0x0 获取

iTunes下载

现在iTunes已经没有下载ipa的功能了

第三方市场

目前大部分只能依靠第三方市场来下载，而且第三方市场的ipa其实有一个优势，大部分都是已经脱壳的，省去一个步骤

OTA安装的企业版app

这种就更好办了

首先拿到ota的url，基本上是itms-service之类的scheme
查看里面的一个url=的参数，就是plist配置的地址
下载或者查看这个plist，可以发现里面就有ipa的真正地址了

0x1 砸壳

如果你的包是appstore上的包，那么苹果会加壳，我们需要先砸了

主流的砸壳基本上都是在手机上操作，所以大前提是你有一台越狱的手机

现在我基本上都是第三方市场下载或者企业版证书的app，不过有兴趣还是可以了解一下的

Clutch
Clutch砸壳

dumpdecrypted
iOS逆向之IPA脱壳

0x2 分析

一般我们逆向一个app，还是先把头文件dump出来分析一下，主要还是利用 nygard/class-dump，具体用途看它的 readme 就差不多了

class-dump -H xxx.app -o /Users/Desktop/Header

如果有更深入的分析要求，可以利用hopper、ida分析，包括一些调用关系等

0x3 编写dylib

当目标分析完成，需求确定之后，就可以开始编写自己的dylib了

至于dylib的工程模板网上很多，可以参考 Xcode4.6创建和使用iOS的dylib动态库

一个很常规的做法，就是随便创建一个类，添加一个+ (void)Load作为你的代码入口，或者在全局作用域上直接调用创建一个单例，如下

static Hacker *g_hacker = [Hacker sharedInstance]
@implementation Hacker

+ (instancetype)sharedInstance
{}

+ (void)load
{
   // Setup my code here
}

@end

0x4 注入dylib

完成dylib后，需要把它挂到目标app上，这里需要用到 optool 来给执行文件添加LoadCommand

git clone –recursive https://github.com/alexzielenski/optool.git
cd optool 
xcodebuild -project optool.xcodeproj -configuration Release ARCHS=”x86_64” build //编译 
/path/to/optool install -c load -p “@executable_path/yourdylib.dylib” -t /yourexefile

如果不放心，可以用Mach-O Viewer，或者otool来检验一下

otool -L yourexefile

0x5 重签

万事俱备，现在就只差如何安装到你的手机上了

因为你下载的app经过你的修改，你也没有原来的证书可以打包，手机也不在原来的证书设备内，因为是无法安装的，这时候需要重签为你自己的证书，来允许安装到你的手机上（未越狱）

iOSResigner

// 查看你电脑目前的证书
security find-identity -v -p codesigning

// resign
./iOSResigner --ipa="Debug/test.ipa" --identity="iPhone Developer: xxx yyy (9J4EHR5R28)" --provision="cert/dev.mobileprovision" --output="out/test_resigned.ipa"

如果有需求修改里面的东西再重新打包的话
cd inside-folder
zip --symlinks -r -q ../abc.ipa *
或者
xcrun -sdk iphoneos PackageApplication
-v ./PaulTest.app
-o ./paultest_yk_ume_release.ipa

iOS App Signer

这里介绍一个更好使的开源工具 iOS App Signer，这个工程可以自动搜索本机的证书和配置文件，如果不想编译那么麻烦，也可以在releases里面直接下载编译好的

这个工具有几个缺点

不会实时监测文件的变化，所以有变动证书相关文件，需要重启app
因为Xcode的下载证书相关，不会鉴别过期与否，有效与否，一脑子全部下下来，app本身也不会鉴别是否有效
在重签后安装不上的，需要人肉验证上面两步，嫌麻烦就整个文件夹删了，到Developer确保证书没问题，然后全部重新下下来

Provisioning Profiles 存放的目录
~/Library/MobileDevice/Provisioning Profiles

0x6 参考

iOS Hacker 动态库 dylib 注入
iOS Hacker 重签名实现无需越狱注入动态库 dylib
iOS Hacker dumpdecrypted脱壳
iOS app 逆向分析

iOS逆向-无需越狱注入动态库