1.class-dump
class-dump是用來dump目標文件的類信息的工具。它利用Objective-C語言的runtime的特性,將存儲在mach-O文件中的@interface和@protocol信息提取出來,並生成對應的.h文件。官方介紹如下:
This is a command-line utility for examining the Objective-C runtime information stored in Mach-O files. It generates declarations for the classes, categories and protocols. This is the same information provided by using ‘otool -ov’, but presented as normal Objective-C declarations, so it is much more compact and readable.
1.1安裝class-dump
下載地址:http://stevenygard.com/projects/class-dump/。打開鏈接后,選擇class-dump-3.5.dmg,進行下載。下載完成之后,將dmg文件中的class-dump復制到/usr/bin目錄,並在終端執行如下執行進行賦權:
sudo chmod 777 /usr/bin/class-dump
然后運行class-dump指令,即可看到如下結果:
1.2使用class-dump
執行指令:
class-dump -H /Applications/Calculator.app -o /Users/GofLee/Desktop/CalculateHeads
【說明】:
- /Applications/Calculator.app:計算器app的路徑;
- /Users/GofLee/Desktop/CalculateHeads:存放dump結果的頭文件文件夾路徑。
執行上面的指令之后,我們可以在 /Users/GofLee/Desktop/CalculateHeads 目錄下看到生成的.h列表:
從上面的結果可以看到,我們有了這些.h文件之后,就可以初步了解目標App的程序結構。后面可以結合Reveal和cycript工具,更精准的分析目標App某個頁面的功能實現。
同樣的,我們也可以導出AppKit、UIKit的頭文件:
class-dump -H /System/Library/Frameworks/AppKit.framework -o /Users/GofLee/Desktop/AppKitHeaders
【注意】:有時class-dump指令會執行失敗,無法得到想要的頭文件,或頭文件的內容是加密的密文。出現這種情況是因為class-dump的作用對象必須是未經加密的可執行文件,一般App Store中下載的App都是經過簽名加密的,這個時候需要先進行砸殼。
2.class-dump-z
class-dump-z 是對 class-dump 和 class-dump-x 的改進版,完全用C++重寫,避免動態調用,這使得 class-dump-z 比 class-dump 和 class-dump-x快10倍左右,並且可以在 Linux、Mac、 iPhone 上運行。
下載地址:https://code.google.com/archive/p/networkpx/wikis/class_dump_z.wiki
其他同class-dump。
3.砸殼:dumpdecrypted
第一步:源碼下載:https://github.com/stefanesser/dumpdecrypted
第二步:使用make指令編譯源碼;
前兩步也可以省略,直接下載編譯好的dumpdecrypted.dylib(需要使用與iOS設備系統相同的版本)。
做完前兩步之后,會生成一個dumpdecrypted.dylib文件,我們通過IExplorer軟件,將這個文件拷貝到需要砸殼的App的Documents目錄,如下圖所示:
接下來,通過終端和手機建立連接,具體指令參看Cycript內容。
cd到對應App的Documents路徑,執行指令:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/Application/866571F2-B677-4F41-82D4-ABE217EFE450/XXXX.app/XXXX
指令執行結果:
這時,Documents目錄下多了一個“xxxx.decrypted”文件,將該文件拷貝到電腦,繼續使用class-dump進行頭文件分析。
如果經過上面的操作,還是不能得到想要的頭文件,那么有可能是代碼使用的 OC 和 Swift 混編,而 class-dump 是利用的 OC 的運行時機制,所以有 Swift 的代碼沒法 dump 出來,那就只有直接用 IDA 看了。
【說明】:
a.怎么獲取 App的Documents路徑?
通過cycript指令,根據應用進程,進入到應用,然后執行如下指令獲取:
//通過如下指令獲取到根目錄路徑之后,再拼接/Documents即可得到Documents的路徑 path = NSHomeDirectory()
b.怎么獲取App的可執行文件路徑?
通過打印進程信息,是可以直接得到可執行文件路徑的,指令如下:
ps ax | grep Evernote
結果如下:
c.執行指令,有可能遇到如下所示錯誤:
遇到該錯誤的時候,按如下步驟操作:
- 第一步:拷貝dumpdecrypted.dylib 文件到設備的 /usr/lib目錄下;
- 第二步:切換到mobile用戶,指令如下:
su mobile
- 第三步:cd到 /var/mobile/Documents 目錄,指令如下:
cd /var/mobile/Documents
- 第四步:執行如下指令:
DYLD_INSERT_LIBRARIES=/usr/lib/dumpdecrypted.dylib /var/containers/Bundle/Application/2223555C-A7F5-40D3-B713-4B4E3FFCCE96/Evernote.app/Evernote
- 第五步:在 /var/mobile/Documents 目錄下,可以看到 Evernote.decrypted 文件已經生成。
4.導出Frameworks 和 PrivateFrameworks 的頭文件
腳本可參考:https://github.com/EthanGHub/DumpFrameworks
下面標粗標紅的地方需要進行相應的修改:
#!/usr/bin/perl # # 24 November 2008 # Framework Dumping utility; requires class-dump # 執行方法:終端進入DumpFrameworks.pl所在的目錄 執行命令 ./DumpFrameworks.pl # use strict; use Cwd; use File::Path; my $HOME = (getpwuid($<))[7] || $ENV{'HOME'} or die"Could not find your home directory!"; # This command must be in your path. # http://www.codethecode.com/projects/class-dump/ my $CLASS_DUMP = 'class-dump'; # Public Frameworks dump_frameworks('/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/iPhoneSimulator10.3.sdk/System/Library/Frameworks', 'Frameworks'); # Private Frameworks dump_frameworks('/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/iPhoneSimulator10.3.sdk/System/Library/PrivateFrameworks', 'PrivateFrameworks'); sub dump_frameworks { my($dir, $subdir) = @_; opendir(my $dirh, $dir) or die"Could not opendir($dir) - $!"; # Iterate through each framework found in the directory foreach my $file (grep { /\.framework$/ } readdir($dirh)) { # Extract the framework name (my $fname = $file) =~ s/\.framework$//; print"Framework: $fname\n"; my $headers_dir = "$HOME/Headers/$subdir/$fname"; # Create the folder to store the headers mkpath($headers_dir); # Perform the class-dump my $cwd = cwd(); chdir($headers_dir) or die"Could not chdir($headers_dir) - $!"; system($CLASS_DUMP, '-H', "$dir/$file"); if($? == -1) { die"Could not execute $CLASS_DUMP - $!\n"; } chdir($cwd) or die"Could not chdir($cwd) - $!"; } }
命令執行完,在用戶目錄下 會出現 Headers,里面包括了導出的Frameworks 和PrivateFrameworks 文件夾,如下圖所示:
