最近手癢,整理了下IOS APP逆向工程相關資料,分享出來大家一起看看。
逆向工程可分為四步:砸殼、dump、hook、重簽。
一、砸殼:
概述:IOS的APP,若上傳了App Store會被蘋果進行一次加密,所以我們下載下來的安裝包都是加密的,若要進行dump需要進行一次解密,即砸殼。
我們以微信為例:
首先我們需要一台已經越獄了的iPhone手機,然后進入Cydia安裝需要的三款工具openSSH、Cycript、iFile。(調試程序時可以方便地查看日志文件)
新版本iTunes已經將應用功能去掉了,所以大家只能用手機從App Store下載最新微信。
砸殼第一步:獲取微信的可執行文件的具體位置和沙盒的具體位置,我們先把iPhone上的所有程序都關掉,唯獨留下微信。
連接ssh,打開Mac的bash,用ssh連上iPhone(確保iPhone跟Mac在同一個網段)。openSSH的root密碼默認為:alpine
然后輸入命令 ps -e | grep WeChat
有時候我們需要一個APP的Bundle id了,這里筆者有一個小技巧,我們可以把iPhone上的所有App都關掉,唯獨保留APP如微信,然后輸入命令
ps -e ,便可輸出當前運行的APP的Bundle id。
尋找沙盒Documents具體路徑,我們需要用Cycript找出微信的Documents具體路徑。輸入命令cycript -p WeChat
打開微信,進入cy#模式輸入NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, ES)[0]就能找出Documents的具體路徑,或者使用cy# directory = NSHomeDirectory(),也可以得到沙河位置(缺少/Documents)。
control+D 可退出模式
- 編譯dumpdecrypted 進入dumpdecrypted源碼的目錄,輸入指make來編譯dumpdecrypted。一般make后會在當前目錄下生成一個dylib文件。
4.創建動態庫文件
(1)一錯
在確保Makefile中對動態庫的設置和iOS真機環境一致后,在當前目錄下輸入:make。
但是失敗了,錯誤信息如下:
`xcrun --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c /bin/sh: /Applications/Xcode: No such file or directory make: *** [dumpdecrypted.o] Error 127
原因是找不到/Applications/Xcode來執行其中的一些腳本。 好吧,我的Mac中有3個Xcode:/Applications/Xcode 5.0.2, /Applications/Xcode 5.1.1, /Applications/Xcode 6 Beta4,就是沒有/Applications/Xcode。
沒事,將Xcode 5.1.1重命名為Xcode就行了:
$ sudo mv Xcode\ 5.1.1.app/ Xcode.app/
(2)再錯
再make,還是報錯,錯誤信息和上面一樣。
不怕,我們還有xcode-select這個小伙伴,通常Xcode找不到之類的錯誤都應該找它幫忙:
$ xcode-select -p /Applications/Xcode 5.1.1.app/Contents/Developer 復制代碼
原來xcrun查找cmd tool時的路徑還是Xcode 5.1.1/,當然什么都找不到了。這時候將它重置就行了(默認是/Applications/Xcode.app/):
$ sudo xcode-select -r $ xcode-select -p /Applications/Xcode.app/Contents/Developer
(3)成功再make,成功,輸出如下:
$ make `xcrun --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c `xcrun --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -dynamiclib -o dumpdecrypted.dylib dumpdecrypted.o $ ls Makefile dumpdecrypted.c dumpdecrypted.o README dumpdecrypted.dylib
可以看到目錄中多了兩個文件,其中dylib后綴的就是我們要創建的動態庫文件,也就是用來砸殼的錘子。
scp拷貝指令 使用scp指令把dumpdecrypted.dylib拷貝到iPhone的Documents路徑目錄下輸入指令:scp
開始砸殼!!! 回到手機的ssh上,輸入dumpdecrypted的指令。
dumpdecrypted的具體用法:DYLD_INSERT_LIBRARIES=/PathFrom/dumpdecrypted.dylib /PathTo mach-o decryption dumper DISCLAIMER: This tool is only meant for security research purposes, not for application crackers. [+] detected 32bit ARM binary in memory. [+] offset to cryptid found: @0x56a4c(from 0x56000) = a4c [+] Found encrypted data at address 00004000 of length 38748160 bytes - type 1. [+] Opening /private/var/mobile/Containers/Bundle/Application/2C920956-E3D6-4313-BD88-66BD24CEBE9B/WeChat.app/WeChat for reading. [+] Reading header [+] Detecting header type [+] Executable is a FAT image - searching for right architecture [+] Correct arch is at offset 16384 in the file [+] Opening WeChat.decrypted for writing. [+] Copying the not encrypted start of the file [+] Dumping the decrypted data into the file [+] Copying the not encrypted remainder of the file [+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset 4a4c [+] Closing original file [+] Closing dump file
