iOS逆向笔记

[TOC]

==iOS逆向环境介绍==

*** 越狱环境：iphone5s iOS 8.3***

luz-iphone:~ root# uname -a
Darwin luz-iphone 14.0.0 Darwin Kernel Version 14.0.0: Sun Mar 29 19:47:37 PDT 2015; root:xnu-2784.20.34~2/RELEASE_ARM64_S5L8960X iPhone6,2 arm64 N53AP Darwin

1.Drawin体系

Darwin是一种类似unix的操作系统，他的核心XNU，XNU是一种混合式内核，结合了mach与BSD两种内核
- 主流的类unix：
  - Linux 由Linus Torvalds研发的，代表发行版本CenOS，Redhat，Ubuntu，Debian，openWRT等
  - Mac OS X的Intel部分
  - freeBSD 由加州大学伯克利分校基于UNIX研发的（UNIX变种，当时如果不是与贝尔实验室打官司，可能就不会有现在的Linux什么事）
  - Solaris 由Sun（现为Oracel）开发的UNIX商业版本
BSD 实现在Mach的上层，这一层提供的API 支持了POSIX标准模型。在XNU中主要实现了一些高级的API与模块

UNIX 进程模型
== e.g fork，vfork，wait，waitpid，exec等 ==
POSIX 线程模型即pthread，以及相关的同步功能
== e.g pthread_create，pthread_mutex(线程互斥锁)==
UNIX的用户与组管理
==e.g root用户，mobile用户，chmod等==
网络协议栈（BSD Socket API）,符合POSIX 模型
== e.g socket()；bind()； listen()；accept()；connect()； gethostbyname()； gethostbyaddr()等伯克利套接字API==
文件系统/设备系统
== e.g Filesystem Hierarchy Standard（文件系统层次化标准）==

iOS，OSI，ISO的含义
- iOS 苹果公司开发的移动操作系统
- OSI 是Open System Interconnection的缩写，意为开放式系统互联。OSI模型把网络通信的工作分为7层，分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
- IOS是国际标准化组织。上面的OSI模型由该组织制定。一般类UNIX系统都基本符合POSIX标准和IOS C标准
  - POSIX表示可移植操作系统接口(Portable Operating System Interface）
  - IOS C标准，C语言标准库接口
为什么越狱

突破iOS沙盒机制的限制（sandbox）
== 沙盒是一种安全机制，为运行中的程序提供隔离环境。沙盒在启动的时候可以设置运行的程序是否可以访问网络、文件、目录等==
[图片上传失败...(image-9dbe43-1554220264391)]

2.Cydia - 越狱iOS的软件管理平台（Cydia 之父 - Jay Freeman(杰弗里曼)）

越狱iOS是合法的
安装OpenSSH
== 在Cydia中搜索OpenSSH并安装，这样iOS上面就可以开启SSH服务。SSH服务默认绑定端口号22 ==
- 使用SSH命令连接iOS，默认登录密码"alpine"

     ssh [email protected]       //iOS连接wifi，设置中可以看到ip地址，也可以改成静态IP地址

使用scp命令可以传输文件

  scp  filename  [email protected]:/tmp                 //拷贝本地文件到远端
  
  scp [email protected]:/tmp/filename  /tmp/         //从远端拷贝文件到本地

修改默认密码

  passwd root
  
 passwd mobile

安装软件包管理工具apt-get
== 在Cydia中搜索 APT 0.6 Transitional并安装 ==

命令介绍

   apt-get update                    【更新所有的源】

   apt-get upgrade                 【更新所有通过apt-get安装的程序】

   apt-get install  packagename         【安装软件包】

   apt-get remove  packagename      【删除软件包，不删除依赖包，不删除配置文件】

   apt-get remove --purge packagename  【删除该软件包，不删除依赖包，删除配置文件】

   apt-get autoremove packagename       [删除该软件包，删除依赖包，不删除配置文件]

