手把手教你破解苹果商店App Store上的iOS应用

更新：2020年1月19日，加入破解 iOS12.0+系统无法使用 cycript 的解决方案。

前言

废话不多说，直接进正题。
想要破解iOS应用，你需要准备些什么：

1. 一个已越狱的手机。（本文用的是已越狱的5s, 8.1.2）
2. class-dump。点我查看class-dump的配置方法。
3. iFunBox。（安装在电脑端。不是必须，本文拷贝文件用到的是这个）
4. Cycript。（使用cydia安装在手机端）
5. OpenSSH、MTerminal。（使用cydia安装在手机端，点我查看在终端使用ssh连接手机的方法）
6. dumpdecrypted。（用来砸壳，下面有详细介绍）

一 砸壳

这里我们用到的砸壳利器是dumpdecrypted。
1. 制作砸壳工具，即dumpdecrypted.dylib.
1). 从github上clone或下载 dumpdecrypted 源码到本地。下载之后的目录如图（我把默认的目录名”dumpdecrypted-master”改成了”dumpdecrypted”）：

2). 编译源码获得dumpdecrypted.dylib。方法如下：
a.打开终端，进入dumpdecrypted目录。
b.输入命令make。
命令执行完成后会生成一个dumpdecrypted.dylib文件，这个就是砸壳需要用到的工具。这个文件可重复使用，不需要再次生成。如下图：

2. 把砸壳工具拷贝到待破解app的documents目录下。
1)定位可执行文件。使用ssh连接手机，并打印所有进程。为方便准确定位到目标app，最好先关闭所有app，然后打开目标app。（尽量把终端的窗口拉宽一些，因为输出的内容比较长，窗口窄的话内容会截断。）如下图：

3. 使用cycript找到目标app的documents目录路径。
1)输入命令：cycript -p TargetApp进入cycript环境。
2)输入命令：[[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask][0]，获取documents目录路径。如下图：

4. 将dumpdecrypted.dylib拷贝到documents目录下。命令如下：
1)使用快捷键Ctrl-D退出cycript环境。
2)输入命令logout，退出手机连接。
3)使用scp命令拷贝文件至手机，如图：

5. 进行砸壳。
1)连接手机。
2)进入Documents目录。
3)输入砸壳命令DYLD_INSERT_LIBRARIES=/path/to/dumpdecrypted.dylib /path/to/executable，进行砸壳。这里有两点要注意：1是这个命令的"="号前后不能有空格，2是”=”号后的路径要替换成真实的dumpdecrypted.dylib的路径和可执行目标文件的路径。如下图：

4)砸壳成功后，会在Documents目录下生成一个后缀为.decrypted的文件。这个就是我们用来分析的文件了。如图：

6. 把砸壳后的文件拷贝至电脑。我是用的iFunBox，你也可以用scp的方式。选择.decrypted文件，然后点击“CopyToMac”，选择一个目录保存就可以了。如图：

保存成功后如图：

二 dump头文件

破壳之后就可以进行dump了，命令为class-dump -S -s -H /path/to/TargetApp.app/Target -o /path/to/headers，两个参数分别是砸壳后的.decrypted文件和存放所dump出来的头文件的目录（这个目录可提前创建好）。效果如下图：

看下图可以看到，我成功把这个app的头文件dump出来了，一共718个。

三 Cycript分析

头文件得到之后就可以使用Cycript进行分析了。步骤如下：
1. 在手机上启动目标app，并打开你要分析的界面。
2. 连接手机。命令：ssh [email protected]
3. 进入Cycript环境。命令：cycript -p TargetApp
4. 展示待分析界面的信息。在cy#后输入命令：[[UIApp keyWindow] recursiveDescription].toString()
如下图：

如图所示，层级关系就是父子关系。比如UINavigationTransitionView: 0x125d3b060就是UIViewControllerWrapperView: 0x17018a4f的父控件。
我们可以通过控件的名字去dump出来的头文件目录中找到对应的头文件进行分析。
在cycript中操纵某个对象是直接通过它的内存地址的。比如我们要获取UIViewControllerWrapperView的父控件，需要输入命令：[#0x17018a4f0 nextResponder]，如图：

再比如我们要修改界面中UILabel: 0x125d509a0中的文字，则输入命令：[#0x125d509a0 setText:@"21"]，如图：

这时你再去查看手机上的界面，这个label的文字就被替换成了21。

cycript 停止维护解决办法

如果越狱的手机系统为12.0+，cycript 停止维护，无法正常使用 cycript。解决方案在此：通过 cyrun 使用 cycript 调试。
我做的步骤如下：

• 1.把cycript_0.9.594_iphoneos-arm.deb、net.tateu.cycriptlistenertweak_1.0.0_iphoneos-arm.deb和net.tateu.cyrun_1.0.5_iphoneos-arm.deb下载到 Mac 上。
• 2. 通过 iFunBox 把三个 deb 文件拷贝到手机中的var 目录下。
• 3. 通过ssh 连接手机，然后执行命令进行安装，如下：
     dpkg -i cycript_0.9.594_iphoneos-arm.deb
dpkg -i net.tateu.cycriptlistenertweak_1.0.0_iphoneos-arm.deb net.tateu.cyrun_1.0.5_iphoneos-arm.deb
• 4. 执行命令cyrun -n SpringBoard -e，就会进入 cycript 环境中了，如下：

david:/var/cyrun root# cyrun -n SpringBoard -e
applicationName: SpringBoard is running (5505)
    executableName: SpringBoard
    bundleIdentifier: com.apple.springboard
    Cycript is inactive:
    Device is passcode locked
    Tweak Mode
Do you want to continue enabling Cycript (y or n)? y
Waiting for Process to close...
Waiting for SpringBoard to launch...
Waiting for Cycript to become active...
Success, you may now run
    cycript -r 127.0.0.1:8556
cy#

提示：可以把命令中的SpringBoard 替换为待破解 app 的名称。

总结

到此为止，我们就可通过cycript结合dump出的头文件进行分析了。如果再想深入，可以使用lldb打断点分析，本文就不展开讲了（后期会写文章专门介绍）。还有IDA和Reveal进行界面分析，相关问题可以回复我。

感谢沙神。