最简单的Hopper Disassembler玩转Mac逆向

6字数 2514阅读 24344
图片来自网络

准备工作

工具下载

以下工具包括Folx都打包好上传网盘了,这里下载

  • Folx
    一个mac上挺好用的下载工具,本文逆向破解的对象。直接把Folx.app拖到Applications文件夹中即可。

  • mySIMBL
    扩展包(plug in)管理软件,本文将要给Folx软件写扩展包达到破解的目的,因此使用mySIMBL进行扩展包管理,图形界面方便的删除、开启等功能。
    直接把mySIMBL.app拖到Applications文件夹中即可。

  • EasySIMBL-Bundle-Template
    一个扩展包XCode模板,类似于开发iOS在XCode新建工程时选的Single View App
    EasySIMBL Bundle.xctemplate文件夹拖到~/Library/Developer/Xcode/Templates/Project Templates目录下即可,如图所示。

EasySIMBL安放地址
  • class-dump
    iOS/Mac逆向必须介绍的软件,从可执行文件中导出头文件,然而本文用不上,不做介绍。

  • Hopper Disassembler
    超级强大的反编译软件,不仅可以把机器码解析成汇编,还能解析出相似与Objc的伪代码。总之就是太强大了,强大到我们几乎连class-dump都用不上了。本文提供了史蒂芬周的破解版本,把Hopper Disassembler v4.app拖进HopperV4Patcher即可破解,如图所示。

破解Hopper

问题分析

Folx有个很方便的功能下载Youtube视频,只要把Youtube视频的URL输入就可以下载(而且速度还不错,暂时没验证需不需要科学上网)。然而这是个付费功能,只要点下OK按钮就会跳出讨钱页。

Folx
Folx叫你交保护费

听说有小伙伴因为种种原因弄不到Youtube的URL?下面提供一个。

https://www.youtube.com/watch?v=QFH747sK200

逆向分析

打开Hopper,选择File-Read Executable to Disassemble直接粗暴读取二进制可执行文件来破解,如图所示。

Hopper界面

选择Applications文件夹中的Folx,右键显示包内容,并找到可执行文件,类似于win平台的.exe文件,在这里:

打开Folx ![Uploading 7_151717.png . . .]可执行文件

等Hopper缓过神来,界面就差不多长这样。由于个人使用习惯,隐藏了底部和右边栏,可以在右上角的三个按钮选择是否开启。
左边栏是导航,可以看到使用Objc的方框语法列出了许多方法,还要啥class-dump?
中间区域是汉莫拉比法典,记载了一些上古语言,讲述了一些你不需要了解的事,直接无视就行。

Hopper界面

OK我们的目的是要破解YouTube下载功能,那么把Youtube当做关键词来搜索应该不会错,所以在左边栏的搜索框中输入youtube,可以得到许多和Youtube相关的类和方法:

搜索Youtube

我们来猜一下这都是些什么东西。(十秒逆向九秒猜)

  • FolxYouTubeHelper:看上去没有什么特别的东西,应该不是我们要找的。
  • AppDelegate:看上去也只是一个干杂货的,负责弹框之类,应该也不是我们要找的。
  • SDUrl:看上去像是个下载辅助的东西,应该还不是我们要找的。
  • FolxNewEditTask:看上去是负责新建下载任务相关的类,估计会包含验证之类的东西,我们可以尝试从这个入手。

在搜索栏中查找FolxNewEditTask,可以得到一整列表,这东西有点肥,看上去方法很多,其实基本每个@Property都有getset两个方法。

此处无图

FolxNewEditTask的方法中看到一个done:方法,应该是新建任务完成的方法,也就是OK按钮的点击方法。选中该方法,一探究竟。

done方法

在顶部栏点击伪代码按钮可以把上古语言翻译成类似于Objc的代码,极大提高可阅读性。代码中还保留了许多汇编的特征,例如rbxr14之类的寄存器,可以简单理解为变量。如果你认可我葬爱家族,那么这样的代码对你来说应该没有任何阅读压力。

伪代码按钮

得到[FolxNewEditTask purchased]的伪代码:

伪代码

在方法的开头就是一个判断语句,由&&区分出两个判断条件。
前一条件首先是一个Objc下消息机制的方法调用,由前一句r14 = @selector(addTaskType);可以猜测应该是判断当前的下载类型,记得Folx提供了三个下载类型,而Youtube是第三个类型,就是==0x2成立。

下载类型

后一个条件的关键词在于purchased,这就很明显了。purchase的消息对象是rbx,前两句rbx=self可以知道FolxNewEditTask对象应该有个purchased方法,判断交没交保护费,如果交了就走else语句,没交的话就弹出交钱框,就是底下的@selector(showFreeYouTubeAlert:)
不过我们的重点在于判断交保护费的方法,在左侧栏搜索,果然FolxNewEditTask是有这个方法,而且还有setPurchased方法,可以推知purchased`应该是一个成员属性。

purchased方法

这样我们就不用管它判断的机制是什么,只要这个方法返回YES就对了,办法就是把FolxNewEditTask的purchased方法换成我们自己的purchased方法,这样不仅是YES,要返回大象都可以。

