iOS逆向与安全9.1：越狱调试

Reveal

Reveal是一款UI调试神器，对iOS开发非常有帮助。尤其是越狱调试，能让越狱开发如虎添翼。

安装Reveal

• mac电脑安装 下载安装包安装
• 手机安装
  安装reveal Loader插件
  有设置项，在reveal Loader中查看就好

环境配置

• 导入dylib文件
  由于新版本的Reveal只有Framework文件，所以需要修改Framework的可执行文件为dylib库

• 找到相关库

  
  
  

  image.png

• 在手机的/Library 目录下新建目录 $mkdir RHRevealLoader

• 将电脑中的可执行库（RevealServer）拷贝到iPhone目录中

$scp -r –P 12345 RevealServer [root@localhost:/Library/RHRevealLoader/libReveal.dylib](mailto:root@localhost:/Library/RHRevealLoader/libReveal.dylib)

• 重启手机(早期版本的Reveal不支持USB连接，必须让手机和Mac保持统一局域网)

image.png

手机app切换界面 需要手动在电脑端Reveal刷新界面

debugserver

Xcode中的lldb可以调试手机中的应用，是因为手机中的debugserver开启的相关服务。所以在越狱环境中，我们只需要开启debugserver服务就可以利用LLDB远程调试三方应用了。

LLDB配合debugserver调试app示例

LLDB 指令是发给debugserver来进行调试的

Mac中的debugserver在/APPlication/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport/ 中可以看到对应不同iOS系统版本的镜像文件

Mac中的debugserver

• 打开dmg文件，进入usr/bin目录可以看到debugserver。这就是xcode安装到真机中的文件。

  
  
  

  debugserver文件目录

手机中的debugserver

Developer/usr/bin 目录下

Developer/usr/bin/debugserver

debugserver的使用

mac中的lldb连接手机debugserver，来调试手机的app

• usb连接手机

• 进入debugserver目录

  
  
  
  
  

  查看debugserver

  
  
  

  image.png

一般配置了bin环境变量，在任何地点都可以使用

• iPhone中开启debugserver服务。

$debugserver  主机地址:端口号 –a  应用进程

debugserver xxxx.xxx.xxx:12345 - a Wechat

1.由于主机地址是当前手机，可以使用*代替
2.端口号：启动server服务，开放端口，让远程的LLDB通过sever调试进程

image.png

• 启动LLDB

$lldb

image.png

• 连接debugserve

(lldb)process connect connect://手机IP:服务端口号
process connect connect://192.168.3.126:12345 

连接成功

可用image list查看app 加载库

• 退出

$ exit

debugserver的权限

debugserver拷贝到手机时，先设置权限

• debugserver设置权限
  先从debugserver导出debugserver.entitlements文件

ldid -e debugserver >  debugserver.entitlements

• 给权限文件debugserver.entitlements添加字段

task_for_pid-allow 值为YES 
get-task-allow 值为YES

添加权限

写入debugserver.entitlements到debugserver中

ldid -Sdebugserver.entitlements  debugserver

/usr/bin

usb连接debugserver

• 端口映射

image.png

• 连接usb

  
  
  

• ssh usb连接手机

image.png

• iPhone中开启debugserver服务。

  
  
  

  image.png

• Mac 开启lldb

• 连接debugserve

  
  
  

  image.png

连接debugserve成功

连接成功后app被断住
输入c指令，继续
继续后不支持lldb指令，需要重新进入断点状态才能执行lldb指令

• 进入断点状态

process interrupt

进入断点状态

然后配合Reveal调试界面，可超神
注意在使用Reveal，lldb中不能处于断点状态，断点状态下获取不到界面

Class-dump

Class-dump是一个命令行工具，它通过查找MachO文件的相关段可以导出未经加密的APP的头文件。
在逆向开发中，砸壳之后的第二件事就是使用它导出头文件

安装

• 官网： http://stevenygard.com/projects/class-dump/

• 下载class-dump $ git clone https://github.com/nygard/class-dump 拉下来

• 编译项目，生成命令行工具。直接使用。

• 将命令行工具导入/usr/local/bin/class-dump , 上权限 $sudo chmod +x class-dump

• monkeyDev自带配置Class-dump
  要使用monkeyDev到头文件，需要 class-dump设置选项为YES，会在项目文件目录下生成头文件目录

  
  
  

  image.png

安装

命令格式:

• 单一架构

$class-dump –H  MachO文件  -o 头文件输出存放目录
class-dump –H  Wechat -o ./wechat

• 多种架构

加上- - arch 架构 如arm64：
$class-dump  --arch arm64 –H MachO文件 –o 头文件输出存放目录

撸一个命令行工具

可执行文件

#import 

NSString *const str = @"123";

int main(int argc, char * argv[]) {
    if (argv[0]) {
        NSLog(@"%s",argv[0]);
    }
    if (argv[1]) {
        NSLog(@"%s",argv[1]);
    }
    if (argv[2]) {
        NSLog(@"%s",argv[2]);
    }
    if (argv[3]) {
        NSLog(@"%s",argv[3]);
    }
    
    NSLog(@"这是一个命令行工%@具",str);
    return 0;
}

编译完成后找到可执行文件，即可运行

总结

image.png