1.什么是脱壳?
- 摘掉壳程序,将未加密的可执行文件还原出来(有些人也称为“砸壳”)
- 脱壳主要有2种方法:硬脱壳、动态脱壳
截屏2021-03-09 下午12.41.17.png
2.iOS中的脱壳工具
- Clutch
- dumpdecrypted
- 我使用frida-ios-dump (因为我使用上面两种会出现问题。选用的是
python3.9版本(尝试使用系统的python出现了问题,系统的有很多个版本),通过brew下载的python3.9,通过bash_profile确定使用哪个python3.9版本,以及pip3.9)。经过一些列的操作,最终解决了问题[泪]...。
3.如何验证可执行文件是否已经脱壳?
- 查看
Load Commands->LC_ENCRYPTION_INFO->Crypt ID的值,0代表未加密 - 通过otool命令行也可以:
otool -l <可执行文件路径> | grep crypt
4. Clutch - 配置
-
下载最新的Release版
截屏2021-03-09 下午12.49.20.png - 建议去掉版本号,改名为Clutch
- 将Clutch文件拷贝到iPhone的/usr/bin目录
截屏2021-03-09 下午12.50.01.png
4.如果在iPhone上执行Clutch指令,权限不够,赋予“可执行的权限”
截屏2021-03-09 下午12.51.07.png
5. Clutch – 使用
截屏2021-03-09 下午12.51.41.png
6.dumpdecrypted
- 下载源代码,然后在源代码目录执行
make指令进行编译,获得dylib动态库文件
- 将dylib文件拷贝到iPhone上(如果是root用户,建议放
/var/root)
目录) - 终端进入dylib所在的目录
- 使用环境变量
DYLD_INSERT_LIBRARIES将dylib注入到需要脱壳的可执行文件(可执行文件路径可以通过ps -A查看获取)
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件路径
截屏2021-03-09 下午12.58.21.png
- .decrypted文件就是脱壳后的可执行文
截屏2021-03-09 下午12.59.40.png
dumdecrypted – 细节
- 在使用过程中,可能会遇到以下错误
截屏2021-03-09 下午1.01.40.png
- 原因:对dylib所在的文件夹权限不够
- 解决方案:将dylib放在用户所在文件夹,比如
如果是root用户,请将dylib放在/var/root目录
如果是mobile用户,请将dylib放在/var/mobile目录
frida-ios-dump的使用
- Install frida on device
sudo pip install -r requirements.txt --upgrade- Run usbmuxd/iproxy SSH forwarding over USB (Default 2222 -> 22). e.g.
iproxy 2222 22 - Run ./dump.py
Display nameorBundle identifier
For SSH/SCP make sure you have your public key added to the target device's ~/.ssh/authorized_keys file.
有多个python的话需要制定一个在bash_profile取一个别名alias,否则可能出现问题,不用了可以删掉
alias python=/usr/local/bin/python3.9
alias pip=/usr/local/bin/pip3.9
frida执行脱壳是python运行的
lixueliang@lixueliangdeMacBook-Pro frida-ios-dump % python ./dump.py `Display name` or `Bundle identifier`
