加壳脱壳(04)

1.什么是脱壳?

• 摘掉壳程序，将未加密的可执行文件还原出来(有些人也称为“砸壳”)
• 脱壳主要有2种方法:硬脱壳、动态脱壳

截屏2021-03-09 下午12.41.17.png

2.iOS中的脱壳工具

• Clutch
• dumpdecrypted
• 我使用frida-ios-dump (因为我使用上面两种会出现问题。选用的是python3.9版本(尝试使用系统的python出现了问题，系统的有很多个版本)，通过brew下载的python3.9,通过bash_profile确定使用哪个python3.9版本，以及pip3.9)。经过一些列的操作，最终解决了问题[泪]...。

3.如何验证可执行文件是否已经脱壳?

1. 查看Load Commands ->LC_ENCRYPTION_INFO -> Crypt ID的值，0代表未加密
2. 通过otool命令行也可以:otool -l <可执行文件路径> | grep crypt

4. Clutch - 配置

1. 下载最新的Release版
   
   截屏2021-03-09 下午12.49.20.png
2. 建议去掉版本号，改名为Clutch
3. 将Clutch文件拷贝到iPhone的/usr/bin目录

截屏2021-03-09 下午12.50.01.png

4.如果在iPhone上执行Clutch指令，权限不够，赋予“可执行的权限”

截屏2021-03-09 下午12.51.07.png

5. Clutch – 使用

截屏2021-03-09 下午12.51.41.png

6.dumpdecrypted

• 下载源代码，然后在源代码目录执行make指令进行编译，获得dylib动态库文件

• 将dylib文件拷贝到iPhone上(如果是root用户，建议放/var/root)
  目录)
• 终端进入dylib所在的目录
• 使用环境变量DYLD_INSERT_LIBRARIES将dylib注入到需要脱壳的可执行文件(可执行文件路径可以通过ps -A查看获取)
  DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件路径

截屏2021-03-09 下午12.58.21.png

• .decrypted文件就是脱壳后的可执行文

截屏2021-03-09 下午12.59.40.png

dumdecrypted – 细节

• 在使用过程中，可能会遇到以下错误

截屏2021-03-09 下午1.01.40.png

• 原因:对dylib所在的文件夹权限不够
• 解决方案:将dylib放在用户所在文件夹，比如
  如果是root用户，请将dylib放在/var/root目录
  如果是mobile用户，请将dylib放在/var/mobile目录

frida-ios-dump的使用

1. Install frida on device
2. sudo pip install -r requirements.txt --upgrade
3. Run usbmuxd/iproxy SSH forwarding over USB (Default 2222 -> 22). e.g. iproxy 2222 22
4. Run ./dump.py Display name or Bundle identifier

For SSH/SCP make sure you have your public key added to the target device's ~/.ssh/authorized_keys file.

有多个python的话需要制定一个在bash_profile取一个别名alias,否则可能出现问题，不用了可以删掉

alias python=/usr/local/bin/python3.9
alias pip=/usr/local/bin/pip3.9

frida执行脱壳是python运行的

lixueliang@lixueliangdeMacBook-Pro frida-ios-dump % python ./dump.py  `Display name` or `Bundle identifier`