iOS脱壳

加壳

App Store会对ipa包进行加壳操作。

加壳：利用特殊的算法，对可执行文件的编码进行改变（比如压缩、加密），以达到保护程序代码的目的

脱壳

摘掉壳程序，将未加密的可执行文件还原出来（有些人也称为“砸壳”）

脱壳主要有2种方法：硬脱壳、动态脱壳

硬脱壳：直接执行解密算法，获取未加密可执行文件

动态脱壳：将程序执行起来，在内存中导出未加密可执行文件

脱壳工具

Clutch：https://github.com/KJCracks/Clutch

dumpdecrypted：https://github.com/stefanesser/dumpdecrypted/

pAppCrackr

Crackulous

CrackerXI

frida-iOS-dump

脱壳验证

• 查看Load Commands -> LC_ENCRYPTION_INFO -> Crypt ID的值，0代表未加密
• 通过otool命令行也可以：otool -l 可执行文件路径 | grep crypt

Clutch 脱壳

下载最新的Release版： https://github.com/KJCracks/Clutch/releases

将Clutch文件拷贝到iPhone的/usr/bin目录

如果在iPhone上执行Clutch指令，权限不够，赋予“可执行的权限，chmod +x /usr/bin/Clutch

列出已安装APP：

Clutch -i

输入APP序号或者Bundle Id进行脱壳操作：

Clutch -d APP序号或BundleId

脱壳成功后会生成一个ipa文件

dumpdecrypted脱壳

1、下载源代码，然后在源代码目录执行make指令进行编译，获得dylib动态库文件

2、将dylib文件拷贝到iPhone上（如果是root用户，建议放/var/root目录）

3、终端进入dylib所在的目录

4、使用环境变量DYLD_INSERT_LIBRARIES将dylib注入到需要脱壳的可执行文件（可执行文件路径可以通过ps -A查看获取）

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件路径

5、.decrypted文件就是脱壳后的可执行文件

CrackerXI 脱壳

1、在cydia中添加 源地址 http://cydia.iphonecake.com 或者 http://apt.cydiami.com

2、在cydia中搜索CrackerXI+并安装

3、打开CrackerXI+，在settings中设置CrackerXI Hook为enable

4、设置完CrackerXI+，查看列表中是否有需要被砸壳的目的app，如果有的话，选择它进行砸壳。

5、砸壳步骤根据CrackerXI+提示，一直选择yes即可