iOS 逆向开发24：砸壳

iOS 逆向开发 文章汇总

目录

• 一、砸壳
• 二、Clutch
• 三、dumpdecrypted
• 四、向进程中插入动态库
• 五、frida-iOS-dump
• 补充命令

注意：Clutch、dumpdecrypted适用于完美越狱手机，frida-iOS-dump可用于非完美越狱手机

一、砸壳

软件脱壳，顾名思义，就是对软件加壳的逆操作，把软件上存在的壳去掉（解密）。

• 应用加壳（加密）
    提交给Appstore发布的App，都经过官方保护而加密，这样可以保证机器上跑的应用是苹果审核过的，也可以管理软件授权。经过App Store加密的应用，我们无法通过Hopper等反编译静态分析，也无法Class-Dump，在逆向分析过程中需要对加密的二进制文件进行解密才可以进行静态分析，这一过程就是大家熟知的砸壳（脱壳）

• 应用砸壳（解密）
  静态砸壳
    静态砸壳就是在已经掌握和了解到了壳应用的加密算法和逻辑后在不运行壳应用程序的前提下将壳应用程序进行解密处理。静态脱壳的方法难度大，而且加密方发现应用被破解后就可能会改用更加高级和复杂的加密技术
  
  动态砸壳
    动态砸壳就是从运行在进程内存空间中的可执行程序映像(image)入手，将内存中的内容进行转储(dump)处理来实现脱壳处理。这种方法实现起来相对简单，且不必关心使用的是何种加密技术。

iOS应用运行原理

二、Clutch

Clutch是由KJCracks开发的一款开源砸壳工具。工具支持iPhone、iPod Touch、iPad，该工具需要使用iOS8.0以上的越狱手机应用。

Clutch安装

官网： https://github.com/KJCracks/Clutch

Clutch使用

三、dumpdecrypted

Github开源工具。 dumpdecrypted这个工具就是通过建立一个名为dumpdecrypted.dylib的动态库，插入目标应用实现脱壳。

安装
官网 ：https://github.com/stefanesser/dumpdecrypted 直接Git Clone

四、向进程中插入动态库

• 创建InsertDemo项目并添加一个Inject Framework

• 将Inject.framework拷贝到Temp文件夹，参照上篇文章通过USB链接到手机

• 将Inject.framework拷贝到手机

cd Temp
scp -r -P 12345 Inject.framework root@localhost:/var/root

// 切到连接手机的终端界面
// 查看Inject.framework是否拷贝到手机
ls

• 找到InsertDemo的路径
  ps -A | grep InsertDemo

• 将Inject.framework插入到InsertDemo中
  iOS9.1以后插入framework需要在mobile用户角色操作，否则会出现Killed:9错误

//su mobile

DYLD_INSERT_LIBRARIES=Inject.framework/Inject /var/containers/Bundle/Application/7E8BE0F1-818A-4163-BD32-3D06AD600EB9/InsertDemo.app/InsertDemo

注意：非自己的APP如微信等通过以上方法不能插入。 dumpdecrypted这个工具就是通过这种原理进行砸壳的。

五、frida-iOS-dump

该工具基于frida提供的强大功能通过注入js实现内存dump然后通过python自动拷贝到电脑生成ipa文件。

安装frida

sudo git clone https://github.com/AloneMonkey/frida-ios-dump
sudo pip install -r /opt/dump/frida-ios-dump/requirements.txt --upgrade

// 查看Mac进程
frida-ps

// 查看手机进程
frida-ps -U

// 进入微信调试界面
frida -U 微信

frida-iOS 官方文档

从frida-ios-dump官网可以看到：
Run usbmuxd/iproxy SSH forwarding over USB (Default 2222 -> 22). e.g. iproxy 2222 22
因此通过USB连接需要映射的端口为2222，或者可以修改dump.py中将映射的端口修改之前的12345。这里选择修改dump.py文件。

使用dump.py砸壳

// USB连接手机----usbConnect.sh
cd /opt/python-client
python tcprelay.py -t 22:12345

// 砸壳-需打开微信
cd /Users/ztkj/Desktop/Temp
dump.py 微信

// 获取头文件 - 解压缩ipa包并将MachO文件拖出来 （路径中不能有中文）
class-dump -H WeChat -o WeChatHeaders/

注意：1、dump.py中User、Password、Host、Port必须和USB链接手机时的一致。
   2、由于/opt/MonkeyDev/bin/中有dump.py和dump.js文件并且配置了相应的环境变量，因此dump.py命令可以在任意目录执行。
   3、dump微信时，微信必须在运行状态。

补充命令

• 显示当前命令的路径
  pwd

• 清除终端连接手机时终端中的内容(Command + K)
  clear，如果没有这个命令，可使用Cydia安装adv-cmds插件

• 删除文件
  rm -r 文件名

• 移动文件
  mv 文件 目标路径

• 查看命令文件的路径
  which dump.py

• 查看可执行文件是否加密
  otool -l WeChat | grep crypt

cryptid 为0 表示为加密，已被砸壳了。