逆向破解一思路和获取app的代码

app从开发到安装到手机上的过程

1.我们的app首先是经过我们写代码、最后经过签名、打包最后生成.app文件,那么这个.app的文件在哪里呢,我用我自己的项目做个例子大致他的位置在这里:


image.png

他这个其实就是包含我们项目中的资源和我们写的代码,我们要学习逆向那么其实就是对这个.app里面的内容进行破解。我们这个.app创建一个Payload文件夹然后在进行压缩之后就是我们的ipa包,那么这个ipa的包就可以安装到手机上了。


image.png

我们来show In finder->显示包内容, 来看看他里面道理存在什么东西
image.png

我们可以看到他里面有一些资源文件,xib、.car(图片的一些资源)、app启动的图标、还有一个和我们的项目名同名的表面上看不出后缀的文件,那这个文件其实就是我们的代码编译过后生成的Mach-o文件,那么我们逆向实际上就是对这个文件进行破解。

app装到手机上的过程

1.直接用xcode进行安装。
2.用itools 、pp助手什么的安装
3.用appstore来进行安装。

逆向的大致思路

image.png

class-dump使用和展示效果

1.首先我们到他的官网去下载(http://stevenygard.com/projects/class-dump/),其中他有几种格式

image.png

我下载的是第一个dmg格式的,打开找到这个文件
image.png

我们将这个黑色的东西拷贝到我们的mac上的/usr/local/bin目录下,其实我们终端在执行命令的时候默认会去/usr/bin目录下和/usr/local/bin下去查找,但是/usr/bin目录是不允许你加东西的,就算是管理员权限也不行。这就解释了为什么我们运用cd是可以的,如图
image.png

所以我们需要将class-dump加到/usr/local/bin目录下。
他的常用指令如下:

class-dump Mach-o文件的路径

或者将Mach-o文件破解后导出到某一个地方

class-dump -H Mach-o文件的路径 -o 头文件的路径

注意:class-dump只能导出头文件
下面是我的演示:


image.png

image.png

经过比较


image.png

他还原的虽然不是100%那么准但是大体上看差不多了(左边是还原的,右边是真实的源码)

代码的编译过程

简单来说我们的oc经过编译会生成汇编语言,汇编语言经过编译最后生成机器语言,其中机器语言和汇编语言是一一对应的也就是说,我们的机器语言可以反编译生成汇编语言。


image.png

但是从上图中也看到了,我们的汇编是不能生成我们唯一的oc语言的,怎么办?其实我们可以借助工具来将我们的汇编生成oc,相当于是伪代码,这样的话我们可以大概来研究一下别人的代码,如果我们完全100%还原oc代码个人觉得也不太现实,因为苹果的加密机制我觉得做的还是很ok的。

  • 借助Hopper Disassembler来将我们的汇编代码进行还原。
    1.下载链接https://pan.baidu.com/s/1htbWOde 提取码:hvxs
    2.打开我们的Hopper Disassembler,如果他给你要钱那么果断删除他,你自己找一个破解版的,我这个应该就是破解版的。
    3.将我们的Mach-o文件拖拽到Hopper Disassembler中,需要等待进度条完毕。
    4.展示结果如下:
    image.png

    5.相信大家看了我的介绍估计还不懂Hopper Disassembler使用,我在网上找了一篇文章,大家仔细看看,按部就班的做就可以了(https://www.jianshu.com/p/5b465c9e2fb2),一些快捷键的展示如下:
    image.png

    7.按照上边我给你介绍的文章,我已经成功把我这个项目的(.m)文件全部导出来了,如下图:
    image.png

    首先xcode报错我们不用管,但是很多人还是想说 还是看不懂,怎么还是汇编感觉,其实个人觉得完全拆成oc是不现实的,我们可以通过他的大概加上我们的猜测进行猜测。(我们之前已经找到.h文件了,再次找到了.m文件加上我们的项目经验来进行破解),比如我想查看一个对象怎么实现的
    image.png

