准备

首先你要有一台越狱机，纯属废话！其次确认越狱机上的 SSH、SCP、Cycript 工具可用，接下来就可以开启奇妙的砸壳之旅了！

将砸壳进行到底

编译签名 dumpdecrypted

1. 下载 dumpdecripted 源码

   MYMacBook:Desktop jiaxw$ git clone git@github.com:stefanesser/dumpdecrypted.git
   

2. cd 到 dumpdecripted 目录，输入 make 直接编译

   MYMacBook:Desktop jiaxw$ cd dumpdecrypted/
   MYMacBook:dumpdecrypted jiaxw$ make
   

   友情提示：许多资料说 Xcode SDK 版本要与越狱手机 iOS SDK 版本一致。笔者测试，不一致编译的 dumpdecripted.dylib 也可用。如不能使用，请下载与 iOS 系统版本对应的 Xcode，并修改 Makefile 中的 SDK 路径，重新编译。修改后的 Makefile 如下：

   GCC_BIN=`xcrun --sdk iphoneos --find gcc`
   GCC_UNIVERSAL=$(GCC_BASE) -arch armv7 -arch armv7s -arch arm64
   SDK=/the root path of your Xcode/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS10.0.sdk
   

3. 为编译生成的 dumpdecrypted.dylib 签名
   曾记得在 iOS 9 砸壳时，dumpdecrypted.dylib 没签名也可用。在 iOS 10时，提示以下错误：

   dyld: could not load inserted library 'dumpdecrypted.dylib' because no suitable image found.  Did find:
   dumpdecrypted.dylib: required code signature missing for 'dumpdecrypted.dylib'
   

   1. 输入下面命令，获取开发者账号信息

      MYMacBook:dumpdecrypted jiaxw$ security find-identity -v -p codesigning
      1) 58E55DB5A7A35CE9ECF6601FE6C6166FDBB7555C "iPhone Developer: xxxxxx@163.com (xxxxxxxxxx)"
      

   2. 使用 codesign 为 dumpdecrypted.dylib 签名

      MYMacBook:dumpdecrypted jiaxw$ codesign --force --verify --verbose --sign "iPhone Developer: iPhone Developer: xxxxxx@163.com (xxxxxxxxxx)" dumpdecrypted.dylib
      dumpdecrypted.dylib: signed Mach-O universal (armv7 armv7s arm64) [dumpdecrypted]
      

砸壳

1. 使用 scp 工具，将签名后的 dumpdecrypted.dylib 传输到越狱手机

   MYMacBook:dumpdecrypted jiaxw$ scp dumpdecrypted.dylib root@192.168.31.87:~/
   

2. 使用 ssh 登录连接到越狱手机

   MYMacBook:dumpdecrypted jiaxw$ ssh root@192.168.31.87
   

3. 启动要砸壳的 App，以微信为例，查找其安装路径，后面砸壳时要输入此路径。如若不知道启动 App 的进程名，输入 ps -e 即可

   iPhone6s:~ root# ps -e | grep WeChat
   4308 ??         0:00.58 /var/containers/Bundle/Application/6F92D215-8F9B-470E-93DB-10EFA9D72455/WeChat.app/WeChat
   

4. 将 cycript 注入微信进程，获取微信沙盒 Documents 路径

   iPhone6s:~ root# cycript -p WeChat
   cy# [[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask][0]
   #"file:///var/mobile/Containers/Data/Application/3B83C7FD-3D73-4FEF-B33E-51CE76685E53/Documents/"
   

5. 输入 Control+D，退出 cycript
6. cd 到上面获取的 Documents 目录

   root# cd /var/mobile/Containers/Data/Application/3B83C7FD-3D73-4FEF-B33E-51CE76685E53/Documents/
   

7. 将 dumpdecrypted.dylib 拷贝到 Documents 目录

   cp ~/dumpdecrypted.dylib ./
   

8. 万事俱备，只待砸壳，执行下面命令

   root# DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/6F92D215-8F9B-470E-93DB-10EFA9D72455/WeChat.app/WeChat
   

9. 上述命令运行完毕后，输入 ls 查看当前目录文件，WeChat.decrypted 即为砸壳后的二进制文件

总结

本文主要记述了使用 dumpdecrypted 砸壳过程。除了 dumpdecrypted，常用的砸壳工具，还有大名鼎鼎的 Clutch，AloneMonkey大神的 frida-ios-dump。其中 Clutch 简单易用，但不甚稳定，对一些较大的 App 砸壳时常失败，比如微信。frida-ios-dump 稳定可靠，操作极其方便，砸壳后直接将 ipa 文件传输电脑端，但环境配置起来比较复杂，手机端需要安装frida-server，有三十多兆，占用不少系统盘资源，一些低端机比较吃紧。dumpdecrypted 使用也很稳定，不需要复杂的环境配置，但 dumpdecrypted 砸壳后只能获取解密的二进制执行文件，复制一份原有 app 包，用解密后的二进制文件替换原有文件，可以获取完整解密 app包。总之，dumpdecrypted 操作起来相较其他两款砸壳工具复杂很多，但在这复杂的过程中我们能学到更多东西！