iOS逆向

1.class-dump解密

class dump 是一个用于检查保存在 Mach-O 文件中的 objective-c 运行时信息的工具，攻防中最常用、实用的命令行工具。我们用它来还原砸包后的文件。你可以通过 class dump ：查看闭源的应用、frameworks、bundles。

class-dump的安装

下载：class-dump-3.5.dmg

下载好后，双击dmg文件，将其中的 class-dump 文件放到/usr/bin 目录下，然后就可以在命令行中使用了。

但是 mac os 10.11以后没法获取/usr/bin 的权限，开了Rootless机制的Mac无法获取/usr/bin的权限

我们可以换个思路

第一步，打开Terminal，输入mkdir ~/bin，在当前用户根目录下创建一个bin目录；

命令: mkdir ~/bin

第二步，把class-dump给拷贝到这个目录里，并赋予其可执行权限;

命令一: mv /.../class-dump ~/bin    (/.../class-dump是指的class-dump的完整路径) 

命令二: chmod +x ~/bin/class-dump

第三步，打开~/.bash_profile文件，配置环境变量

命令一: vi ~/.bash_profile

命令二: 按 i 键进入编辑模式，写入下面一行代码， export PATH=$HOME/bin/:$PATH    按ESC然后输入冒号(shift+;),然后输入wq,退出即可。

第四步，在Terminal中执行source命令

命令:source ~/.bash_profile

完成以上步骤，在terminal中执行class-dump实验一下，应该就可以了。

解析方法

class-dump -H XXX.app -o 接受地址

解析结果

AF-Demo ：基本可以解析出对应的头文件,没有声明的方法也被dump出来了。

原码： GlobalTimelineViewController.h
@interface GlobalTimelineViewController : UITableViewController

@end

解析出来的 GlobalTimelineViewController.h

#import "UITableViewController.h"

@class NSArray;

@interface GlobalTimelineViewController : UITableViewController
{
    NSArray *_posts;
}

@property(retain, nonatomic) NSArray *posts; // @synthesize posts=_posts;
- (void).cxx_destruct;
- (void)tableView:(id)arg1 didSelectRowAtIndexPath:(id)arg2;
- (double)tableView:(id)arg1 heightForRowAtIndexPath:(id)arg2;
- (id)tableView:(id)arg1 cellForRowAtIndexPath:(id)arg2;
- (long long)tableView:(id)arg1 numberOfRowsInSection:(long long)arg2;
- (void)viewDidLoad;
- (void)reload:(id)arg1;

@end

Swift-Demo: 无法解析 class-dump是利用Object-C语言的runtime特性

Wechat: 无法解析，原因和前面hpooer一样，因为wechat是appstore的包，是加过壳的

2.Hopper逆向

超级强大的反编译软件，不仅可以把机器码解析成汇编，还能解析出相似与Objc的伪代码。

下载Hopper Disassembler v4：安装文件

这里测试了三个包：

AF-Demo(本地打包，OC项目)，

Swift-Demo（本地打包，Swift项目），

微信（Appstore包）

AF-Demo

基本可以看到类名、方法名、属性、方法实现的伪代码

我们用终端检查一遍：
otool -l Downloads/reversePack/SwiftDemo | grep cryptid

//结果： 1表示加密，0表示未加密
cryptid 0

解析结果

img

Swift-Demo

可以看到部分类名、方法名、属性等，方法实现解析的不完整

我们用终端检查一遍：
otool -l Downloads/reversePack/SwiftDemo | grep cryptid

//结果： 1表示加密，0表示未加密
cryptid 0

hpooer结果

img

Appstore-微信

基本没有什么有用的信息，AppStore的ipa是加过壳的

我们用终端检查一遍：
otool -l Downloads/reversePack/WeChat | grep cryptid

//结果： 1表示加密，0表示未加密
cryptid 1
cryptid 1

hpooer结果

img

3.Dumpdecrypted 砸壳

设备：iphone5 10.3.3、mac电脑、wifi

砸壳工具: 下载地址

iphone越狱

越狱: 百度一下 很简单

务必在Cydia中安装 cycript、adv-cmds 、pstree

砸壳工具安装

不同的越狱设备有不同的架构
下载好了后 cd 到目录下，执行下面命令

make

`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -dynamiclib -o dumpdecrypted.dylib dumpdecrypted.o

`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c

可能报错：

dyld: could not load inserted library ‘dumpdecrypted.dylib’ because no suitable image found. Did find: dumpdecrypted.dylib: required code signature missing for ‘dumpdecrypted.dylib’

解决办法：

//dumpdecrypted 需要签名
## 列出可签名证书
security find-identity -v -p codesigning
## 为dumpecrypted.dylib签名
codesign --force --verify --verbose --sign "iPhone Developer: xxx xxxx (xxxxxxxxxx)" dumpdecrypted.dylib

