iOS11.0~12.1.2系统砸壳探究

Qinz

1.1 为什么说不必关系的是采用了何种加密技术呢?这就要了解下iOS应用运行的原理，如下图：

iOS运行原理
1.2 如上图，在APP启动的时候操作系统会将应用进行脱壳，因为加壳的应用编译的机器码CPU是不认识的，所以在dyld加载MachO文件的时候，就可以将其从内存中脱壳出来，关于dyld加载MachO文件的分析可见这篇文章。

注意：高系统手机越狱有风险，由于本教程导致成为白苹果本人概不负责，不建议用常用手机越狱。

2.1 用Safari浏览器打开app.ignition.fun，找到Jailbreaks下的Unc0ver -new beta进行安装，启动unc0ver软件，界面如下：

uo
2.2 我这里是已经越狱，系统为12.1.2。没有越狱的这里会显示Jaikbreak,重启三次，每次重启点击Jaikbreak。此时桌面会出现Cydia,第一次打开需要VPN，否则后面就打开Cydia就会一直显示空白。最终Cydia如图:

Cydia
2.3 安装必备插件APP File Conduit (获取root权限)及APPSync Unified(免签名)，这里APP File Conduit可以正常安装，APPSync Unified需要添https://cydia.angelxwind.net/源才能适配最新的12系统，安装完如下：

插件安装
2.4 安装后我们用iFunBox可以查看到root权限已经获取，如下图:

获取root权限

说明：前提是通过Cydia安装好OpenSSH插件，ssh root@手机wifi地址。

说明:这里采用了端口映射，可使用下面命令进行安装端口映射插件。然后执行iProxy 12345 22即可以将本地的12345端口号映射到USB的默认22号端口，127.0.0.1为本地默认网卡地址。

brew install libimobiledevice

chmod +x Clutch

4.3 通过Clutch -i即列出可以砸壳的应用，然后Clutch -d加上应用ID即可砸壳应用(完美越狱手机没问题)。接下来我们运行Clutch命令，演示如下：

Clutch命令执行失败
4.4 我们发现在不完美越狱的iOS12系统上，Clutch不可用了。

5.1 dumpdecrypted下载地址，下载后执行make命令生成动态库dumpdecrypted.dylib包，然后用scp拷贝进手机目录，操作和4.1步骤类似，只不过这里的路径放置不一样而已。
5.2 执行"DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib可执行文件的路径"，最终依然得到的是"Killed:9",我们发现在不完美越狱的iOS12系统上，dumpdecrypted也不好使了。

sudo -H pip install frida-tools

我是Qinz,希望我的文章对你有帮助。