011——逆向之恢复Block符号表

准备工作

我们需要下载工具

• restore-symbol
• ida 在我的逆向学习准备工作中有分享

将下载好的微信ipa包解压打开，显示包内容打开WeChat.app 将里面的WeChat可执行文件复制出来

恢复方法符号表

上篇文章已经详细的介绍了如何恢复方法符号表，在这简单说下指令

cd 进restore-symbol可执行文件所在的文件夹

//看微信的架构
$lipo -info WeChat

/分离出一个arm64架构的包
$lipo WeChat -thin arm64 -output Wechat_arm64

//恢复微信的方法的符号表
$./restore-symbol Wechat_arm64 -o WeiChat

因为恢复符号表只能单架构恢复，所有需要先分离架构在恢复符号表，执行上述命令就可以生成一个新的WeiChat的可执行文件

恢复Block符号表

1.用ipa 打开刚才新生成的WeiChat的可执行文件(需要半小时左右)
2.restore-symbol这个里面有一个ida_search_block.py文件复制出来
3.用ipa执行ipa_search_block.py文件

执行ida_search_block.py

4.用ida执行后生成block_symbol.json文件

image.png

//恢复微信的Block的符号表
./restore-symbol WeiChat -o WeChat_block -j block_symbol.json

新生成的WeChat_block文件就是恢复符号表的可执行文件

恢复好的Block符号表