IOS APP破解完整流程（逆向工程完整詳解）

最近手癢，整理了下IOS APP逆向工程相關資料，分享出來你們一塊兒看看。

逆向工程可分爲四步：砸殼、dump、hook、重籤。

1、砸殼：

　　概述：IOS的APP，若上傳了App Store會被蘋果進行一次加密，因此咱們下載下來的安裝包都是加密的，若要進行dump須要進行一次解密，即砸殼。

咱們以微信爲例：

　　首先咱們須要一臺已經越獄了的iPhone手機，而後進入Cydia安裝須要的三款工具openSSH、Cycript、iFile。（調試程序時能夠方便地查看日誌文件）

　　新版本iTunes已經將應用功能去掉了，因此你們只能用手機從App Store下載最新微信。

　　砸殼第一步：獲取微信的可執行文件的具體位置和沙盒的具體位置，咱們先把iPhone上的全部程序都關掉，惟獨留下微信。

　　

　　鏈接ssh，打開Mac的bash，用ssh連上iPhone(確保iPhone跟Mac在同一個網段)。openSSH的root密碼默認爲：alpine

　　而後輸入命令 ps -e | grep WeChat

　　有時候咱們須要一個APP的Bundle id了，這裏筆者有一個小技巧，咱們能夠把iPhone上的全部App都關掉，惟獨保留APP如微信，而後輸入命令

ps -e　　，即可輸出當前運行的APP的Bundle id。

　　尋找沙盒Documents具體路徑，咱們須要用Cycript找出微信的Documents具體路徑。輸入命令cycript -p WeChat

　　打開微信，進入cy#模式輸入NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, ES)[0]就能找出Documents的具體路徑，或者使用cy# directory = NSHomeDirectory()，也能夠獲得沙河位置（缺乏/Documents）。

　　control+D 可退出模式

• 編譯dumpdecrypted
  進入dumpdecrypted源碼的目錄，輸入指make來編譯dumpdecrypted。通常make後會在當前目錄下生成一個dylib文件。
  

  

  • 5.建立動態庫文件

    （1）一錯

    在確保Makefile中對動態庫的設置和iOS真機環境一致後，在當前目錄下輸入：make。

    可是失敗了，錯誤信息以下：

    1. `xcrun --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c
    2. /bin/sh: /Applications/Xcode: No such file or directory
    3. make: *** [dumpdecrypted.o] Error 127

    緣由是找不到/Applications/Xcode來執行其中的一些腳本。 好吧，個人Mac中有3個Xcode：/Applications/Xcode 5.0.2, /Applications/Xcode 5.1.1, /Applications/Xcode 6 Beta4，就是沒有/Applications/Xcode。

    沒事，將Xcode 5.1.1重命名爲Xcode就好了：

    1. $ sudo mv Xcode\ 5.1.1.app/ Xcode.app/

    （2）再錯

    再make，仍是報錯，錯誤信息和上面同樣。

    不怕，咱們還有xcode-select這個小夥伴，一般Xcode找不到之類的錯誤都應該找它幫忙：

    1. $ xcode-select -p
    2. /Applications/Xcode 5.1.1.app/Contents/Developer
    
    原來xcrun查找cmd tool時的路徑仍是Xcode 5.1.1/，固然什麼都找不到了。這時候將它重置就好了（默認是/Applications/Xcode.app/）：
    1. $ sudo xcode-select -r
    2. $ xcode-select -p
    3. /Applications/Xcode.app/Contents/Developer

    （3）成功

    再make，成功，輸出以下：

    1. $ make
    2. `xcrun --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c
    3. `xcrun --sdk iphoneos --find gcc` -Os -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -dynamiclib -o dumpdecrypted.dylib dumpdecrypted.o
    5. $ ls
    6. Makefile dumpdecrypted.c dumpdecrypted.o
    7. README dumpdecrypted.dylib
    
    能夠看到目錄中多了兩個文件，其中dylib後綴的就是咱們要建立的動態庫文件，也就是用來砸殼的錘子。
    
    

• scp拷貝指令
  使用scp指令把dumpdecrypted.dylib拷貝到iPhone的Documents路徑目錄下輸入指令：scp 源文件路徑:目標文件路徑
  

  

• 開始砸殼！！！
  回到手機的ssh上，輸入dumpdecrypted的指令。
  dumpdecrypted的具體用法：DYLD_INSERT_LIBRARIES=/PathFrom/dumpdecrypted.dylib /PathTo
  

  

複製代碼

mach-o decryption dumper
DISCLAIMER: This tool is only meant for security research purposes, not for application crackers.
[+] detected 32bit ARM binary in memory.
[+] offset to cryptid found: @0x56a4c(from 0x56000) = a4c
[+] Found encrypted data at address 00004000 of length 38748160 bytes - type 1.
[+] Opening /private/var/mobile/Containers/Bundle/Application/2C920956-E3D6-4313-BD88-66BD24CEBE9B/WeChat.app/WeChat for reading.
[+] Reading header
[+] Detecting header type
[+] Executable is a FAT image - searching for right architecture
[+] Correct arch is at offset 16384 in the file
[+] Opening WeChat.decrypted for writing.
[+] Copying the not encrypted start of the file
[+] Dumping the decrypted data into the file
[+] Copying the not encrypted remainder of the file
[+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset 4a4c
[+] Closing original file
[+] Closing dump file

這樣就表明砸殼成功了，當前目錄下會生成砸殼後的文件，即WeChat.decrypted。一樣用scp命令把WeChat.decrypted文件拷貝到電腦上,接下來咱們要正式的dump微信的可執行文件了。