   apt-get autoremove --purge packagname    【可以删除所有依赖包+配置文件】

   apt-cache search string             【搜索含有该string字段的软件包】

   apt-cache show packagename     【详细显示该软件包的信息】

   apt-get clean                   【清除apt-get安装的软件包备份，可以释放储存空间，不影响软件正常使用】

使用apt-get 安装软件包
== e.g 安装traceroute ==

    apt-get install traceroute  //发现找不到软件包
    
    //如果不知道软件包名称，也可以用关键字搜索
    apt-cache search traceroute
    
    apt-get install  network-cmds

安装必要工具

    apt-get install  ping
    
    apt-get install  ps
    
    apt-get install  find
    
    apt-get install tcpdump
    
    apt-get install top
    
    apt-get install vim
    
    apt-get install  network-cmds   //-arp, ifconfig, netstat, route, traceroute

工具的使用

    ping www.baidu.com -c 4 -s 600  //发送icmp报文，检查网络状况

    ps aux                          //查看进程信息
    ps -e                           

    find / -name ping       //在根目录开始查找文件名为ping的文件

    grep -r 'hello*' /tmp   //在/tmp目录中查找包含'hello'字符的文件,-r表示包含子目录

    top
    top -l 1 | head -n 10 | grep PhysMem  //显示系统内存使用情况
    
    tcpdump -i en0 src host 192.168.1.137
    tcpdump -i en0 dst host 192.168.1.137
    tcpdump -w /tmp/ssh.cap -i en0 tcp port 22 and dst host 192.168.1.137
    tcpdump -w /tmp/ssh.cap -i en0 -t -s 0 -c 100 tcp port ! 22 and dst host 192.168.1.137
      解释:
     (1)-w /tmp/ssh.cap : 保存成cap文件，方便用ethereal(即wireshark)分析
     (2)-i en0 : 只抓经过接口en0的包
     (3)-t : 不显示时间戳
     (4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
     (5)-c 100 : 只抓取100个数据包
     (6) tcp port ! 22  : 不抓tcp端口22的数据包
     (7) dst port ! 22 : 不抓取目标端口是22的数据包
     (8)dst host 192.168.1.137 : 抓取目标地址为192.168.1.137的包
     (9)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24

3.iOS文件系统结构

可视化方式常看iOS系统文件
==在iOS通过Cydia安装Apple File Conduit 2，在OS X使用iFunBox可以查看iOS系统文件(iOS和OS X需要在通一个局域网内)==
通过SSH远程登录iOS来查看

Filesystem Hierarchy Standard 文件系统层次化标准（以下简称FHS）
==FHS为类UNIX操作系统的文件目录结构制定了一套标准，目的是让用户预知文件或目录的存放位置。UNIX操作系统的常见目录结构如下所示。==

   /：根目录，以斜杠表示，其他所有文件和目录在根目录下展开。

   /bin："binary"的简写，存放提供用户级基础功能的二进制文件，如ls、ps等。

   /boot：存放能使系统成功启动的所有文件。iOS中此目录为空。

   /dev："device"的简写，存放BSD设备文件。每个文件代表系统的一个块设备或字符设备，一般来说，“块设备”以块为单位传输数据，如硬盘；而“字符设备”以字符为单位传输数据，如调制解调器。

   /sbin："system binaries"的简写，存放提供系统级基础功能的二进制文件，如netstat、reboot等。

   /etc："Et Cetera"的简写，存放系统脚本及配置文件，如passwd、hosts等。在iOS中，/etc是一个符号链接，实际指向/private/etc。

   /lib：存放系统库文件、内核模块及设备驱动等。iOS中此目录为空。

   /mnt："mount"的简写，存放临时的文件系统挂载点。iOS中此目录为空。

   /private：存放两个目录，分别是/private/etc和/private/var。

   /tmp：临时目录。在iOS中，/tmp是一个符号链接，实际指向/private/var/tmp。

   /usr：包含了大多数用户工具和程序。/usr/bin包含那些/bin和/sbin中未出现的基础功能，如nm、killall等；/usr/include包含所有的标准C头文件；/usr/lib存放库文件。

  /var："variable"的简写，存放一些经常更改的文件，比如日志、用户数据、临时文件等。其中/var/mobile和/var/root分别存放了mobile用户和root用户的文件，是重点关注的目录。

