"金蛋破壳:iOS应用砸壳工具解密"

上一篇文章地址: 渐入佳境: 解密class-dump的奥秘

今天是2019年12月31号,2019年最后一天了,祝大家2020跨年快乐.

明天就是2020年1月1日了,同样祝大家元旦快乐!

  • App应用上传到AppStore后,苹果会对咱们的应用进行加密。我们的可执行文件加了一层保护壳,就比如上节中,我们使用class-dump进行dump类的头文件。

  • 我们通过打包自己的应用,这个应用未上架AppStore,相当于从未加密的问题,直接使用class-dump就可以进行dump。

  • 当我们从AppStore下载之后,我们需要把这个壳子去掉,也就是我们本篇提到的砸壳,砸了壳子才能获取到里面的果实。

我之前写的文章: "技艺精进:iOS逆向工具精选" 介绍了dumpdecrypted的砸壳,本篇文章也会介绍它.

1. dumpdecrypted

  • dumpdecrypted的产生
    由于AppStore下载的App是被苹果加密过的,可执行文件被套上一层保护壳
    class-dump无法作用于加密过的App
    想要获取头文件,需要先解密App的可执行文件,也叫砸壳
    dumpdecrypted就是由越狱社区的知名人士 Stefan Esser 出品的一款砸壳工具,被越狱社区广泛运用在iOS逆向工程研究中.

  • dumpdecrypted下载
    github地址: dumpdecrypted

dumpdecrypted
  • 你可以通过git clone ,也可以直接下载,下载过程不再详细介绍.

  • 我已经下载好了,我们看下文件内容


    dumpdecrypted 文件
  • 我们对它进行编译,终端执行make命令

make 编译
  • 我们看下编译后的生成了什么文件?
7747CD0B-86E8-4888-9567-912C72D44F3E.png
  • 我们看到生成了dumpdeycrypted.dylib

注意

  • 找到要砸壳的APP的Documents目录路径(某应用为例)

估计你看到这些,就会很头疼了,到底哪个是呢?

  • 我们借助强大的Cycript,让App告诉我们它在哪里,直接找到它的的根目录


  • 锁定该目录 065B70ED-FCD1-4874-B4A3-86F1B765945F

2960658-4d3bbc74c665ca04.png
  • 将dumpdecrypted.dylib拷贝到Documents目录下.
    有两种方式拷贝:
    第一种:
scp /Users/popo/Desktop/dump/dumpdecrypted/dumpdecrypted.dyli root@192.168.3.15:var/mobile/Containers/Data/Application/065B70ED-FCD1-4874-B4A3-86F1B765945F/Documents/dumpdecrypted.dylib

第二种:

以上两种方式,只需要拷贝成功就行,选择那种,根据个人喜好.

  • 开始砸壳
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/9AF4167F-D4AA-4DBB-A67D-A956CCDBDEF9/WeChat.app/WeChat mach-o decryption dumper

砸壳失败了,分析一下原因:
required code signature missing for 'dumpdecrypted.dylib
由于没有对dumpdecrypted.dylib签名,导致我们没有砸壳成功.

  • 解决问题是对dumpdecrypted.dylib文件签名,首先获取可签名的证书
  • 然后为dumpecrypted.dylib签名
codesign --force --verify --verbose --sign "iPhone Developer: `(开发这信息)`" dumpdecrypted.dylib 

然后在上传到手机

  • 进行第二次砸壳
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/9AF4167F-D4AA-4DBB-A67D-A956CCDBDEF9/WeChat.app/WeChat mach-o decryption dumper

在当前目录下会生成WeChat.decrypted文件

砸壳完成,然后你就可以拿着砸壳文件就行class-dump,静态分析汇编代码了.

问题:dumpdecrypted为什么拷贝到Documents目录下操作?

AppStore对沙盒以外的绝大数目录没有写权限. Documents目录下使用dumpdecrypted.dylib时,保证它能在当前目录下写一个decrypted文件.

2.Clutch

除了dumpdecrypted,我们还可以通过Clutch来解密.

  • Clutch砸壳的原理?
    Clutch是生成一个新的进程,然后暂停进程并dump内存.

  • 我们下载Clutch并编译

Clutch
  • 我们下载看下源码文件
Clutch编译源码
  • 我们选择真机,选择证书对源码进行编译,生成可执行文件
Clutch 可执行文件
  • 我们将编译的Clutch可执行文件拷贝到桌面,备用.
编译后的Clutch
  • 我们可以通过两种方式进行拷贝

1 通过iFunBox拷贝目录/usr/bin目录下

2960658-6322cba4ef28e53a.png

2 通过SCP拷贝

scp Clutch/clutch root@设备ip:/usr/bin/
  • 我们看下Clutch的参数

Clutch [OPTIONS]
-b --binary-dump     Only dump binary files from specified bundleID
-d --dump            Dump specified bundleID into .ipa file
-i --print-installed Print installed application
--clean              Clean /var/tmp/clutch directory
--version            Display version and exit
-? --help            Display this help and exit

经过对参数的翻译:


