加壳脱壳(04)

1.什么是脱壳?

  • 摘掉壳程序,将未加密的可执行文件还原出来(有些人也称为“砸壳”)
  • 脱壳主要有2种方法:硬脱壳、动态脱壳
截屏2021-03-09 下午12.41.17.png

2.iOS中的脱壳工具

  • Clutch
  • dumpdecrypted
  • 我使用frida-ios-dump (因为我使用上面两种会出现问题。选用的是python3.9版本(尝试使用系统的python出现了问题,系统的有很多个版本),通过brew下载的python3.9,通过bash_profile确定使用哪个python3.9版本,以及pip3.9)。经过一些列的操作,最终解决了问题[泪]...。

3.如何验证可执行文件是否已经脱壳?

  1. 查看Load Commands ->LC_ENCRYPTION_INFO -> Crypt ID的值,0代表未加密
  2. 通过otool命令行也可以:otool -l <可执行文件路径> | grep crypt

4. Clutch - 配置

  1. 下载最新的Release版
    截屏2021-03-09 下午12.49.20.png
  2. 建议去掉版本号,改名为Clutch
  3. 将Clutch文件拷贝到iPhone的/usr/bin目录
截屏2021-03-09 下午12.50.01.png

4.如果在iPhone上执行Clutch指令,权限不够,赋予“可执行的权限”

截屏2021-03-09 下午12.51.07.png

5. Clutch – 使用

截屏2021-03-09 下午12.51.41.png

6.dumpdecrypted

  • 下载源代码,然后在源代码目录执行make指令进行编译,获得dylib动态库文件
  • 将dylib文件拷贝到iPhone上(如果是root用户,建议放/var/root)
    目录)
  • 终端进入dylib所在的目录
  • 使用环境变量DYLD_INSERT_LIBRARIES将dylib注入到需要脱壳的可执行文件(可执行文件路径可以通过ps -A查看获取)
    DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件路径
截屏2021-03-09 下午12.58.21.png
  • .decrypted文件就是脱壳后的可执行文
截屏2021-03-09 下午12.59.40.png
dumdecrypted – 细节
  • 在使用过程中,可能会遇到以下错误
截屏2021-03-09 下午1.01.40.png
  • 原因:对dylib所在的文件夹权限不够
  • 解决方案:将dylib放在用户所在文件夹,比如
    如果是root用户,请将dylib放在/var/root目录
    如果是mobile用户,请将dylib放在/var/mobile目录

frida-ios-dump的使用

  1. Install frida on device
  2. sudo pip install -r requirements.txt --upgrade
  3. Run usbmuxd/iproxy SSH forwarding over USB (Default 2222 -> 22). e.g. iproxy 2222 22
  4. Run ./dump.py Display name or Bundle identifier

For SSH/SCP make sure you have your public key added to the target device's ~/.ssh/authorized_keys file.

有多个python的话需要制定一个在bash_profile取一个别名alias,否则可能出现问题,不用了可以删掉

alias python=/usr/local/bin/python3.9
alias pip=/usr/local/bin/pip3.9

frida执行脱壳是python运行的

lixueliang@lixueliangdeMacBook-Pro frida-ios-dump % python ./dump.py  `Display name` or `Bundle identifier`

你可能感兴趣的:(加壳脱壳(04))