iOS逆向 – 应用脱壳

iOS逆向 – 应用脱壳iOS端APP在上线之前,会经过苹果商店进行FairPlayDRM数字版本加密保护,俗称 “加壳”,如果想对应用进行分析,就必须进行 “脱壳”,从而得到未加密的二进制文件

欢迎关注微信公众号:FSA全栈行动 👋

iOSAPP 在上线之前,会经过苹果商店进行 FairPlayDRM 数字版本加密保护,俗称 “加壳”,如果想对应用进行分析,就必须进行 “脱壳”,从而得到未加密的二进制文件

一、检测是否加壳

介绍两个常用的方式

1、使用 otool 检测

执行如下命令

otool -l Twitter | grep crypt

在得到的结果中,如果 cryptid 的值为 1,则说明已加壳,如果为 0 则说明未加壳

iOS逆向 - 应用脱壳

2、使用 MachOView 检测

使用 MachOView打开目标文件后,展开 Load Commands 找到 LC_ENCRYPTION_INFO_64,右侧可以看到 Crypt ID,同上,1 为已加壳,0 为未加壳

iOS逆向 - 应用脱壳

二、脱壳

以下罗列常用的脱壳工具,推荐度从上到下依次递减

1、CrackerXI

CrackerXI 的安装和使用都较为简单,是目前为止最为傻瓜式的脱壳工具

Cydia 中添加源地址 http://cydia.iphonecake.com/,添加完成后搜索 CrackerXI,找到后安装即可。

在进行脱壳前,需要进入 Settings 页面进行配置,配置如下图所示

iOS逆向 - 应用脱壳

切回 AppList 页面,点击需要脱壳的 App,在弹出的对话框中选择 YES,Full IPA 即可。

iOS逆向 - 应用脱壳

2、Clutch

github.com/KJCracks/Cl…

Release 页面找到最新版本的可执行文件,下载后改名为 Clutch,执行下方命令,将 Cluth 文件复制到 iOS 设备的 /usr/bin 目录下

scp -P 2222 -r ./Clutch root@localhost:/usr/bin/

登录到 iOS 设备,给 Cluth 文件添加执行权限

lxf-iPad:~ root# chmod +x /usr/bin/Clutch

至于怎么通过端口 2222 就可以从 Mac 上传输给 iOS 设备,以及如何登录到 iOS 设备,请查看本人的另一篇文章:Mac远程登录到iOS设备

执行 Clutch 可查看帮助信息

lxf-iPad:~ root# Clutch
Usage: Clutch [OPTIONS]
-b --binary-dump <value> Only dump binary files from specified bundleID
-d --dump <value>        Dump specified bundleID into .ipa file
-i --print-installed     Print installed applications
   --clean               Clean /var/tmp/clutch directory
   --version             Display version and exit
-? --help                Display this help and exit
-n --no-color            Print with colors disabled

-i 参数可以打印从 AppStore 上下载安装的 App

lxf-iPad:~ root# Clutch -i
Installed apps:
1:   Twitter <com.atebits.Tweetie2>
...

-d 参数可以进行脱壳,这里以 Twitter 为例

Clutch -d com.atebits.Tweetie2

脱壳后的 ipa 文件会存放至 /private/var/mobile/Documents/Dumped/ 目录下

3、dumpdecrypted

github.com/stefanesser…

下载源码,在 dumpdecrypted 目录下执行 make 命令编译生成 dumpdecrypted.dylib

# 进入 dumpdecrypted 目录
cd xxx/dumpdecrypted
 # 进行编译
make

编译完成后,目录下就有了 dumpdecrypted.dylib 文件

.
├── Makefile
├── README
├── dumpdecrypted.c
├── dumpdecrypted.dylib
└── dumpdecrypted.o

dumpdecrypted.dylib 文件复制 iOS 设备

scp -P 2222 -r ./dumpdecrypted.dylib root@localhost:/usr/bin/

使用 ps 命令查看目标文件的完整路径

lxf-iPad:~ root# ps -ax | grep Twitter
15153 ??         0:00.00 /var/containers/Bundle/Application/3A7C3480-C30B-40D7-A0A4-6C313E42B793/Twitter.app/Twitter
15161 ttys000    0:00.02 grep Twitter

使用 DYLD_INSERT_LIBRARIES 环境变量将 dumpdecrypted.dylib 注入就可以脱壳。

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/3A7C3480-C30B-40D7-A0A4-6C313E42B793/Twitter.app/Twitter

执行完成后会在将脱壳后的文件存放到当前目录下

4、frida-ios-dump

github.com/AloneMonkey…

下载源码后,安装其 python 脚本所需依赖包

pip install -r requirements.tx

iOS逆向 - 应用脱壳

-h 参数查看帮助

python dump.py -h

iOS逆向 - 应用脱壳

-l 参数查看本机已应用 App

./dump.py -l

iOS逆向 - 应用脱壳

三、取出脱壳文件

1、爱思助手

CrackerXI 为例,按此路径便可找到脱壳后的文件

/private/var/mobile/Documents/CrackerXI/

iOS逆向 - 应用脱壳

找到后选中目的文件,点击左上角的 导出 按钮,或者右击文件,在弹出的菜单中选中 导出 按钮即可。

2、SCP

scp -P 2222 -r root@localhost:/private/var/mobile/Documents/CrackerXI/Twitter_8.61_LXF.ipa ./

iOS逆向 - 应用脱壳

四、验证

正如文章开头所说的,使用 otoolMachOView 查看 cryptid 的值,为 0 即为脱壳成功。

iOS逆向 - 应用脱壳

iOS逆向 - 应用脱壳

今天的文章iOS逆向 – 应用脱壳分享到此就结束了,感谢您的阅读。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/17716.html

(0)
编程小号编程小号

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注