更新:2020年1月19日,加入破解 iOS12.0+系统无法使用 cycript 的解决方案。
前言
废话不多说,直接进正题。
想要破解iOS应用,你需要准备些什么:
- 一个已越狱的手机。(本文用的是已越狱的5s, 8.1.2)
- class-dump。点我查看class-dump的配置方法。
- iFunBox。(安装在电脑端。不是必须,本文拷贝文件用到的是这个)
- Cycript。(使用cydia安装在手机端)
- OpenSSH、MTerminal。(使用cydia安装在手机端,点我查看在终端使用ssh连接手机的方法)
- dumpdecrypted。(用来砸壳,下面有详细介绍)
一 砸壳
这里我们用到的砸壳利器是dumpdecrypted。
1. 制作砸壳工具,即dumpdecrypted.dylib.
1). 从github上clone或下载 dumpdecrypted 源码到本地。下载之后的目录如图(我把默认的目录名”dumpdecrypted-master”改成了”dumpdecrypted”):
2). 编译源码获得dumpdecrypted.dylib。方法如下:
a.打开终端,进入dumpdecrypted目录。
b.输入命令make。
命令执行完成后会生成一个dumpdecrypted.dylib文件,这个就是砸壳需要用到的工具。这个文件可重复使用,不需要再次生成。如下图:
2. 把砸壳工具拷贝到待破解app的documents目录下。
1)定位可执行文件。使用ssh连接手机,并打印所有进程。为方便准确定位到目标app,最好先关闭所有app,然后打开目标app。(尽量把终端的窗口拉宽一些,因为输出的内容比较长,窗口窄的话内容会截断。)如下图:
3. 使用cycript找到目标app的documents目录路径。
1)输入命令:
cycript -p TargetApp进入cycript环境。2)输入命令:
[[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask][0],获取documents目录路径。如下图:
4. 将dumpdecrypted.dylib拷贝到documents目录下。命令如下:
1)使用快捷键Ctrl-D退出cycript环境。
2)输入命令
logout,退出手机连接。3)使用scp命令拷贝文件至手机,如图:
5. 进行砸壳。
1)连接手机。
2)进入Documents目录。
3)输入砸壳命令
DYLD_INSERT_LIBRARIES=/path/to/dumpdecrypted.dylib /path/to/executable,进行砸壳。这里有两点要注意:1是这个命令的"="号前后不能有空格,2是”=”号后的路径要替换成真实的dumpdecrypted.dylib的路径和可执行目标文件的路径。如下图:
4)砸壳成功后,会在Documents目录下生成一个后缀为.decrypted的文件。这个就是我们用来分析的文件了。如图:
6. 把砸壳后的文件拷贝至电脑。我是用的iFunBox,你也可以用scp的方式。选择.decrypted文件,然后点击“CopyToMac”,选择一个目录保存就可以了。如图:
保存成功后如图:
二 dump头文件
破壳之后就可以进行dump了,命令为class-dump -S -s -H /path/to/TargetApp.app/Target -o /path/to/headers,两个参数分别是砸壳后的.decrypted文件和存放所dump出来的头文件的目录(这个目录可提前创建好)。效果如下图:
看下图可以看到,我成功把这个app的头文件dump出来了,一共718个。
三 Cycript分析
头文件得到之后就可以使用Cycript进行分析了。步骤如下:
1. 在手机上启动目标app,并打开你要分析的界面。
2. 连接手机。命令:ssh root@192.168.1.25
3. 进入Cycript环境。命令:cycript -p TargetApp
4. 展示待分析界面的信息。在cy#后输入命令:[[UIApp keyWindow] recursiveDescription].toString()
如下图:
如图所示,层级关系就是父子关系。比如UINavigationTransitionView: 0x125d3b060就是UIViewControllerWrapperView: 0x17018a4f的父控件。
我们可以通过控件的名字去dump出来的头文件目录中找到对应的头文件进行分析。
在cycript中操纵某个对象是直接通过它的内存地址的。比如我们要获取UIViewControllerWrapperView的父控件,需要输入命令:
[#0x17018a4f0 nextResponder],如图:
再比如我们要修改界面中UILabel: 0x125d509a0中的文字,则输入命令:
[#0x125d509a0 setText:@"21"],如图:
这时你再去查看手机上的界面,这个label的文字就被替换成了21。
cycript 停止维护解决办法
如果越狱的手机系统为12.0+,cycript 停止维护,无法正常使用 cycript。解决方案在此:通过 cyrun 使用 cycript 调试。
我做的步骤如下:
- 1.把
cycript_0.9.594_iphoneos-arm.deb、net.tateu.cycriptlistenertweak_1.0.0_iphoneos-arm.deb和net.tateu.cyrun_1.0.5_iphoneos-arm.deb下载到 Mac 上。 - 通过 iFunBox 把三个 deb 文件拷贝到手机中的
var目录下。
- 通过 iFunBox 把三个 deb 文件拷贝到手机中的
- 通过ssh 连接手机,然后执行命令进行安装,如下:
dpkg -i cycript_0.9.594_iphoneos-arm.deb
dpkg -i net.tateu.cycriptlistenertweak_1.0.0_iphoneos-arm.deb net.tateu.cyrun_1.0.5_iphoneos-arm.deb
- 通过ssh 连接手机,然后执行命令进行安装,如下:
- 执行命令
cyrun -n SpringBoard -e,就会进入 cycript 环境中了,如下:
- 执行命令
david:/var/cyrun root# cyrun -n SpringBoard -e
applicationName: SpringBoard is running (5505)
executableName: SpringBoard
bundleIdentifier: com.apple.springboard
Cycript is inactive:
Device is passcode locked
Tweak Mode
Do you want to continue enabling Cycript (y or n)? y
Waiting for Process to close...
Waiting for SpringBoard to launch...
Waiting for Cycript to become active...
Success, you may now run
cycript -r 127.0.0.1:8556
cy#
提示:可以把命令中的SpringBoard 替换为待破解 app 的名称。
总结
到此为止,我们就可通过cycript结合dump出的头文件进行分析了。如果再想深入,可以使用lldb打断点分析,本文就不展开讲了(后期会写文章专门介绍)。还有IDA和Reveal进行界面分析,相关问题可以回复我。
感谢沙神。
