iOS 越狱代码检测

判断手机越狱的几种方式:

1. 通过手机越狱后增加的越狱文件判断

/// 通过越狱后增加的越狱文件判断
    class func isContainJailBreakFiles() -> Bool {
        let files = [
            "/Applications/Cydia.app",
            "/Applications/limera1n.app",
            "/Applications/greenpois0n.app",
            "/Applications/blackra1n.app",
            "/Applications/blacksn0w.app",
            "/Applications/redsn0w.app",
            "/Applications/Absinthe.app",
            "/Library/MobileSubstrate/MobileSubstrate.dylib",
            "/bin/bash",
            "/usr/sbin/sshd",
            "/etc/apt",
            "/private/var/lib/apt/"
        ]

        for file in files {
            if FileManager.default.fileExists(atPath: file) {
                return true
            }
        }
        return false
    }

2. 根据是否能打开cydia判断

    /// 根据是否能打开cydia判断

    class func canOpenCydia() -> Bool {
        if let url = URL(string: "cydia://") {
            return UIApplication.shared.canOpenURL(url)
        } else {
            return false
        }
    }

3.根据是否能获取所有应用的名称判断,没有越狱的设备是没有读取所有应用名称的权限的

/// 读取应用列表

    class func canGetApplicationList() -> Bool {

        guard FileManager.default.fileExists(atPath: "/User/Applications/") else {
            return false
        }

        do {

            let appList = try FileManager.default.contentsOfDirectory(atPath: "/User/Applications/")
            return !appList.isEmpty
        } catch {
            print("get app list error \(error)")
            return false
        }
    }

4.根据使用stat方法来判断cydia是否存在来判断

攻击者可能会 hook NSFileManager 的方法，那么，你可以回避 NSFileManager，使用 stat 系列函数检测 Cydia 等工具.

bool checkCydia() {

    struct stat stat_info;
    return 0 == stat("/Applications/Cydia.app", &stat_info);
}

攻击者可能会利用 Fishhook 原理 hook 了 stat。
那么，你可以看看 stat 是不是出自系统库，有没有被攻击者换掉

bool checkInject() {
    int ret ;
    Dl_info dylib_info;
    char *dylib_name = "/usr/lib/system/libsystem_kernel.dylib";
    int (*func_stat)(const char *, struct stat *) = stat;
    if ((ret = dladdr(func_stat, &dylib_info))) {
        printf("lib :%s", dylib_info.dli_fname);
        return strcmp(dylib_info.dli_fname, dylib_name) != 0;
    }
    return false;
}

5. 检索一下应用程序是否被链接了异常动态库
通常情况下，会包含越狱机的输出结果会包含字符串：Library/MobileSubstrate/MobileSubstrate.dylib

bool checkDylibs() {
    uint32_t count = _dyld_image_count();
    for (uint32_t i = 0 ; i < count; ++i) {
        if (strcmp(_dyld_get_image_name(i), "Library/MobileSubstrate/MobileSubstrate.dylib") == 0) {
            return true;
        }
    }
    return false;
}

6. 通过检测当前程序运行的环境变量
攻击者可能会给 MobileSubstrate 改名，但是原理都是通过 DYLD_INSERT_LIBRARIES注入动态库。

bool checkEnv() {
    char *env = getenv("DYLD_INSERT_LIBRARIES");
    return env != nil;
}