iOS逆向-脱壳工具Clutch

安装

1. Release版本：https://github.com/KJCracks/Clutch/releases
2. 下载后文件名为Clutch-x.x.x，把后面版本号去掉，改为Clutch
3. 将Clutch文件拷贝到iPhone的/usr/bin目录
4. 如果在iPhone上执行Clutch指令，权限不够，赋予“可执行的权限”

~root# chmod +x /usr/bin/Clutch

使用

• 列出已安装的APP：Clutch -i

iPhone5s:~ root# Clutch -i
Installed apps:
1:   抖音短视频 
2:   微信 
3:   爱思加强版 

• 输入APP序号或者Bundle Id进行脱壳操作：Clutch -d APP序号或BundleId

Clutch -d 2  或  Clutch -d com.tencent.xin//微信

• 脱壳成功后会生成一个ipa文件

验证可执行文件是否脱壳

方法一：使用MachOView查看Load Commands -> LC_ENCRYPTION_INFO -> Crypt ID的值，0代表未加密

MachOView

方法二：通过otool命令行也可以：otool -l 可执行文件路径 | grep crypt

mac$ otool -l Aweme | grep crypt
cryptoff 16384
cryptsize 44498944
cryptid 0