    结合自己的经验进行分析。

动态库共享缓存

1.运用之前的方法,我们连接上我们的手机,查看UIKit这个库位置


image.png

但是我们找啊找 也找不到我们的UIKit这个库,那他到底去哪里了呢?
其实我们苹果从ios3.1开始就使用动态库共享缓存的机制。具体大致的意思是:他会把我们苹果工程师(我说的是苹果的,不是我们现在的普通程序员)写好的UIKit、CoreGraphics库等等集中放到手机中的一个地方,然后有dyld动态链接。那么他这样做的明显的一个好处就是:节省我们手机的内存,更大的提高开发效率。用一张图来解释就是:


image.png

那么他的动态库的缓存文件的在哪里?
他在
/System/Library/Caches/com.apple.dyld/dyld_shared_cache_armX

顺便给大家说下ios架构的问题


image.png

现在我们来找一下UIKit库所在的位置,我们找到这个


image.png

我们可以看到很大的两个包一个是64位架构的,一个是armv7s架构的,我现在xcode是12的 大家根据上图,知道为什么没有armv7架构的了吧,因为5基本没人用了,xcode也基本对他不支持了。(顺便说一句,用ifunbox将这个包导入到mac,不用直接拖那样会少很多东西,点击这个包右键->拷贝到mac)
将第一个包拖进去安装好的Hopper Disassembler,直接输入UIkit,选择framework那个
image.png

然后直接next,点击ok


image.png

接下来就是漫长的等待中,直到他下面出现完成的语句。
image.png

但是如果你是Hopper Disassembler3的话 他是解析不出来的,Hopper Disassembler4是可以的。

动态库的加载

其实动态库是缓存到我们手机的某个地方,但是他是怎样和我们的app进行链接的呢?
其实是通过这个


image.png

来进行链接的,其中他里面有动态编辑器和动态加载器,来进行链接


image.png

运用官方工具拆除出UIKit框架

1.具体的步骤我用一个图片来显示(前提是你要下载源码并且用xcode打开)


image.png

其实我们也可以把dsc_extractor放到我们的/usr/local/bin目录下,我这里没有放,那么直接就用./直接执行。
我的执行结果为:


image.png

首先我们破解好了,找一下UIKit的Mach-o文件,他在这个地方
你刚才命名的文件夹/System/Library/Frameworks/UIKit.framework

会看到我们期望已久的Mach-o文件


image.png

将这个文件拖拽到到Hopper Disassembler中然后开始解析(怎样解析和安装插件我上面说到了),大约等了一个世纪,终于解析完成。找到那个文件happly死了。

关于Mach-o的简单介绍

  • 简介:
    Mach-o其实是Mach object的缩写,是mac\ios上存储程序、标准库格式。


    image.png
  • 常见的类型:


    image.png
  • 我们可以通过xcode进行来查看mach-o文件


    image.png
  • 查看mach-o文件的一些命令(怎样显示一个可执行文件的通用二进制文件,xcode选择release模式下真机运行app,找到.app文件显示包内容,最后找到可执行的文件)
    1.查看可执行文件支持架构的信息
lipo -info 可执行文件

或者

file 可执行文件

2.剥离出一种架构

lipo 可执行文件 -thin 架构 -output 架构位置

3.组合二种架构

lipo -create 一种可执行文件路径(带名字)  一种可执行文件(带名字) -output 想要的可执行文件路径(带名字)
image.png
  • 通用二进制文件
    通用二进制文件就是包含多了多种架构的二进制文件或者说是包含了独立的二进制文件。


    image.png

Mach-o的基本结构

他的官方的描述:https://developer.apple.com/library/archive/documentation/DeveloperTools/Conceptual/MachOTopics/0-Introduction/introduction.html
他的结构主要包含三个方面:
1.Header
主要包含一些文件类型,目标架构类型等等。
2.load Commands
描述文件在虚拟内存中的结构、布局等等。
3.Raw Segments Data
在load Commands中的Segments的原始数据。
他的结构图为:

image.png

  • 一个可以查看Mach-o文件的工具
    https://github.com/gdbinit/MachOView
    我随便找一个可执行的文件看下:
    image.png

    然后我们也可以看下具体的头信息
    image.png

    注意:值得说的是github上machview这个工具有一些bug,如果你想要一个没有bug的请联系我,我这有直接是dmg的。
  • dyld和Mach-o的关系
    其实dyld主要是加载这几种类型的Mach-o文件
    MH_EXCUTE
    MH_DYLIB
    MH_BONDLE
    APP的可执行文件、动态库文件都是有dyld进行加载的。
    我们可以从dbld的源码中找到答案(前面有说在哪里下载dyld源码,然后找到dyld.cpp文件)


    image.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容