连接越狱手机

1、mac端 brew 安装 usbmuxd

brew install usbmuxd

2、将手机端的22号端口映射到本地的2222号端口，用usbmuxd自带iproxy

sudo iproxy 2222 22

3、连接

1、数据线连接方式
ssh root@localhost -p 2222

2、wifi连接方式 (iphone上的ip地址)
ssh root@192.168.xx.xx -p 2222

ip地址记得换成你自己的ip 
输入密码 默认alpine 修改密码 请输入passwd

连接不上的问题？

10.3.3越狱后 ssh 连接不上的问题，

1.cydia卸载OpenSSL 和 Openssh

2.添加源 : http://cydia.ichitaso.com/test

3.在cydia搜索页面搜索Dropbear并安装

4.重新安装OpenSSL (Openssh就不用了,装不装都无所谓)

5.重启设备

6.最后电脑上执行ssh root@ip -p 2222 就可以了连上了 (默认密码alpine)

获取当前的进程

ps -e

如下就是正在运行的WeChat
PID TTY           TIME CMD
680 ??         0:01.76 /var/containers/Bundle/Application/0B9C2D83-D6BA-4D24-B624-5AEB733DAE9D/WeChat.app/WeChat

cycript进入（钩入）该应用程序

确保手机已经下载了cycript工具 使用命令cycript 进程id （进程id就是上面获取到的PID）如:

cycript -p 680 

可以使用control+d 或者 输入exit(0)命令 退出cycript

cycript获取沙盒路径

yang:~ root# cycript -p 680
cy# NSHomeDirectory()
@"/var/mobile/Containers/Data/Application/6AFE1710-57C2-42CC-84FB-73B9A96C605A"
cy# [NSHomeDirectory() stringByAppendingString:@"/Documents"]
@"/var/mobile/Containers/Data/Application/6AFE1710-57C2-42CC-84FB-73B9A96C605A/Documents"

将砸壳工具拷贝到沙盒路径下

新打开一个终端窗口 把dumpdecrypted.dylib 拷贝进去沙盒路径路径 Documents或者tmp目录都可以，如果Documents砸壳会有问题，可以拷贝到tmp目录

1、数据线连接
scp -p 2222  Mac中dumpdecrypted.dylib的路径  root@localhost:沙盒路径路径

2、wifi连接
scp  Mac中dumpdecrypted.dylib的路径  root@越狱机ip地址:沙盒路径路径 

如下：

scp -p 2222 /Users/yang/Downloads/reversePack/dumpdecrypted-master/dumpdecrypted.dylib root@192.168.0.146:/var/mobile/Containers/Data/Application/6AFE1710-57C2-42CC-84FB-73B9A96C605A/Documents

输入默认密码 alpine

开始砸壳

cd到该沙盒路径下(也就是我们前面获取到的微信的沙盒目录) 指定一个环境变量，这个环境变量会去加载指定目录下的文件 ,这个文件地址使用我 ps -e 获取出来的wechat地址。

格式如下：

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件的路径（即之前获取到的Bundle路径）

运行后 就会开始解密 解密文件会放到同级目录 可以ls查看是否有.decrypted这个解密文件 有的话 则为解密成功 

如下：

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/0B9C2D83-D6BA-4D24-B624-5AEB733DAE9D/WeChat.app/WeChat

WeChat.decrypted 文件会生成在当前目录

将解密文件拷贝到Mac上

新开终端 将越狱机内的解密文件拷贝到Mac上 

1、usb连接
scp -p 2222  root@localhost:沙盒中解密文件路径    Mac指定路径 

2、wifi连接
scp   root@越狱机ip地址:沙盒中解密文件路径  Mac指定路径 

class-dump 解密

class-dump --arch armv7 WeChat.decrypted -H -o /Users/yang/Downloads/reversePack/dumpdecrypted-master/wechat

class-dump会还原出所有的.h文件 如下是部分文件

摘取内容如下:

//
//     Generated by class-dump 3.5 (64 bit).
//
//     class-dump is Copyright (C) 1997-1998, 2000-2001, 2004-2013 by Steve Nygard.
//

#import "NSObject.h"
#import "UIAlertViewDelegate.h"

@class NSString;
@interface WXGClearCache : NSObject <UIAlertViewDelegate>
{
    unsigned long _cacheMask;
}

+ (id)sharedInstance;
@property(nonatomic) unsigned long cacheMask; // @synthesize cacheMask=_cacheMask;
- (void)alertView:(id)arg1 clickedButtonAtIndex:(int)arg2;
- (void)parseFileInformationsWithXml:(id)arg1;

// Remaining properties
@property(readonly, copy) NSString *debugDescription;
@property(readonly, copy) NSString *description;
@property(readonly) unsigned int hash;
@property(readonly) Class superclass;

@end

img