如果你目前还做不了巨人,那么就去思考如何优雅的站在巨人肩膀上。
第一章:工具篇
1.1 Mach-O操作工具
1.1.1 otool
Xcode自带的查看macho文件结构信息工具,类似Windows上的PE文件信息查看工具,不过这个是命令行的,直接在控制台输入otool就可以打印支持参数,如下图所示
一般我们常用的不多,例如打印加载的动态库可以输入otool -L testiOS 输出如下:
当然也可以使用otool工具查看目标Macho是否支持Bitcode
对于静态库而言
otool -l xxxx.a | grep __bitcode | wc -l
输出是个数字的话则说明是支持bitcode的文件数
对于mach-o文件则是
otool -l xxxx | grep __LLVM | wc –l
1.1.2 MachoView
一款查看二进制的信息的可视化工具,相对otool来说查看更方便,而且不仅可以查看还可以修改Macho,例如我们可以将armv7的aslr去掉的话只要修改Mach Header里面MH_PIE 00200000->00000000 修改之后MachoView就会显示红色command+S保存后就生效了。
1.1.3 class-dump
一款可以将二进制里面的OC类的头文件信息导出,这样可以帮助我们进行逆向分析。例如我们对testiOS这个Macho文件执行导出头文件如下图4:
在执行class-dump -s -S -H testiOS -o ~/Desktop/headers 后生成的ViewController.h里面基本上就是原始类声明。
1.1.4 optool
一款给Mahco注入动态库的工具,类似的还有insert_dylib等,此工具操作相对方便一点,详细参数请查看下图5,在我们写好tweak(后面会介绍怎么写tweak)之后,我们需要借助此类工具将其注入到目标MachO里面。
使用说明如下:
执行如下命令将GamePlugin.framework动态库(假设是我们写好的tweak)注入到testiOS,如图6:
optool install -c weak -p "@executable_path/Frameworks/GamePlugin.framework/GamePlugin"-t testiOS
并将GamePlugin.framework拷贝到testiOS同一级目录的Frameworks目录(没有的话就手动创建)
1.1.6 restore-symbol
iOS应用在上线前都会裁去符号表,以避免被逆向分析,
恢复后方便动态调试符号化堆栈。
1.1.7 dumpdecrypted
iOS应用上架到AppStore上都会被苹果加上一层官方壳,所以直接从AppStore上拿到的iPA需要先脱壳后才方便进行后续的静态分析,砸壳具体操作方法如下:
1).先将dumpdecrypted.dylib拷进对应目标App的沙盒目录(这里可以使用scp、或者直接借助爱思助手或者pp助手类似的工具)
2).ssh之后cd到目标App的沙盒目录后执行以下命令:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib/var/mobile/Containers/Bundle/Application/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/iOSTest.app/iOSTest
上面可执行程序的完整路径可以通过爱思助手等工具查看:
1.1.8 frida-iOS-dump
这个工具是利用frida+
dumpdecrypted完成砸壳自动化。
https://github.com/AloneMonkey/frida-ios-dump这里面有详细介绍。
1.1.9 CrackerXI+
也是一个脱壳工具,谁用谁知道,有时候知道脱壳原理之后,使用此工具更佳方便。
1.2、静态分析工具
1.2.1 Hopper Disassembler
一款静态分析工具,目前只支持MacOS,特点是加载快,交互性等其它功能还是欠缺一点,汇编修改功能还可以,作者经常用来快速查看和简单修改。
例如已经发现某个类的方法就是判断是否是Vip,并且方法的返回值为BOOL时,我们可以直接按如下修改:
然后保存生成新的Macho文件即可
1.2.2 IDA
iDA一直以来都是安全人员的标配工具,因为它支持Windows、MacOS、Linux三平台,而且还支持很多的cpu架构指令,关键的关键就是交互性很好,你可以自定义。官网也有免费版的。
1.3、动态调试工具
1.3.1. debugeserver
一步一步用debugserver + lldb代替gdb进行动态调试 http://iosre.com/t/debugserver-lldb-gdb/65
1.3.2 lldb插件
1.xia0LLDB //增强lldb的python命令,支持:
choose 通过类名返回类名内存地址。
sbt bt的增强版可以符号化堆栈,这个还是蛮有用。
ivars 可以查看类的成员变量。
详细的请在下面的github地址查看介绍:
https://github.com/4ch12dy/xia0LLDB
2.chisel //增强lldb的python命令
这是facebook的一个开源项目也是lldb的python插件使用很方便具体详情请查看下面的github介绍
https://github.com/facebook/chisel
1.3.2 cycript
这个工具一般用来动态调试的时候注入相应代码进行测试功能用的。
1.3.3 Reveal
一款动态查看UI层次的工具。可以快速从UI定位核心业务代码位置用。
1.4、静态Patch&&Hook工具
1.4.1 MonkeyDev
方便越狱开发,封装了theos,支持<反调试、方法跟踪、Xcode调试等功能>
https://github.com/AloneMonkey/MonkeyDev
1.4.1 codesign、ldid
codesign、ldid
1.5、网络抓包工具
1.5.1 charles、Fiddler
常见的HTTP/HTTPS抓包可以用
1.5.2 rvictl+
TCP底层抓包可以用rvictl+wireshark或者tcpdump
1.6、其他辅助工具
1.6.1 控制台(MacOS)
可以很方便查看Mac App或者iOS
App的输出log信息/Applications/Utilities/Console.app