app从开发到安装到手机上的过程
1.我们的app首先是经过我们写代码、最后经过签名、打包最后生成.app文件,那么这个.app的文件在哪里呢,我用我自己的项目做个例子大致他的位置在这里:
他这个其实就是包含我们项目中的资源和我们写的代码,我们要学习逆向那么其实就是对这个.app里面的内容进行破解。我们这个.app创建一个Payload文件夹然后在进行压缩之后就是我们的ipa包,那么这个ipa的包就可以安装到手机上了。
我们来show In finder->显示包内容, 来看看他里面道理存在什么东西
我们可以看到他里面有一些资源文件,xib、.car(图片的一些资源)、app启动的图标、还有一个和我们的项目名同名的表面上看不出后缀的文件,那这个文件其实就是我们的代码编译过后生成的Mach-o文件,那么我们逆向实际上就是对这个文件进行破解。
app装到手机上的过程
1.直接用xcode进行安装。
2.用itools 、pp助手什么的安装
3.用appstore来进行安装。
逆向的大致思路
class-dump使用和展示效果
1.首先我们到他的官网去下载(http://stevenygard.com/projects/class-dump/),其中他有几种格式
我下载的是第一个dmg格式的,打开找到这个文件
我们将这个黑色的东西拷贝到我们的mac上的/usr/local/bin目录下,其实我们终端在执行命令的时候默认会去/usr/bin目录下和/usr/local/bin下去查找,但是/usr/bin目录是不允许你加东西的,就算是管理员权限也不行。这就解释了为什么我们运用cd是可以的,如图
所以我们需要将class-dump加到/usr/local/bin目录下。
他的常用指令如下:
class-dump Mach-o文件的路径
或者将Mach-o文件破解后导出到某一个地方
class-dump -H Mach-o文件的路径 -o 头文件的路径
注意:class-dump只能导出头文件
下面是我的演示:
经过比较
他还原的虽然不是100%那么准但是大体上看差不多了(左边是还原的,右边是真实的源码)
代码的编译过程
简单来说我们的oc经过编译会生成汇编语言,汇编语言经过编译最后生成机器语言,其中机器语言和汇编语言是一一对应的也就是说,我们的机器语言可以反编译生成汇编语言。
但是从上图中也看到了,我们的汇编是不能生成我们唯一的oc语言的,怎么办?其实我们可以借助工具来将我们的汇编生成oc,相当于是伪代码,这样的话我们可以大概来研究一下别人的代码,如果我们完全100%还原oc代码个人觉得也不太现实,因为苹果的加密机制我觉得做的还是很ok的。
- 借助Hopper Disassembler来将我们的汇编代码进行还原。
1.下载链接https://pan.baidu.com/s/1htbWOde 提取码:hvxs
2.打开我们的Hopper Disassembler,如果他给你要钱那么果断删除他,你自己找一个破解版的,我这个应该就是破解版的。
3.将我们的Mach-o文件拖拽到Hopper Disassembler中,需要等待进度条完毕。
4.展示结果如下:
5.相信大家看了我的介绍估计还不懂Hopper Disassembler使用,我在网上找了一篇文章,大家仔细看看,按部就班的做就可以了(https://www.jianshu.com/p/5b465c9e2fb2),一些快捷键的展示如下:
7.按照上边我给你介绍的文章,我已经成功把我这个项目的(.m)文件全部导出来了,如下图:
首先xcode报错我们不用管,但是很多人还是想说 还是看不懂,怎么还是汇编感觉,其实个人觉得完全拆成oc是不现实的,我们可以通过他的大概加上我们的猜测进行猜测。(我们之前已经找到.h文件了,再次找到了.m文件加上我们的项目经验来进行破解),比如我想查看一个对象怎么实现的
结合自己的经验进行分析。
动态库共享缓存
1.运用之前的方法,我们连接上我们的手机,查看UIKit这个库位置
但是我们找啊找 也找不到我们的UIKit这个库,那他到底去哪里了呢?