這樣就代表砸殼成功了,當前目錄下會生成砸殼后的文件,即WeChat.decrypted。同樣用scp命令把WeChat.decrypted文件拷貝到電腦上,接下來我們要正式的dump微信的可執行文件了。
scp遠程下載到本地 輸入指令:scp -r root@ip:文件目錄/文件名 /目的地
二、dump
針對於debug或者release的包,無需砸殼,可以直接dump。只有從App Store下載下來的包,需要砸殼。
dump方法為:安裝后使用的命令為:class-dump -H 需要導出的框架路徑 -o 導出的頭文件存放路徑 如:cd到該文件下,用class-dump -H WeChat 便可以得到微信代碼的所有方法的聲明.h文件。
三、HOOK
找到CMessageMgr.h和WCRedEnvelopesLogicMgr.h這兩文件,其中我們注意到有這兩個方法:- (void)AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2; ,- (void)OpenRedEnvelopesRequest:(id)arg1;。沒錯,接下來我們就是要利用這兩個方法來實現微信自動搶紅包功能。其實現原理是,通過hook微信的新消息函數,我們判斷是否為紅包消息,如果是,我們就調用微信的打開紅包方法。這樣就能達到自動搶紅包的目的了。哈哈,是不是很簡單,我們一起來看看具體是怎么實現的吧。
新建一個dylib工程,因為Xcode默認不支持生成dylib,所以我們需要下載iOSOpenDev,安裝完成后(Xcode7環境會提示安裝iOSOpenDev失敗,請參考iOSOpenDev安裝問題),重新打開Xcode,在新建項目的選項中即可看到iOSOpenDev選項了。
iOSOpenDev dylib代碼 選擇Cocoa Touch Library,這樣我們就新建了一個dylib工程了,我們命名為autoGetRedEnv。
刪除autoGetRedEnv.h文件,修改autoGetRedEnv.m為autoGetRedEnv.mm,然后在項目中加入CaptainHook.h
因為微信不會主動來加載我們的hook代碼,所以我們需要把hook邏輯寫到構造函數中。
attribute((constructor)) static void entry() { //具體hook方法 } hook微信的AsyncOnAddMsg: MsgWrap:方法,實現方法如下:
//聲明CMessageMgr類 CHDeclareClass(CMessageMgr); CHMethod(2, void, CMessageMgr, AsyncOnAddMsg, id, arg1, MsgWrap, id, arg2) { //調用原來的AsyncOnAddMsg:MsgWrap:方法 CHSuper(2, CMessageMgr, AsyncOnAddMsg, arg1, MsgWrap, arg2); //具體搶紅包邏輯 //... //調用原生的打開紅包的方法 //注意這里必須為給objc_msgSend的第三個參數聲明為NSMutableDictionary,不然調用objc_msgSend時,不會觸發打開紅包的方法 ((void (*)(id, SEL, NSMutableDictionary*))objc_msgSend)(logicMgr, @selector(OpenRedEnvelopesRequest:), params); } __attribute__((constructor)) static void entry() { //加載CMessageMgr類 CHLoadLateClass(CMessageMgr); //hook AsyncOnAddMsg:MsgWrap:方法 CHClassHook(2, CMessageMgr, AsyncOnAddMsg, MsgWrap); }
項目的全部代碼,筆者已放入Github中。
完成好具體實現邏輯后,就可以順利生成dylib了。
重新打包微信App
為微信可執行文件注入dylib 要想微信應用運行后,能執行我們的代碼,首先需要微信加入我們的dylib,這里我們用到一個dylib注入神器:yololib,從網上下載源代碼,編譯后得到yololib。
使用yololib簡單的執行下面一句就可以成功完成注入。注入之前我們先把之前保存的WeChat.decrypted重命名為WeChat,即已砸完殼的可執行文件。 ./yololib 目標可執行文件 需注入的dylib 注入成功后即可見到如下信息:
dylib注入 新建Entitlements.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>application-identifier</key> <string>123456.com.autogetredenv.demo</string> <key>com.apple.developer.team-identifier</key> <string>123456</string> <key>get-task-allow</key> <true/> <key>keychain-access-groups</key> <array> <string>123456.com.autogetredenv.demo</string> </array> </dict> </plist>
這里大家也許不清楚自己的證書Teamid及其他信息,沒關系,筆者這里有一個小竅門,大家可以找到之前用開發者證書或企業證書打包過的App(例如叫Demo),然后在終端中輸入以下命令即可找到相關信息,命令如下: ./ldid -e ./Demo.app/demo
接下來把我們生成的dylib(libautoGetRedEnv.dylib)、剛剛注入dylib的WeChat、以及embedded.mobileprovision文件(可以在之前打包過的App中找到)拷貝到WeChat.app中。
5、重簽
給微信重新簽名
命令格式:codesign -f -s 證書名字 目標文件
PS:證書名字可以在鑰匙串中找到
分別用codesign命令來為微信中的相關文件簽名,具體實現如下:
重新簽名 打包成ipa 給微信重新簽名后,我們就可以用xcrun來生成ipa了,具體實現如下:
xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa 復制代碼
安裝擁有搶紅包功能的微信
以上步驟如果都成功實現的話,那么真的就是萬事俱備,只欠東風了~~~
我們可以使用iTools工具,來為iPhone(此iPhone Device id需加入證書中)安裝改良過的微信了。
面試題持續更新記得關注我哦!
不同的圈子就有不同的學習方式 ;
(qq群搜索):651612063 群密碼:111 進群文件可以直接獲取大廠面試題