iOS逆向工程 -- 加壳、脱壳

背景:

如果手机通过PP助手或者Cydia等越狱软件下载的ipa文件,并不能通过MachOView、class-dump、Hopper Disassembler、ida等途径进行静态分析
分析微信的Mach-O文件:

image.png

只有一个头文件,不能分析,原因是通过AppStore下载的应用是经过了加壳操作的

加壳

image.png

• 什么是加壳？
  利用特殊的算法，对可执行文件的编码进行改变（比如压缩、加密），以达到保护程序代码的目的

  
  
  

  image.png

脱壳

• 什么是脱壳？
  摘掉壳程序，将未加密的可执行文件还原出来（有些人也称为“砸壳”）

• 脱壳主要有2种方法：硬脱壳、动态脱壳

  
  
  

  image.png

如何验证可执行文件是否已经脱壳？

1>可以利用MachOView进行分析 (cryptid 0 为脱壳, 1为没有脱壳)

image.png

2>通过终端命令行

通过otool命令行也可以：otool -l 可执行文件路径 | grep crypt

image.png

iOS中的脱壳工具

1>Clutch

Clutch配置

下载最新的Release版

image.png

建议去掉版本号,修改文件名为Clutch
将Clutch文件拷贝到iPhone的/usr/bin目录

image.png

如果在iPhone上执行Clutch指令，权限不够，赋予“可执行的权限”

image.png

• 列出已安装的APP：Clutch -i (列出的程序都是没有脱壳的程序)
  

  

  image.png

• 输入APP序号或者Bundle Id进行脱壳操作：Clutch -d APP序号或BundleId
  

  

  image.png

• 脱壳成功后会生成一个ipa文件

  
  
  

  image.png
  
  

  验证已经脱壳

  
  
  

  image.png
  
  即可分析微博内部工程头文件
  
  

  image.png

2>dumpdecrypted

下载源代码，然后在源代码目录执行make指令进行编译，获得dylib动态库文件

image.png

image.png

将dylib文件拷贝到iPhone上（如果是root用户，建议放/var/root目录）
终端进入dylib所在的目录
使用环境变量DYLD_INSERT_LIBRARIES将dylib注入到需要脱壳的可执行文件（可执行文件路径可以通过ps -A查看获取）
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件路径

image.png

image.png

.decrypted文件就是脱壳后的可执行文件

image.png

在使用过程中，可能会遇到以下错误

image.png

• 原因：对dylib所在的文件夹权限不够
• 解决方案：将dylib放在用户所在文件夹，比如
  如果是root用户，请将dylib放在/var/root目录
  如果是mobile用户，请将dylib放在/var/mobile目录