iOS逆向工程(十一):iOS签名机制

前言

想把逆向之后的APP安装到非越狱的手机上,就需要研究一下iOS的签名机制了,了解了原理之后,就可以使用codesign对APP的动态库、AppExtension、APP包进行重签名了,然后就可以安装到非越狱手机上了
一、签名基础知识 - 对称加密
    1. 对称加密,就是加密、解密使用的是同一个密钥,如下图所示,常见的对称加密算法有DES、3DES、AES,目前AES已经逐步取代DES、3DES,成为首选的对称加密算法了。
    对称加密
    1. 使用对称加密,一定会碰到密钥配送问题,例如: A将加密后的信息发给B,B想解密的话,就需要拿到密钥,但是B应该怎么在保证安全的前提下拿到密钥呢?
    1. 解决密钥配送问题的几种办法:事先共享密钥、密钥配送中心、Diffie-Hellman密钥交换、非对称加密
二、签名基础知识 - 非对称加密
    1. 非对称加密,也称公钥密码,非对称加密的密钥分为加密密钥、解密密钥两种,并不是同一个密钥,如下图所示,目前使用最广泛的非对称加密算法是:RSA非对称加密算法
      非对称加密
    1. 公钥可以公开,私钥不能公开,私钥和公钥都可以用来加密解密,公钥加密,就必须用私钥解密,私钥加密就必须用公钥解密
    1. 公钥和私钥是一一对应的,不能单独生成,一对公钥和私钥统称为密钥对
    1. 私钥加密的密文,必须用对应的公钥才能解密
    1. 公钥加密的密文,必须用对应的私钥才能解密
三、混合密码系统
    1. 对称加密不能很好的解决密钥配送问题 ,非对称加密的加密解密速度又慢,我们可以将对称加密和非对称加密混合使用,就可以解决这两个缺点,思路如下,如今网络上的密码通信所用的SSL/TLS都运用了混合密码系统
混合密码系统
    1. 消息接收者受到上述组合消息后,就可以拿出自己的私钥解密出对称密码的密钥,然后用此密钥解密消息
    1. 混合密码系统不仅解决了密钥配送问题,还解决了非对称加密解密速度慢的问题
四、签名基础知识 - 单向散列函数
    1. 单向散列函数,又被称为消息摘要函数、哈希函数,根据数据内容计算出散列值,散列值具备以下特点:
    • 对于任意长度的消息,用同一个散列函数,得出的散列值的长度是相同的

    • 计算速度快,能快速计算出散列值

    • 消息不同,散列值也不同,对数据很敏感,哪怕只有一位不同,最后得出的散列值也完全不同

    • 具备单向性,可以用消息算出散列值,但是很难从散列值回推出消息

    1. 常见的几种单向散列函数:
    • MD4、MD5,产生128bit的散列值,目前已经不安全了

    • SHA-1产生160bit的散列值,目前已经不安全了

    • SHA-2是SHA-1的继任者,包括SHA-256、SHA-384、SHA-512等等,目前还是安全的

    • SHA-3,第三代安全散列算法,目前是安全的

    1. 单向散列函数的几个应用:对比散列值防篡改、密码散列做加密
五、签名基础知识 - 数字签名
    1. 数字签名,就是消息发送者用自己的私钥,对消息的散列值进行加密,消息接受者用公钥解密,这样做,主要为了证明消息是从发送者手里发出去的,没有被篡改过,因为私钥只有消息发送者才有。
    1. 数字签名的整个流程,如下图所示:


      数字签名
    1. 数字签名的作用:确认消息的完整性和是否被篡改,防止消息发送人否认,单纯的数字签名并不能保证机密性
    1. 要想正确的使用签名,前提是验证签名的公钥必须属于发送者,如果上图中的Bob是个攻击者伪装的假Bob,那么这个攻击者就可以自己生成新的密钥对,然后将攻击者的公钥给真Bob,从而伪造信息,所以使用签名前,必须验证公钥的合法性
六、签名基础知识 - 证书
    1. 如何验证公钥的合法性呢?答案就是使用证书,证书是指:权威机构(CA)用自己的私钥对别人合法的公钥的散列值进行加密,也就是对别人的公钥进行数字签名,然后生成一个证书,来证明这个公钥是合法的,证书里面一般会包含:姓名、邮箱等个人信息;还有合法的公钥;以及CA施加的数字签名
    1. 证书的使用过程,如下图所示:


      证书的使用过程
  • 3. 基础知识总结:
    • (1). 对称加密,加密解密用的同一个密钥,加密解密速度快 ,但是无法解决密钥配送问题
    • (2). 非对称加密,加密解密用的密钥不同,用公钥加密需用私钥解密,私钥加密用公钥解密,加密解密速度慢,可以解决密钥配送问题
    • (3). 单向散列函数,根据消息生成固定长度的散列值,可以用来防止数据被篡改
    • (4). 数字签名,用私钥加密消息的散列值,生成密文,接受者用公钥解密,进行对比
    • (5). 证书,用CA的私钥,对其他人的合法公钥生成数字签名,也就是用私钥对别人的合法公钥的散列值进行加密
七、iOS签名机制
    1. 基础知识学完了,我们正式开始学习iOS的签名机制,iOS签名机制的作用就是:保证安装到用户手机上的APP,都是经过苹果官方允许的
    1. 真机调试和打包应用的时候,都会经历以下步骤:
    • 生成.certSigningRequest文件