其实我们苹果从ios3.1开始就使用动态库共享缓存的机制。具体大致的意思是:他会把我们苹果工程师(我说的是苹果的,不是我们现在的普通程序员)写好的UIKit、CoreGraphics库等等集中放到手机中的一个地方,然后有dyld动态链接。那么他这样做的明显的一个好处就是:节省我们手机的内存,更大的提高开发效率。用一张图来解释就是:
那么他的动态库的缓存文件的在哪里?
他在
/System/Library/Caches/com.apple.dyld/dyld_shared_cache_armX
顺便给大家说下ios架构的问题
现在我们来找一下UIKit库所在的位置,我们找到这个
我们可以看到很大的两个包一个是64位架构的,一个是armv7s架构的,我现在xcode是12的 大家根据上图,知道为什么没有armv7架构的了吧,因为5基本没人用了,xcode也基本对他不支持了。(顺便说一句,用ifunbox将这个包导入到mac,不用直接拖那样会少很多东西,点击这个包右键->拷贝到mac)
将第一个包拖进去安装好的Hopper Disassembler,直接输入UIkit,选择framework那个
然后直接next,点击ok
接下来就是漫长的等待中,直到他下面出现完成的语句。
但是如果你是Hopper Disassembler3的话 他是解析不出来的,Hopper Disassembler4是可以的。
动态库的加载
其实动态库是缓存到我们手机的某个地方,但是他是怎样和我们的app进行链接的呢?
其实是通过这个
来进行链接的,其中他里面有动态编辑器和动态加载器,来进行链接
运用官方工具拆除出UIKit框架
1.具体的步骤我用一个图片来显示(前提是你要下载源码并且用xcode打开)
其实我们也可以把dsc_extractor放到我们的/usr/local/bin目录下,我这里没有放,那么直接就用./直接执行。
我的执行结果为:
首先我们破解好了,找一下UIKit的Mach-o文件,他在这个地方
你刚才命名的文件夹/System/Library/Frameworks/UIKit.framework
会看到我们期望已久的Mach-o文件
将这个文件拖拽到到Hopper Disassembler中然后开始解析(怎样解析和安装插件我上面说到了),大约等了一个世纪,终于解析完成。找到那个文件happly死了。
关于Mach-o的简单介绍
-
简介:
Mach-o其实是Mach object的缩写,是mac\ios上存储程序、标准库格式。
-
常见的类型:
-
我们可以通过xcode进行来查看mach-o文件
- 查看mach-o文件的一些命令(怎样显示一个可执行文件的通用二进制文件,xcode选择release模式下真机运行app,找到.app文件显示包内容,最后找到可执行的文件)
1.查看可执行文件支持架构的信息
lipo -info 可执行文件
或者
file 可执行文件
2.剥离出一种架构
lipo 可执行文件 -thin 架构 -output 架构位置
3.组合二种架构
lipo -create 一种可执行文件路径(带名字) 一种可执行文件(带名字) -output 想要的可执行文件路径(带名字)
-
通用二进制文件
通用二进制文件就是包含多了多种架构的二进制文件或者说是包含了独立的二进制文件。
Mach-o的基本结构
他的官方的描述:https://developer.apple.com/library/archive/documentation/DeveloperTools/Conceptual/MachOTopics/0-Introduction/introduction.html
他的结构主要包含三个方面:
1.Header
主要包含一些文件类型,目标架构类型等等。
2.load Commands
描述文件在虚拟内存中的结构、布局等等。
3.Raw Segments Data
在load Commands中的Segments的原始数据。
他的结构图为:
- 一个可以查看Mach-o文件的工具
https://github.com/gdbinit/MachOView
我随便找一个可执行的文件看下:
然后我们也可以看下具体的头信息
注意:值得说的是github上machview这个工具有一些bug,如果你想要一个没有bug的请联系我,我这有直接是dmg的。 -
dyld和Mach-o的关系
其实dyld主要是加载这几种类型的Mach-o文件
MH_EXCUTE
MH_DYLIB
MH_BONDLE
APP的可执行文件、动态库文件都是有dyld进行加载的。
我们可以从dbld的源码中找到答案(前面有说在哪里下载dyld源码,然后找到dyld.cpp文件)