• scp遠程下載到本地
  輸入指令：scp -r root@ip:文件目錄/文件名 /目的地
  
  

複製代碼

2、dump　　　　針對於debug或者release的包，無需砸殼，能夠直接dump。只有從App Store下載下來的包，須要砸殼。　　dump方法爲：安裝後使用的命令爲：class-dump -H 須要導出的框架路徑 -o 導出的頭文件存放路徑　　如：cd到該文件下，用class-dump -H WeChat　　即可以獲得微信代碼的全部方法的聲明.h文件。3、HOOK複製代碼

找到CMessageMgr.h和WCRedEnvelopesLogicMgr.h這兩文件，其中咱們注意到有這兩個方法：- (void)AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2; ，- (void)OpenRedEnvelopesRequest:(id)arg1;。沒錯，接下來咱們就是要利用這兩個方法來實現微信自動搶紅包功能。其實現原理是，經過hook微信的新消息函數，咱們判斷是否爲紅包消息，若是是，咱們就調用微信的打開紅包方法。這樣就能達到自動搶紅包的目的了。哈哈，是否是很簡單，咱們一塊兒來看看具體是怎麼實現的吧。

• 新建一個dylib工程，由於Xcode默認不支持生成dylib，因此咱們須要下載iOSOpenDev，安裝完成後(Xcode7環境會提示安裝iOSOpenDev失敗，請參考iOSOpenDev安裝問題)，從新打開Xcode，在新建項目的選項中便可看到iOSOpenDev選項了。

iOSOpenDev

• dylib代碼
  選擇Cocoa Touch Library，這樣咱們就新建了一個dylib工程了，咱們命名爲autoGetRedEnv。

  刪除autoGetRedEnv.h文件，修改autoGetRedEnv.m爲autoGetRedEnv.mm，而後在項目中加入CaptainHook.h

  由於微信不會主動來加載咱們的hook代碼，因此咱們須要把hook邏輯寫到構造函數中。

__attribute__((constructor)) static void entry()
{
    //具體hook方法
}
複製代碼

hook微信的AsyncOnAddMsg: MsgWrap:方法，實現方法以下：

//聲明CMessageMgr類
CHDeclareClass(CMessageMgr);
CHMethod(2, void, CMessageMgr, AsyncOnAddMsg, id, arg1, MsgWrap, id, arg2)
{
    //調用原來的AsyncOnAddMsg:MsgWrap:方法
    CHSuper(2, CMessageMgr, AsyncOnAddMsg, arg1, MsgWrap, arg2);
    //具體搶紅包邏輯
    //...
    //調用原生的打開紅包的方法
    //注意這裏必須爲給objc_msgSend的第三個參數聲明爲NSMutableDictionary,否則調用objc_msgSend時，不會觸發打開紅包的方法
    ((void (*)(id, SEL, NSMutableDictionary*))objc_msgSend)(logicMgr, @selector(OpenRedEnvelopesRequest:), params);
}
__attribute__((constructor)) static void entry()
{
    //加載CMessageMgr類
    CHLoadLateClass(CMessageMgr);
    //hook AsyncOnAddMsg:MsgWrap:方法
    CHClassHook(2, CMessageMgr, AsyncOnAddMsg, MsgWrap);
}
複製代碼

項目的所有代碼，筆者已放入Github中。

完成好具體實現邏輯後，就能夠順利生成dylib了。

從新打包微信App

• 爲微信可執行文件注入dylib
  要想微信應用運行後，能執行咱們的代碼，首先須要微信加入咱們的dylib，這裏咱們用到一個dylib注入神器:yololib，從網上下載源代碼，編譯後獲得yololib。

  使用yololib簡單的執行下面一句就能夠成功完成注入。注入以前咱們先把以前保存的WeChat.decrypted重命名爲WeChat，即已砸完殼的可執行文件。
  ./yololib 目標可執行文件 需注入的dylib
  注入成功後便可見到以下信息：

  

  dylib注入

• 新建Entitlements.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>application-identifier</key>
    <string>123456.com.autogetredenv.demo</string>
    <key>com.apple.developer.team-identifier</key>
    <string>123456</string>
    <key>get-task-allow</key>
    <true/>
    <key>keychain-access-groups</key>
    <array>
        <string>123456.com.autogetredenv.demo</string>
    </array>
</dict>
</plist>
複製代碼

這裏你們也許不清楚本身的證書Teamid及其餘信息，不要緊，筆者這裏有一個小竅門，你們能夠找到以前用開發者證書或企業證書打包過的App(例如叫Demo)，而後在終端中輸入如下命令便可找到相關信息，命令以下：
./ldid -e ./Demo.app/demo

接下來把咱們生成的dylib(libautoGetRedEnv.dylib)、剛剛注入dylib的WeChat、以及embedded.mobileprovision文件(能夠在以前打包過的App中找到)拷貝到WeChat.app中。

4、重籤

• 給微信從新簽名

• 命令格式：codesign -f -s 證書名字 目標文件

  PS:證書名字能夠在鑰匙串中找到

  分別用codesign命令來爲微信中的相關文件簽名,具體實現以下：

  

  從新簽名

• 打包成ipa
  給微信從新簽名後，咱們就能夠用xcrun來生成ipa了，具體實現以下：
  xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa

複製代碼

安裝擁有搶紅包功能的微信

以上步驟若是都成功實現的話，那麼真的就是萬事俱備，只欠東風了~~~

咱們可使用iTools工具，來爲iPhone(此iPhone Device id需加入證書中)安裝改良過的微信了。

歡迎加入iOS開發交流學習羣(密碼123)，咱們一塊兒共同窗習，共同成長

收錄：原文地址