    • 获得ios_development.cer \ ios_distribution.cer证书文件

    • 注册device、添加App ID

    • 获得*.mobileprovision文件

    1. 上述的步骤每一步都做了什么事情呢?生成的这些文件包含了什么呢?听我娓娓道来:
    • CertificateSigningRequest.certSigningRequest文件,其实就是Mac设备的公钥
      .certSigningRequest.png
  • ios_development.cer、ios_distribution.cer文件,其实就是用Apple后台的私钥,对Mac设备的公钥进行签名后的证书文件

    证书.png

  • .mobileprovision文件就是把.cer、devices设备ID、App ID、entitlements权限文件放在一起,用Apple的私钥做了一次数字签名

mobileprovision文件
    1. iOS签名机制的整个流程如下:(每台iPhone上都会有Apple的公钥)
      iOS签名机制流程图
    1. 如果App是通过打包或者真机调试安装到手机上的话,都会经历以下的安全检测,如果有一项不匹配,就无法安装
      安全检测.png
    1. 如果App是从AppStore下载安装的,你会发现里面是没有mobileprovision文件的,它的验证流程会简单很多,如下所示:
      AppStore下载的验证流程.png
八、iOS重签名
    1. 我们使用codesign命令,对App进行重签名,步骤如下:
    • (1). 准备一个embedded.mobileprovision文件,必须是付费证书产生的,appid、device一定要匹配,准备好后,放入.app包中
      • 可以通过Xcode自动生成,然后再编译后的APP包中找到
      • 也可以通过开发者证书网站生成下载
    • (2). 从embedded.mobileprovision文件中提取出entitlements.plist权限文件,命令如下:
security cms -D -i embedded.mobileprovision > temp.plist
/usr/libexec/PlistBuddy -x -c 'Print :Entitlements' temp.plist  > entitlements.plist
  • (3). 通过以下命令,查看可用的证书,并拿到证书ID
security find-identity -v -p codesigning
  • (4). 对.app内部的动态库、AppExtension等进行签名
codesign -fs 证书ID xxx.dylib
  • (5). 对.app包进行重签名
codesign -fs 证书ID --entitlements entitlements.plist  xxx.app
    1. 除了使用命令行重签名以外,我们还可以使用GUI图形化工具进行重签名,这里推荐两个比较好用的工具:
    • iOS App Signer,可以对.app重签名打包成.ipa,需要再.app包中提供对应的embedded.mobileprovision文件

    • iReSign,可以对ipa进行重签名,需要提供entitlements.plist、embedded.mobileprovision文件的路径

九、对tweak项目进行重签名
  • 1. 准备好tweak项目的App包,还有通过tweak生成的dylib库
    • (1). 拿到脱壳后的ipa文件,具体脱壳方法可以看这里,一键脱壳,以便后续使用

    • 也通过MJAppTools工具MJAppTools -l命令,找到微信的Mach-O可执行文件路径 ,通过iFunBox将其拖出来,然后用class-dump进行脱壳,以便后续使用

    • (2). 通过iFunBox,在手机的Device/Library/MobileSubstrate/DynamicLibraries目录中,找到通过tweak生成的WeChatTest.dylib库,拖出来以便后续使用

    • (3). 将App包中的Info.plist文件里的设备列表UISupportedDevices删掉,并保存,主要为了防止安装时报不支持设备的错误

  • 2. 从苹果开发者网站准备一个embedded.mobileprovision文件,必须是付费证书产生的,appid、device一定要匹配,准备好后,放入App包中
  • 3. 使用insert_dylib库dylib动态库注入到Mach-O文件中
    • (1). 将下载好的insert_dylib库进行编译,拿到release版本的insert_dylib库,将其放入到mac的/usr/local/bin目录下,这样就可以在命令行里使用insert_dylib命令了

    • (2). 命令格式是:insert_dylib 动态库加载绝对路径 Mach-O文件,这个命令有两个常用的参数:--weak,及时动态库找不到也不会报错;--all-yes,后面的所有选项都是yes

@executable_path代表可执行文件所在的目录
@loader_path代表动态库所在的目录

将tweak_xxx.dylib注入到MachO_XXX文件中,命令如下 :
insert_dylib @executable_path/tweak_xxx.dylib MachO_XXX  --weak --all-yes