1.clutch -b 砸壳后的文件是二进制文件

2.clutch -d 砸壳后的文件是ipa文件

3.clutch -i 查看安装的应用

4.clutch --clean /var/tmp/clutch 目录清理

5.clutch --version 显示版本并退出

6.clutch -? --help 显示帮助并退出

  • 我们通过ssh协议通过终端连接越狱机

1.上图:我们可以看到通过执行 sh sshLogin.sh,我们不需要输入密码直接可以连接到越狱机,同事执行clutch -i 命令
2.从终端显示,执行的clutch -i 并没有执行成功
3.权限不够,加权来凑.我们需要对/usr/bin目录下的clutch进行加权
4.加权,你可以chmod 777 /user/bin/clutch
5.同样加权,你也可以通过chmod +x /user/bin/clutch
6. (1)中提交的sh 执行脚本,我会在文章iOS逆向工具之Cydia(iOS)介绍中介绍如何使用

  • 再次执行clutch -i 验证是否授权成功
clutch 授权成功
  • 我们进行砸壳


    砸壳准备

1.我们可以看到应用的再越狱中运行的序列号为1
2.我们还可以看到应用的bundle id

  • 我们砸壳可以通过两种方式进行

1.通过执行命令 clutch -d app序列号
2.通过执行命令 clutch -d app包名

  • 砸壳成功后,我们可以看到提示信息
# Zipping WeChat.app
# Swapping architectures..
# DONE: /private/var/mobile/Documents/Dumped/hk.itools.appe-iOS7.0-(Clutch-2.0.4).ipa
  • 我们可以看到砸壳生成ipa目录
ipa目录
  • 有了目录地址,我们通过iFunBox或者scp 拷贝到Mac,等待分析应用.

这就是Clutch砸壳,很容易使用

注意
虽然我们介绍了两款砸壳工具,并不代表,你想砸壳的应用,使用上面两种方式都很顺利.我曾经尝试砸壳某应用,使用两种方式,我并没有砸壳成功.

分析
1.有可能这款应用做了防护
2.我们的砸壳应用已经不使用某应用了,砸壳方式需要改变

我们接下来继续介绍第三方砸壳方式

3.frida-ios-dump 一条命令完成iOS应用砸壳

frida

Dynamic instrumentation toolkit for developers, reverse-engineers, and security researchers.
面向开发人员、逆向工程师和安全研究人员的动态工具工具包。

  • Frida地址: Frida

  • Frida的使用场景
    1. hook特定函数并更改返回值
    2. 分析特定协议,同时其动态嗅探,解密
    3. 应用调试
    4. 在iOS应用上dump类和方法信息

  • iOS在Cydia安装Frida,我们该怎样安装呢?

注意
如果你第一次打开Cydia,搜索Frida是搜索不到的,我们需要在软件源中添加,红线画的是frida软件源地址,你可以添加一下.

Cydia_Frida
  • 如果你已经配置完成,我们跳转到搜索页面
搜索frida

我们搜索frida,然后安装即可.

  • 我们Mac下安装frida,怎么安装呢?
    打开我们的终端,输入 sudo pip install frida
Mac下安装frida

我们通过终端已完成安装

注意
如果出现下面的错误

Uninstalling a distutils installed project (six) has been deprecated and will be
removed in a future version. This is due to the fact that uninstalling a distutils 
project will only partially uninstall the project.

我们如何解决这个问题呢?
原因:Apple预安装的这个six库出于安全原因被设置为sudo也不可以执行操作,所以需要依赖于高版本的库就需要更新six.
终端执行命令

sudo pip install frida –upgrade –ignore-installed six

问题解决后,你可以在尝试安装

  • 我们配置frida-ios-dump,并配置frida
    firda-ios-dump下载地址

  • 我已经下载好了,我们打开文件看看


    frida-ios-dump

我们可以看到js,python,sh脚本等文件

  • 我们执行sudo pip install -r /opt/frida-ios-dump/requirements.txt --upgrade命令配置环境
配置环境

下载了很多文件,需要等待一会,就会配置好

  • 我们还需要编辑一下dump.py文件中的参数
dump.py文件配置

1. 你可以直接打开文件
2. 你也可以通过命令打开文件vim /opt/dump/frida-ios-dump/dump.py,进行编辑后保存
3. 如果没有修改密码,这里了不需要进行修改;如果修改密码,请修改你的密码
4. 到这里frida环境配置完成

  • 我们打开终端,进行端口转发,通过ssh连接越狱机.(连接过程,我会在Cydia文章详细介绍)

端口转发

端口转发

ssh连接越狱机

ssh连接越狱机

  • 我们接着执行dump.py -l命令,查看一下需要砸壳的应用
dump.py -l
  • 接着我们执行dump.py 应用名/应用bundle id
砸壳成功,生成ipa
  • 可以在用户目录下找到砸壳的ipa
ipa文件
  • 我把ipa中的二进制文件拷贝到桌面,验证是否砸壳成功
砸壳成功

没有壳的应用,cyrptid 为0

4.总结

我们本篇文章主要讲解了砸壳三剑客.

  • dumpdecrypted
  • Clutch
  • frida-ios-dump

文章介绍到这里了.

下篇文章继续介绍iOS逆向工具.

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,378评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,356评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,702评论 0 342
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,259评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,263评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,036评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,349评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,979评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,469评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,938评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,059评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,703评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,257评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,262评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,485评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,501评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,792评论 2 345