加壳
App 提交至 AppStore 后,App里的可执行程序(MachO)被加密了,这样可以保证机器上跑的应用是苹果审核过的,也可以管理软件授权。经过AppStore加密的应用,我们无法通过Hopper等反编译静态分析,也无法Class-Dump。
检查是否加密
使用otool 查看二进制文件,如对砸过壳的QQMusic可执行程序:
cryptid 值为0, 表示未加密;
而从AppStore上下载的未砸过壳的QQMusic,cryptid = 1, 如下所示:
砸壳
对加密的二进制文件进行解密,被称作砸壳。包括
(1)静态砸壳:在不运行壳应用程序的前提下进行解密处理。需知道加密的方法,难度大。
(2)动态砸壳:从运行在进程内存空间中的可执行程序映像(Image)入手,将内存中的内容进行转储(dump)来实现脱壳处理。不需要关心加密方法,相对简单。
砸壳实践
手机: iPhone6s plus, iOS9.0.2, 已越狱。无法再从AppStore下载App了,只能先从iTunes中先下载app,再appy到手机上。
总结:依次实践了 Clutch,dumpedcrypted,frida-ios-dump 这3种砸壳方式。Clutch最简单,但很多砸不了;dumpedcryped能砸,安装简单,但使用时步骤较繁琐;frida-ios-dump安装环境复杂,但使用简单,砸壳成功率也高(WeChat, Alipay都成功了)。
1. Clutch
主要参考 https://www.freebuf.com/column/204508.html
1)下载https://github.com/KJCracks/Clutch/releases最新的 Clutch2.0.4 源码,按照 https://github.com/KJCracks/Clutch
里Building的步骤,依次操作,在Compiling步时,cd /Clutch-2.0.4后到执行 xcode clean build,可以看到Clutch下生成了可执行程序clutch.
2)copy clutch到手机的/usr/bin下,必要时赋予可执行权限。
3)执行 Clutch -I
4)执行
Clutch -d 4 对Spotify进行砸壳:
2. dumpdecrypted
主要参考:https://blog.csdn.net/boring_cat/article/details/79422086, 使用wifi连接ssh。
1) 至 https://github.com/stefanesser/dumpdecrypted 下载源码
2) 执行 make命令,相同目录下生成 dumpdecrypted.dylib 文件
3) 查找要砸壳的app(QQMusic)的沙盒路径:
/var/mobile/Containers/Data/Application/D8B7C29C-2733-43AC-9D25-6720CA7FAC6F;使用scp将dylib拷贝到该Document目录下:
scp dumpdecrypted.dylib root@192.168.2.4:/var/mobile/Containers/Data/Application/D8B7C29C-2733-43AC-9D25-6720CA7FAC6F/Documents
4)运行QQMusic后,使用
ps -e 得到QQMusic的可执行文件路径:
5)cd 到沙盒/Documents下,执行如下拼凑的命令:
DYLD_INSERT_LIBRARIES=dumpedcrypted.dylib /var/mobile/Containers/Bundle/Application/6889BB15-498C-47BA-B954-E471DB519C6C/QQMusic.app/QQMusic
执行完后,console打印了如上的log, Documents目录下生成了砸壳后的文件:
6)将QQMusic.decrypted拷贝到Mac,该文件即为砸壳后的二进制可执行文件(可将后缀去掉)。也可以再使用lipo从中提取出特定架构的可执行文件: (可不做)
lipo QQMusic.decrypted -thin arm64 -output QQMusic_decrypted_arm64 。
经测试,该方法可以对Neteasemusic进行砸壳。
3. frida-ios-dump
先是想按照 http://bbs.iosre.com/t/frida/11988/41 提供的https://github.com/ChiChou/frida-ipa-dump/
来一键砸壳,结果发现出现问题:
与别人上报的Issues相同,遂放弃。
改用 https://www.freebuf.com/column/204508.html
里的friad-ios-dump一章的方法:(这里只做简单说明)
1)安装 PC 端各配置,pip, usbmuxd。(之前安装了anaconda3及其他python库)
2)安装 frida for PC:
sudo pip install Frida
sudo pip install frida-tools
3)手机端安装Frida
4)usb连接手机,PC中 执行 frida-ps -U验证两端Frida都安装成功
5)配置frida-ios-dump环境:
https://github.com/AloneMonkey/frida-ios-dump/tree/3.x
记得选择zip包下载
执行
sudo pip install -r requirements.txt --upgrade
6)准备开始砸壳:
(1)pc端使用iproxy改监听端口:
(2)另起一个iTerm,ssh 连接到手机:
(3)再起一个iTerm, cd到 frida-ios-dump-3.x下:执行
./dump.py -l
(4) 找到要砸壳的app,比如WeChat。 在iPhone上打开WeChat,然后iTerm里执行
./dump.py WeChat
修改WeChat.ipa后缀为 .rar,解压缩后,验证一下:
砸壳成功!
