。可以用GDB来动态调试,但听说它不太稳定(听说而已,没有亲见),所以还是用debugserver+lldb的方式来调试了。debugserver和lldb均为Xcode自带软件,将debugserver拷贝到手机上,运行
#debugserver *:1234 -a “进程名”
Mac上因为直接使用网络进行调试速度太慢,使用usbmuxd用usb接口进行网络包中转
$cd usbmuxd-1.0.8/python-client
$./tcprelay.py 1234:1234
再启用lldb
$lldb
(lldb)process connect connect://localhost:1234
(lldb)image list -o -f 获得各个库的映射起始地址,如果去掉了ASLR的话,你会发现App映射的起始地址为0x0
(lldb)br s -a 0x3e000 设置断点地址
(lldb)po $r0 在ARM汇编中r0通常存储的是类的地址,使用po命令会显示类的description,实际上应该是调用[$r0 description]。
我们可以用po命令来显示调用类的所有函数,如po [$r0 length],这可以让我们做很多事,世界更简单了。
剩下的就是体力活了。
六,(可选)去掉ASLR
在使用lldb进行动态调试时,会遇到一个不大不小的问题,就是因为ASLR的存在,每次App可执行文件的起始地址都不一样,所以动态调试的时候各个函数地址和静态分析的地址不一样。当然你可以每次启动的时候手工计算一下,但也可以一劳永逸解决这个问题,就是修改App头文件中的一个比特。
我们使用change_mach_o_flags.py来去掉这个比特。将App的可执行文件拷贝到Mac上,运行:
$otool -hv xxx 查看头部信息
$python change_mach_o_flags.py --no-pie xxx
$otool -hv xxx 再查看头部信息,会发现pie已经去掉了。
再将可执行文件拷贝回手机。因为是越狱的手机,代码的完整性检测功能已经名存实亡了。所以修改过的可执行文件可以照常执行。