Hook

打开XCode,新建一个EasySIMBL模板工程

新建工程

工程名无所谓,最重要的是Target App Bundle Id,也就是我们要破解的App的Bundle ID,在Folx.app的包内容中可以找到info.plist文件,然后找到Folx的Bundle ID。
我一般用如下结构存放文件,其中Sources组下存放原App中类的头文件,而HookClasses组下存放我们自制的对应类。

思维僵化的项目结构

首先在Sources下创建FolxNewEditTask.h文件,然后把里面的代码都删了,填入如下内容。

@interface FolxNewEditTask

- (BOOL)purchased;

@end

虽然我们创建了FolxNewEditTask.h,假装我们知道FolxNewEditTask的一切,其实我们只需要知道FolxNewEditTask有purchased这么一个方法,但这就够了,因为我们只需要一个flag。当然正经点的做法是使用class-dump导出.h头文件来使用,学习class-dump

接着在HookClasses中创建FolxNewEditTask+Hook的.h和.m文件。在FolxNewEditTask+Hook.h文件中填入代码如下:


#import <Foundation/Foundation.h>
#import "FolxNewEditTask.h"

@interface NSObject(FolxNewEditTaskHook)

+ (void)hookFolxNewEditTask;

@end

FolxNewEditTask+Hook.m文件中填入如下代码:

#import "FolxNewEditTask+Hook.h"

@implementation NSObject(FolxNewEditTaskHook)

+ (void)hookFolxNewEditTask {
    NSError *error;
    [self jr_swizzleMethod:@selector(purchased)
                withMethod:@selector(banana_purchased)
                     error:&error];
    if (error) {
        NSLog(@"+++++hookFolxNewEditTask error: %@", error);
    }
}

- (BOOL)banana_purchased {
    return YES;
}

@end

  • banana_purchased方法是我们自制的保护费管理员,不管什么情况下都会返回YES。
  • hookFolxNewEditTask中我们调用jr_swizzleMethod:方法把FolxNewEditTask原本的purchased方法和我们自制的purchased方法交换。

接着就是要在Folx程序启动的时候调用偷天换日大法。找到Banana.m或者你的项目名.m,里面已经提供好了load方法,搞Objc开发的都应该知道load方法是在类载入内存的时候调用,也是偷换方法的最佳时机。
首先得导入我们的头文件:

#import "FolxNewEditTask+Hook.h"

其次在load方法后加上一行来调用偷换方法。

[NSClassFromString(@"FolxNewEditTask") hookFolxNewEditTask];

command+B来编译一下,显示build succeeded这样扩展就已经安装好了。我们可以打开mySIMBL来管理扩展。

mySIMBL管理扩展界面

因为在扩展的方法中我们打印了一些信息,因此可以打开Console.app来查看,这个是系统自带程序,在Launchpad里找找。在Consolo里搜索++++来过滤其他不必要信息。

然后就是见证奇迹了,运行Folx吧。

在Console中接收到这么一条消息就表示扩展已经成功执行:

Console接收NSLog信息

接下来去测试一下Youtube功能是不是能使用。
点击OK之后讨厌的讨钱窗口没有跳出来,而是直接开始下载了,那么就算破解成功了:

Folx开始下载Youtube视频

根据我的猜测也有可能因为某些科学原因没法下载,因为公司都是科学上网的,所以我才不会开4G去验证呢。

更暴力的方法

正如标题所说,Hopper玩转Mac逆向,而没说Mac和XCode玩转Mac逆向。
Hopper掌握了机器码,就拥有了生杀大权,所谓汇编、伪代码都是解析给程序员看的,虽然说使用Hook方法替换原方法可以自定返回值,甚至可以返回大象!但是我们不需要大象,如果只是一个BOOL的事,汇编的修改是不是就够了呢?
当然,首先我们在mySIMBL里把方才所写的Folx扩展禁用掉,然后把Folx关了,回到Hopper中。
依旧在左侧栏中搜索找到[FolxNewEditTask purchased]方法,并选择汇编代码。

选择汇编代码

其实[FolxNewEditTask purchased]的Objc代码只有一两行,对应的汇编代码其实也不长,就7行:

1. push       rbp        
2. mov        rbp, rsp   
3. mov        rax, qword [objc_ivar_offset_FolxNewEditTask__purchased]    
4. mov        al, byte [rdi+rax]   
5. movsx      eax, al
6. pop        rbp
7. ret

rax寄存器是返回值寄存器,相当于被放在rax里的值最后都会被return rax;
rax在第3行出现过一次,mov指令可以理解为赋值语句,意义是将qword [objc_ivar_offset_FolxNewEditTask__purchased]的值赋予rax
我们不用管qword [objc_ivar_offset_FolxNewEditTask__purchased]是什么,我们要的结果是return YES,也就是return 0x01,只需要确保在ret指令的时候rax的值是0x01即可。
因此选中mov rax, qword [objc_ivar_offset_FolxNewEditTask__purchased]一行,选择Modify-Assemble Instruction,输入如下指令:

mov rax, 0x01  

回车

修改汇编代码

选择File-Produce New Executable来生成新的可执行文件Folx,替换掉原来的文件即可。

结尾

没有结尾。

推荐阅读更多精彩内容