0x0 获取
iTunes下载
现在iTunes已经没有下载ipa的功能了
第三方市场
目前大部分只能依靠第三方市场来下载,而且第三方市场的ipa其实有一个优势,大部分都是已经脱壳的,省去一个步骤
OTA安装的企业版app
这种就更好办了
- 首先拿到ota的url,基本上是itms-service之类的scheme
- 查看里面的一个url=的参数,就是plist配置的地址
- 下载或者查看这个plist,可以发现里面就有ipa的真正地址了
0x1 砸壳
如果你的包是appstore上的包,那么苹果会加壳,我们需要先砸了
主流的砸壳基本上都是在手机上操作,所以大前提是你有一台越狱的手机
现在我基本上都是第三方市场下载或者企业版证书的app,不过有兴趣还是可以了解一下的
0x2 分析
一般我们逆向一个app,还是先把头文件dump出来分析一下,主要还是利用 nygard/class-dump,具体用途看它的 readme 就差不多了
class-dump -H xxx.app -o /Users/Desktop/Header
如果有更深入的分析要求,可以利用hopper、ida分析,包括一些调用关系等
0x3 编写dylib
当目标分析完成,需求确定之后,就可以开始编写自己的dylib了
至于dylib的工程模板网上很多,可以参考 Xcode4.6创建和使用iOS的dylib动态库
一个很常规的做法,就是随便创建一个类,添加一个+ (void)Load作为你的代码入口,或者在全局作用域上直接调用创建一个单例,如下
static Hacker *g_hacker = [Hacker sharedInstance]
@implementation Hacker
+ (instancetype)sharedInstance
{}
+ (void)load
{
// Setup my code here
}
@end
0x4 注入dylib
完成dylib后,需要把它挂到目标app上,这里需要用到 optool 来给执行文件添加LoadCommand
git clone –recursive https://github.com/alexzielenski/optool.git
cd optool
xcodebuild -project optool.xcodeproj -configuration Release ARCHS=”x86_64” build //编译
/path/to/optool install -c load -p “@executable_path/yourdylib.dylib” -t /yourexefile
如果不放心,可以用Mach-O Viewer,或者otool来检验一下
otool -L yourexefile
0x5 重签
万事俱备,现在就只差如何安装到你的手机上了
因为你下载的app经过你的修改,你也没有原来的证书可以打包,手机也不在原来的证书设备内,因为是无法安装的,这时候需要重签为你自己的证书,来允许安装到你的手机上(未越狱)
iOSResigner
// 查看你电脑目前的证书
security find-identity -v -p codesigning
// resign
./iOSResigner --ipa="Debug/test.ipa" --identity="iPhone Developer: xxx yyy (9J4EHR5R28)" --provision="cert/dev.mobileprovision" --output="out/test_resigned.ipa"
如果有需求修改里面的东西再重新打包的话
cd inside-folder
zip --symlinks -r -q ../abc.ipa *
或者
xcrun -sdk iphoneos PackageApplication
-v ./PaulTest.app
-o ./paultest_yk_ume_release.ipa
iOS App Signer
这里介绍一个更好使的开源工具 iOS App Signer,这个工程可以自动搜索本机的证书和配置文件,如果不想编译那么麻烦,也可以在releases里面直接下载编译好的
这个工具有几个缺点
- 不会实时监测文件的变化,所以有变动证书相关文件,需要重启app
- 因为Xcode的下载证书相关,不会鉴别过期与否,有效与否,一脑子全部下下来,app本身也不会鉴别是否有效
- 在重签后安装不上的,需要人肉验证上面两步,嫌麻烦就整个文件夹删了,到Developer确保证书没问题,然后全部重新下下来
Provisioning Profiles 存放的目录
~/Library/MobileDevice/Provisioning Profiles
0x6 参考
iOS Hacker 动态库 dylib 注入
iOS Hacker 重签名实现无需越狱注入动态库 dylib
iOS Hacker dumpdecrypted脱壳
iOS app 逆向分析
