安全攻防下 (31)

名称混淆

1. 混淆要求: 业务开发 -> 没有问题
   1. 但是业务上线 -> 名称混淆
2. 逆向分析-> 入口 -> 从方法名/类名分析 -> 怎么隐藏?
3. 用宏定义隐藏 -> .pch文件
   1. 建立pch文件, 如果项目中没有的话
   2. build setting -> prefix header -> 设置pch
   3. image.png
   4. 这样写的好处, 代码完全不用变

   5. 这时给断点, 查看函数栈
      image.png
   6. 这时如果别人逆向你, 恢复符号跟没恢复一样, 让人头大
      1. 有关Swift -> 就比较好, 自带混淆, 因为有类前缀
   7. pch的好处 -> 轻量级, 对项目的污染度低(针对OC)
      1. 只能干掉自定义的方法名/函数
      2. 建议核心的类名 和 方法名可以使用
      3. 扩展: 写个脚本, 或者写一个算法, 让每次编译都不一样

扩展

可能导致上不了线的操作

1. 大量的流程的混淆
   1. LLVM -> 会把冗余的代码干掉
   2. 混淆有可能产生大量的冗余代码

字符串常量的隐藏

1. EncryptionTools -> 一个简单的加密工具
2. 这时候破解者只要断你的CCCrypt函数就能拿到你的Key
3. 查看汇编
   1. adrp -> 在某页取数据
4. 如果说本地一定要有字符串常量怎么隐藏?
   1. 全局函数 -> 没有符号
   2. image.png
   3. 目的 -> 在静态分析的时候找不到我们的Key字符串

   4. 但是这样如果找到函数地址, 字符串还是很明显
      image.png

   5. 这时候可以来一个简单的疑惑算法来隐藏
      image.png
   6. 上面的简单算法生成的字符串, 不会进入常量区, 别人看汇编也就看不到这个字符串.

ptrace防护fashhook

1. 打符号断点, 拿到ptrace所属的库
   1. image.png
2. 拿到库路径
   1. image list
   2. image.png
3. #import
4. image.png
5. 这种通过dlopen懒加载的, 我们fishhook写的hook代码就失效了(通过间接符号表的hook)
   1. 再用fishhook来hook -> ptrace之前, 已经查看懒加载符号表, 看里面有没有ptrace的符号, 如果没有则肯定hook失败
   2. 这里有点坑啊, dlopen的写法, 好像过不了审吧 (要查资料验证一下)
6. 但是通过hopper查看macho -> 全局搜ptrace还是能很快定位
7. 这时候我们上面讲的字符串隐藏就可以起到作用隐藏ptrace字符串
8. 此时, 工程用hopper打开, 全局搜ptrace也搜不到

怎么破解上面的防护呢?

1. 符号断点, 确实能断到ptrace, 但是就是找不到, 这时候就考虑别人有可能做了防护

2. 这时候看符号断点, 通过函数调用栈找到调用者
   

   1.
   image.png
3. 1028f5e34
   1. image list -> 拿到首地址
   2. 相减 -> 5E34

   3. 用这个地址去hopper打开的文件中搜就能找到关键函数
      

      4.
      image.png
   4. 修改汇编源码比如把 cbz改为b -> 就不会走5E34的汇编代码, 就绕过了ptrace

再套娃, 如何防护

1. 打开strip, 脱去所有不必要的符号
2. 这样别人就不好找了
3. 其实只是增加了别人找的难度, 这里的重点是怎么隐藏符号断点让别人断不到

隐藏符号断点

1. #import
2. syscall(26,31,0.0) -> 这个方法等同于ptrace
3. 自己查下该函数
4. 这里是隐藏了其他的符号断点, 但是syscall的符号断点又暴露了, 感觉是个套娃
5. 怎么办, 这里给个建议, 可以写汇编代码来代替syscall
6. 当然也可以写ptrace的汇编
7. 平时的防护检测后, 用的exit(0)的汇编
8. 这里注意32位和64位
9. 这种其实叫软中断, 怎么破解 -> 全局搜svc