LLDB解密(砸壳)

前言

前段时间学习过利用工具来对加密的应用ipa包砸壳,dumpdecrypted砸壳Clutch砸壳frida-ios-dump砸壳,这次通过LLDB自己手动操作可执行文件,dump出解密的文件(实际上dumpdecrypted就是这个原理),简单了解砸壳的原理。

一、原理

加密内容在手机启动执行加载到内存后,是解密的,可以根据Mach-O文件记录的加密内容开始偏移值以及加密内容大小,从内存中dump出已经解密的部分,再将dump出的部分写回原执行文件,这样就得到一个完整的解密的可执行文件。

二、从越狱手机拷贝出原可执行文件

以WeChat为例


查看可执行文件路径

拷贝

查看可执行文件加密字段信息

arm64架构

了解到了这两个数据信息,就可以利用LLDB进行解密,下面选择64位架构进行解密

三、使用LLDB砸壳

参考LLDB+debugserver调试第三方应用进入lldb调试界面,并且附加到目标进程,如下:

LLDB调试

查看主模块加载地址
image.png

我们使用的物理地址为:0x0000000100014000,先记录下来,接着根据cryptoofcryptsize字段dump出解密部分,如下:
dump出解密部分

这样dump出的文件是没有Mach-O header,因此要将dump出文件Patch回原可执行文件(可以先备份原可执行文件),Patch之前先说个注意点:

注意:手机上拷贝出的Mach-O文件含有两种架构,因此我们在Patch的时候要找对架构起始偏移

从下面的Mach-O头信息可知,我们需要将dump出的文件写回70041600 + 16384 =70057984的位置

架构起始偏移

Patch操作如下(过程会有点久,耐心等待):


到这一步,原可执行文件的arm64架构文件已经解密,最后修改一下对应的加密标识cryptID即可。

提取arm64架构的文件

lipo -thin arm64 WeChat -output /Users/kinken_yuen/Desktop/WeChat_arm64

使用Mach-OView修改字段


修改加密标识字段

最后使用class-dump能够正常dump出工程的类头文件,砸壳成功。

四、脚本调用LLDB砸壳

Github:https://github.com/BlueCocoa/dumpdecrypted-lldb

python脚本dump

参考

使用lldb砸壳

推荐阅读更多精彩内容