将WeChatTest.dylib注入到WeChat可执行文件中,命令如下:
insert_dylib @executable_path/WeChatTest.dylib WeChat --weak --all-yes
  • 4. 使用在mac命令行,输入otool -L Mach-O可执行文件命令,查看dylib库的依赖文件,我们发现tweak生成的dylib库依赖CydiaSubstrate库,所以想要在非越狱手机上安装,就必须把CydiaSubstrate库也注入到Mach-O文件中
使用otool命令,找到WeChatTest.dylib的依赖库
otool -L WeChatTest.dylib

输出了下面这个,证明WeChatTest.dylib依赖CydiaSubstrate
/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate (compatibility version 0.0.0, current version 0.0.0)
  • 5. 在手机上的Device/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate,找到CydiaSubstrate库,拖出来,以便后续使用
  • 6. 由于非越狱设备中没有CydiaSubstrate库,所以要把CydiaSubstrateWeChatTest.dylib放在同一个目录下,并且更改WeChatTest.dylib中的CydiaSubstrate库的加载地址,命令是:install_name_tool -change 旧地址 新地址 Mach-O文件
更改WeChatTest.dylib中的CydiaSubstrate库的加载地址
install_name_tool -change /Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate @loader_path/CydiaSubstrate  WeChatTest.dylib
  • 7. 对动态库进行重签名,命令是:codesign -fs 证书ID xxx.dylib
查看所有可用证书,选择合适的证书,进行重签名
security find-identity -v -p codesigning

先对CydiaSubstrate进行重签名
codesign -fs 2E377710143F8F007535CA3791B29FBDBF173BB9 CydiaSubstrate

再对WeChatTest.dylib进行重签名
codesign -fs 2E377710143F8F007535CA3791B29FBDBF173BB9 WeChatTest.dylib
  • 8. 用iOS App Signer对.app包进行重签名,需要将CydiaSubstrate、WeChatTest.dylib都放入.app包中,在进行重签名,iOS App Signer会自动给Framework、dylib、AppExtension、WatchApp、.app包重新签名
image.png
  • 9. 使用iFunBox工具把签好名的ipa包,安装到非越狱手机上,如果安装失败,可以打开控制台,查看安装失败的日志找原因
十、总结一下

整个逆向、重签名过程的原理,其实非常简单,如下所示,假设我们要为微信开发插件

    1. 通过Theos生成一个dylib动态库: A.dylib(为了方便叙述,我们称它为A.dylib动态库)
    1. 通过insert_dylibA.dylib注入到脱壳后微信的可执行文件中,把A.dylib和它依赖的CydiaSubstrate库一起放到WeChat.app包中,也就是跟微信可执行文件同一个目录下 (一键脱壳的方法
寻找A.dylib库
在手机的Device/Library/MobileSubstrate/DynamicLibraries目录中,可以找到通过tweak生成的A.dylib库

寻找CydiaSubstrate库
在手机上的Device/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate,可以找到CydiaSubstrate库

注入A.dylib到WeChat可执行文件
insert_dylib @executable_path/A.dylib WeChat --weak --all-yes WeChat
    1. 修改A.dylibCydiaSubstrate库的加载路径,把绝对路径改成相对路径
install_name_tool -change /Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate @loader_path/CydiaSubstrate  WeChatTest.dylib
    1. WeChat.app包中的Info.plist文件里的设备列表UISupportedDevices删掉,并保存,主要为了防止安装时报不支持设备的错误
    1. WeChat.app包中的所有Info.plist文件里的com.tencent.xin都改成你想改的BundleID,例如我就改成:com.test888.888,包括插件、扩展里的。(大部分的com.tencent.xin都需要改,要是不知道作用的话,建议你全改)
    1. 从苹果开发者网站准备一个embedded.mobileprovision文件,必须是付费证书产生的,appid、device一定要匹配,准备好后,放入WeChat.app包中
    1. 使用codesign命令对A.dylibCydiaSubstrate库进行重签名
查看所有可用证书,选择合适的证书,进行重签名
security find-identity -v -p codesigning

先对CydiaSubstrate进行重签名
codesign -fs 2E377710143F8F007535CA3791B29FBDBF173BB9 CydiaSubstrate

再对WeChatTest.dylib进行重签名
codesign -fs 2E377710143F8F007535CA3791B29FBDBF173BB9 A.dylib
    1. 使用iOS App Signer对WeChat.app包进行重签名,证书一定要选择对,然后通过iFunBox安装到手机即可,遇到错误查看控制台日志 (由于上面已经改过了BundleID,这里就不需要再改了)
      iOS App Signer会给包里的所有动态库、插件、扩展进行签名.png
    1. 以上这么多步骤,就是为了模拟真机调试的过程,为啥描述文件要命名为embedded.mobileprovision呢,因为真机调试的时候,苹果就把描述文件命名为embedded.mobileprovision,你可以在真机调试的.app包中查看,通过这些步骤,让苹果设备误以为你是真机调试,就可以把逆向的App安装到非越狱的手机上啦。
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,033评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,725评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,473评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,846评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,848评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,691评论 1 282
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,053评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,700评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,856评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,676评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,787评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,430评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,034评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,990评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,218评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,174评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,526评论 2 343