UNIX系统文件权限简介（UNIX一切皆文件：读写普通文件、目录、设备、socket、管道、CPU信息、进程信息等）

系统用3位（bit）来表示文件的权限，从高位到低位分别是r（read）权限、w（write）权限，以及x（execute）权限。文件与用户的关系存在以下三种可能性：
此用户是属主用户(文件所有者的权限)
此用户不是属主用户，但在属主组里(组用户权限)
此用户既不是属主用户，又不在属主组里(Other用户权限)

```
1111 1111  = 2^0*1 + 2^1*1 + 2^2*1 + 2^3*1 + ...+2^7*1 = 2^8 - 1 

8421
1111  = 8+4+2+1 = 15
1011  = 8+2+1 = 11

rwx      r-x    r--
111      101    100 
所有者   属组   其他

用3*3位来表示一个文件的权限，如果某一位为1，则这一位代表的权限生效，否则无效。例如，111101101代表rwxr-xr-x，即该文件的属主用户拥有r、w、x权限，而属主组和其他所有人只具有r和x权限；同时，二进制的111101101转换成十六进制是755，也是一种常见的权限表示法。

可以使用chmod 命令修改文件权限，如 chmod  755  filename


* iOS的独有目录
  ```
      /Applications：存放所有的系统App和来自于Cydia的App，但不包括StoreApp。

      /Developer：如果一台设备连接Xcode后被指定为调试用机，Xcode就会在iOS中生成这个目录，其中会含有一些调试需要的工具和数据。

      /Library：存放一些提供系统支持的数据。其中/Library/MobileSubstrate下存放了所有基于CydiaSubstrate（原名MobileSubstrate）的插件（如：tweak编写的插件）。

      /System/Library：iOS文件系统中最重要的目录之一，存放大量系统组件。

      /System/Library/Frameworks和/System/Library/PrivateFrameworks：存放iOS中的各种framework

      /System/Library/CoreServices里的SpringBoard.app：iOS桌面管理器（类似于Windows里的explorer），是用户与系统交流的最重要中介。

