iOS逆向之class-dump

1.class-dump

class-dump是用來dump目標文件的類信息的工具。它利用Objective-C語言的runtime的特性，將存儲在mach-O文件中的@interface和@protocol信息提取出來，並生成對應的.h文件。官方介紹以下：

This is a command-line utility for examining the Objective-C runtime information stored in Mach-O files. It generates declarations for the classes, categories and protocols. This is the same information provided by using ‘otool -ov’, but presented as normal Objective-C declarations, so it is much more compact and readable.

1.1安裝class-dump

下載地址：http://stevenygard.com/projects/class-dump/。打開連接後，選擇class-dump-3.5.dmg，進行下載。下載完成以後，將dmg文件中的class-dump複製到/usr/bin目錄，並在終端執行以下執行進行賦權：

sudo chmod 777 /usr/bin/class-dump

而後運行class-dump指令，便可看到以下結果：

1.2使用class-dump

執行指令：

class-dump -H /Applications/Calculator.app -o /Users/GofLee/Desktop/CalculateHeads

【說明】：

• /Applications/Calculator.app：計算器app的路徑；
• /Users/GofLee/Desktop/CalculateHeads：存放dump結果的頭文件文件夾路徑。

執行上面的指令以後，咱們能夠在 /Users/GofLee/Desktop/CalculateHeads 目錄下看到生成的.h列表：

從上面的結果能夠看到，咱們有了這些.h文件以後，就能夠初步瞭解目標App的程序結構。後面能夠結合Reveal和cycript工具，更精準的分析目標App某個頁面的功能實現。

一樣的，咱們也能夠導出AppKit、UIKit的頭文件：

class-dump -H /System/Library/Frameworks/AppKit.framework -o /Users/GofLee/Desktop/AppKitHeaders

 【注意】：有時class-dump指令會執行失敗，沒法獲得想要的頭文件，或頭文件的內容是加密的密文。出現這種狀況是由於class-dump的做用對象必須是未經加密的可執行文件，通常App Store中下載的App都是通過簽名加密的，這個時候須要先進行砸殼。

2.class-dump-z

class-dump-z 是對 class-dump 和 class-dump-x 的改進版，徹底用C++重寫，避免動態調用，這使得 class-dump-z 比 class-dump 和 class-dump-x快10倍左右，而且能夠在 Linux、Mac、 iPhone 上運行。

下載地址：https://code.google.com/archive/p/networkpx/wikis/class_dump_z.wiki

其餘同class-dump。

3.砸殼：dumpdecrypted

第一步：源碼下載：https://github.com/stefanesser/dumpdecrypted

第二步：使用make指令編譯源碼；

前兩步也能夠省略，直接下載編譯好的dumpdecrypted.dylib(須要使用與iOS設備系統相同的版本)。

作完前兩步以後，會生成一個dumpdecrypted.dylib文件，咱們經過IExplorer軟件，將這個文件拷貝到須要砸殼的App的Documents目錄，以下圖所示：

接下來，經過終端和手機創建鏈接，具體指令參看Cycript內容。

cd到對應App的Documents路徑，執行指令：

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/Application/866571F2-B677-4F41-82D4-ABE217EFE450/XXXX.app/XXXX

指令執行結果：

這時，Documents目錄下多了一個「xxxx.decrypted」文件，將該文件拷貝到電腦，繼續使用class-dump進行頭文件分析。

若是通過上面的操做，仍是不能獲得想要的頭文件，那麼有多是代碼使用的 OC 和 Swift 混編，而 class-dump 是利用的 OC 的運行時機制，因此有 Swift 的代碼無法 dump 出來，那就只有直接用 IDA 看了。

【說明】：

a.怎麼獲取 App的Documents路徑？

經過cycript指令，根據應用進程，進入到應用，而後執行以下指令獲取：

//經過以下指令獲取到根目錄路徑以後，再拼接/Documents便可獲得Documents的路徑
path = NSHomeDirectory()

b.怎麼獲取App的可執行文件路徑？

經過打印進程信息，是能夠直接獲得可執行文件路徑的，指令以下：

ps ax | grep Evernote

結果以下：

c.執行指令，有可能遇到以下所示錯誤：

遇到該錯誤的時候，按以下步驟操做：

• 第一步：拷貝dumpdecrypted.dylib 文件到設備的 /usr/lib目錄下；
• 第二步：切換到mobile用戶，指令以下：

su mobile

• 第三步：cd到 /var/mobile/Documents 目錄，指令以下：

cd /var/mobile/Documents

• 第四步：執行以下指令：

DYLD_INSERT_LIBRARIES=/usr/lib/dumpdecrypted.dylib /var/containers/Bundle/Application/2223555C-A7F5-40D3-B713-4B4E3FFCCE96/Evernote.app/Evernote

• 第五步：在 /var/mobile/Documents 目錄下，能夠看到 Evernote.decrypted 文件已經生成。

4.導出Frameworks 和 PrivateFrameworks 的頭文件

腳本可參考：https://github.com/EthanGHub/DumpFrameworks

下面標粗標紅的地方須要進行相應的修改：

#!/usr/bin/perl
#
# 24 November 2008
# Framework Dumping utility; requires class-dump
# 執行方法：終端進入DumpFrameworks.pl所在的目錄 執行命令  ./DumpFrameworks.pl 
#
 
use strict;
 
use Cwd;
use File::Path;
 
my $HOME = (getpwuid($<))[7] || $ENV{'HOME'} 
  or die"Could not find your home directory!";
 
# This command must be in your path.
# http://www.codethecode.com/projects/class-dump/
my $CLASS_DUMP = 'class-dump'; 
 
# Public Frameworks
dump_frameworks('/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/iPhoneSimulator10.3.sdk/System/Library/Frameworks',
'Frameworks');
 
# Private Frameworks
dump_frameworks('/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/iPhoneSimulator10.3.sdk/System/Library/PrivateFrameworks',
'PrivateFrameworks');
 
sub dump_frameworks
{
  my($dir, $subdir) = @_;
 
  opendir(my $dirh, $dir) or die"Could not opendir($dir) - $!";
 
  # Iterate through each framework found in the directory
  foreach my $file (grep { /\.framework$/ } readdir($dirh))
  {
    # Extract the framework name
    (my $fname = $file) =~ s/\.framework$//;
    print"Framework: $fname\n";
 
    my $headers_dir = "$HOME/Headers/$subdir/$fname";
 
    # Create the folder to store the headers
    mkpath($headers_dir);
 
    # Perform the class-dump
    my $cwd = cwd();
    chdir($headers_dir) or die"Could not chdir($headers_dir) - $!";
 
    system($CLASS_DUMP, '-H', "$dir/$file");
   
   if($? == -1)
    {
      die"Could not execute $CLASS_DUMP - $!\n";
    }
    
    chdir($cwd) or die"Could not chdir($cwd) - $!";
  }
}

命令執行完，在用戶目錄下 會出現 Headers，裏面包括了導出的Frameworks 和PrivateFrameworks 文件夾，以下圖所示：

5.參考資料

iOS app 逆向分析