      /User：用户目录（其实就是mobile用户的home目录），实际指向/var/mobile，这个目录里存放大量用户数据，比如：

      /var/mobile/Media/DCIM下存放照片；

      /var/mobile/Media/Recordings下存放录音文件；

      /var/mobile/Library/SMS下存放短信数据库；

      /var/mobile/Library/Mail下存放邮件数据。
      
      /var/mobile/Containers，存放StoreApp。值得注意的是，App的可执行文件在bundle与App中的数据目录被分别存放在/var/mobile/Containers/Bundle和/var/mobile/Containers/Data这两个不同目录下。其中/var/mobile/Containers/Data是我们常用的应用沙盒目录的起始目录：NSString *directory = NSHomeDirectory(); //获取沙盒根目录

  ```


* iOS应用（Store App）沙盒目录：
- Application Bundle  包含应用可执行文件和资源文件

如获取iOS上微信程序的Bundle路径，可以通过ps -e | grep appname
luz-iphone:/ root# ps -e | grep WeChat
1368 ?? 5:41.43 /var/mobile/Containers/Bundle/Application/749DC69A-3A8D-4B5C-9926-1220E69FC85F/WeChat.app/WeChat

 - Application Data  包含App运行生产的数据和配置信息等
    ```
    如获取iOS上微信程序的Date路径，可以通过cycript工具
    luz-iphone:~ root# cycript -p WeChat
    cy# directory = NSHomeDirectory()
    @"/var/mobile/Containers/Data/Application/986376B5-EF08-4CAF-81FB-CAE48D1FE4AE"
    cy#

Date目录结构如下：
```
luz-iphone:/var/mobile/Containers/Data/Application/986376B5-EF08-4CAF-81FB-CAE48D1FE4AE root# ls
Documents/  Library/  tmp/
```

Document 存放应用运行时生成的并且需要保存的数据。注:iTunes或iCloud同步设备时会备份该目录
Library/Caches 存放应用运行时生成的并且需要保存的数据。iTunes或iCloud不同步。
Library/Preferences 存放偏好设置。iOS的偏好设置（settings）应用也会在该目录查找应用的设置信息。NSUserDefaults保存在该目录下。iTunes或iCloud同步设备时备份该目录。
tmp 存放应用运行时所需的临时数据。当某个应用没运行时，iOS系统可能会清除该目录下的文件。但不可依赖这种自动清除机制，应该及时手动清除。

4.Cycript工具介绍（作者:saurik，官网:http://www.cycript.org/）

Cycript是一款脚本语言，可以看作是Objective-JavaScript，它可以帮助我们轻松测试和验证函数效果。
- 在越狱手机中可以通过注入方式在第三方应用中运行
- 也可以用静态库的方式把cycript集成到自己的应用(MonkeyDev，可以给非越狱iOS第三方App写插件，但是权限受沙盒限制)
在越狱手机中安装Cycript
- 在Cydia上搜索Cycript进行安装
- apt-get install cycript
Cycript使用（注入到第三方进程空间）
- 注入Cycript模块到第三方进程
```
 //确认进程名或者进程PID
 luz-iphone:/ root# ps -e | grep WeChat 
```

1368 ?? 6:17.44 /var/mobile/Containers/Bundle/Application/749DC69A-3A8D-4B5C-9926-1220E69FC85F/WeChat.app/WeChat

//打开方式1
luz-iphone:/ root# cycript -p WeChat
cy#

//打开方式2
luz-iphone:/ root# cycript -p 1368
cy#


- 退出cycript
 **Control+D**

- 实战演练

//WeChat  cycript -p WeChat
[[UIApplication sharedApplication] setStatusBarHidden:YES]   //隐藏状态栏
[[UIApplication sharedApplication] setStatusBarHidden:NO]    //显示状态栏

[[[UIAlertView alloc]initWithTitle:@"Tanzhou" message:@"Hello luz" delegate:ni cancelButtonTitle:@"ok" otherButtonTitles:nil, nil] show]            //弹框

[[UIApplication sharedApplication] setApplicationIconBadgeNumber:1000]   //设置badge数字 
[[UIApplication sharedApplication] setApplicationIconBadgeNumber:1]
[[UIApplication sharedApplication] setApplicationIconBadgeNumber:0]
[[UIApplication sharedApplication] setApplicationIconBadgeNumber:0]

//SpringBroad cycript -p SpringBroad
[[SBScreenShotter sharedInstance] saveScreenshot:YES]   截屏，闪光
[[SBScreenShotter sharedInstance] saveScreenshot:NO]   截屏，不闪光
[[SBScreenFlash mainScreenFlasher] flashColor:[UIColor magentaColor] withCompletion:nil] 屏幕闪紫色光


#####  5.逆向的你基本思路
- 正向工程(Forward Engineering)
 抽象的逻辑设计 =>  具体的物理实现        

 设计概念和算法  =>  编写源代码  =>  编译成二进制机器码   

**将想法和设计理念变成具体实现的过程** 

- 逆向工程(Reverse Engineering)
具体的物理实现     =>   抽象的逻辑设计
反编译机器码 => 汇编代码(类似的高级语言代码) => 理解其算法和设计概念

**从二进制码中提取设计概念和算法** 

- 程序的编译和反编译
 高级语言（C/C++/Oc/Java/Python/C#）     -> 中间语言（如：汇编等） -> 目标代码(exe/lib/dll/sys/dylib等二进制文件)
  
  ```
            编译链接   
 高级语言   ------->    机器码   
            <------     机器码  
           反汇编/反编译

        编译链接
高级语言  ===>     机器码  
          <===
        反汇编/反编译

逆向的思路
逆向必须是有目的的、有针对性的(明确你要做的事情)
先熟悉你要逆向的目标程序，从正向的思路去猜测他可能的实现方法（使用的框架、调用的系统API等）
定位关键代码
- 通过监控UI事件的响应定位关键代码
- 通过监控底层API的调用定位关键代码（如网络访问接口、文件读写接口等）
- 通过观察数据的变化来定位关键代码和地址

逆向是一个试错的过程，需要不停的猜测、查找和进行验证，既考验耐心也考验动手能力