iOS逆向工程之给App脱壳

   <p>本篇以微信为例，给微信脱壳 。"砸壳" 在iOS逆向工程中是经常做的一件事情，，因为 从AppStore直接下载安装的App是加壳的 ，其实就是经过加密的，这个“砸壳”的过程就是一个解密的过程。未砸壳的App是无法在 Class-dump、Hopper 等工具中使用的。所以我们要将App进行砸壳处理。在Android开发中也存在App加壳的处理，比如什么360加固了，其实就是给App加一层壳。</p>    <p>本篇我们就以 WeChat（微信） 为例，从AppStore上下载微信并安装，然后使用 dumpdecrypted 工具（当然你也可以使用其他砸壳工具）进行砸壳处理。砸壳后会生成解密后的App文件，然后我们就可以使用Class-dump和Hopper处理解密后的文件了。废话少说，就开始今天的主题。</p>    <h2><strong>一、生成dumpdecrypted.dylib动态库</strong></h2>    <p>首先我们要生成“砸壳”用的动态库 dumpdecrypted.dylib ，我们“砸壳”时主要用到这个动态库。该动态库的源码在github上是开源的（ <a href="/misc/goto?guid=4959716169993768812" rel="nofollow,noindex"> Github地址 </a> ），要想得到 dumpdecrypted.dylib 这个动态库，只需要从github上下载代码，然后进行编译，生成dumpdecrypted.dylib即可。下方就是使用make命令对dumpdecrypted的源码进行编译。</p>    <p>进入到dumpdecrypted文件夹下，运行 make 命令即可。</p>    <p><img src="https://simg.open-open.com/show/1cb041676e9848d23abffd37156db86f.png"></p>    <p>编译完成后，dumpdecrypted文件夹中就会多一个dumpdecrypted.dylib动态库，该动态库就是稍后我们砸壳使用的工具。</p>    <p><img src="https://simg.open-open.com/show/2fdfca6a10b68c05bfa82b692dc3b962.png"></p>    <h2><strong>二、“砸壳”前的准备工作</strong></h2>    <p>接下来就是要在越狱手机上寻找要“砸壳”的app路径了，首先使用ssh连接到你的越狱设备，然后在越狱设备中打开你要砸壳的App, 此处我们以微信为例。从AippStore中下载安装的应用都会位于 <strong>/var/mobile/Applications</strong> 中，下方的截图就是我手机上从AppStore中下载的应用的安装路径。当然，下方是使用iExplore工具进行查看的，下方内容中，文件的拷贝我们都会用到 iExplorer ，当然你也可以使用之前提到过的 iFunBox 。</p>    <p><img src="https://simg.open-open.com/show/84e46ae0105b322fccc317b58d695b94.png"></p>    <p>从上方的截图中要找出微信所在的目录是非常困难的，应用少的话你可以点开一个个的看。向上面这种应用比较多的情况的话，一个个文件夹点开是不太现实的，所以我们得通过另一种方式来定位“微信”App所在的目录。</p>    <p>这种快捷定位“微信”所在目录的方式就是“查看应用进程”的方式，首先你需要打开微信，然后运行下方的命令，来查看文件目录 /var/mobile/ 目录下的所有正在运行的App进行，具体要用到的命令如下所示：</p>    <p>ps -e | grep /var/mobile</p>    <p><img src="https://simg.open-open.com/show/fb8fef241625a0976e15a4d970c24f0f.png"></p>    <p>上方截图就是上述命令运行后所输出的内容，从上述内容中我们轻而易举的就可以找到“ WeChat ”所在目录。我们可以通过iExplore打开该目录，更直观的来看一下微信App所在的目录，具体内容如下所示. 上面这个进程的绝对路径我们要记下来，因为后边砸壳的时候会使用到该路径 。</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/3d1641ab58bf87026dede6f27efb70ee.png"></p>    <p>接下来我们就要使用Cycript工具来寻找 WeChat的Document路径了 ，如果你的越狱设备上没有安装Cycript工具的话，那么请前往Cydia下载安装Cycript工具。下方步骤就是使用Cycript工具来查看附加进程的Document目录的步骤。</p>    <p>1.使用Cycript注入目标进程中</p>    <p>cycript -p WeChat</p>    <p>上述命令执行完毕后，会进入到cycript模式中，如下所示。当然，在iOS9.2.1上的越狱设备执行上述命令会报错，可能是目前Cycript这个强大的工具还不支持iOS9.2吧。所以我是在iOS7.2上做的该实验。</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/dde9949f18f37f3d2d01b15571454e1e.png"></p>    <p>2.获取该进程的Document目录</p>    <p>[[ NSFileManager defaultManager ] URLsForDirectory : NSDocumentDirectory inDomans : NSUserDomainMask ][ 0 ]</p>    <p>输入上述内容，然后点击回车，就会输出WeChat进程的Document目录，输出结果如下所示。下方的红色部分就是WeChat的Document目录的绝对路径。</p>    <p><img src="https://simg.open-open.com/show/f35d1a46e2787395612a1c8ec8723ece.png"></p>    <p>找到上述目录后，使用iExplore进入到该目录下，将上面我们生成的 dumpdecripted.dylib 动态库拷贝到该目录下即可，如下所示：</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/f66ca4469a2a3d986ef60fed40d1cdc9.png"></p>    <h2><strong>三、开始砸壳</strong></h2>    <p>上述“砸壳”的准备工作就绪后，接下来我们就要开始砸壳了。进入到WeChat的Document目录中，执行下方的命令进行砸壳。</p>    <p>DYLD_INSERT_LIBRARIES= dumpdecrypted.dylib /var/mobile/Applications/3DC16044-E5BB-4038-9E31-CFE3C7134A7B/WeChat.app/WeChat</p>    <p>在上述命令中， DYLD_INSERT_LIBRARIES 后边这个动态库就是我们上面生成的动态库，后边这个路径就是WeChat执行文件的绝对路径，运行上述命令后，就开始砸壳了，下方截图就是我们砸壳的过程。<br> <img src="https://simg.open-open.com/show/0d1cff078993ba9fc3bc90dc4356e6e4.png"></p>    <p>砸壳过程完成后，会在我们的Document目录下生成一个 WeChat.decrypted 文件，如下截图所示。该文件就是脱壳后的文件，我们可以将该文件拷贝到我们的Mac上，以备使用。</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/1ca925e5b46b9e3a312413aa01e1f6cd.png"></p>    <h2><strong>四、导出脱壳App的头文件</strong></h2>    <p>将上面生成的WeChat.decrypted脱壳文件拷贝的我们的Mac上，接下来就是我们class-dump出厂的时刻了。接下来我们要使用class-dump导出该脱壳文件的所有头文 <strong>件。具体步骤如下所示。</strong></p>    <p>1.前奏</p>    <p>WeChat.decrypted文件后，我执行了下方的命令来导出其头文件，下方的命令在没有加壳的app中是好使的，直接就可以导出相应App的头文件，如下所示：</p>    <p>class-dump -S -s -H WeChat.decrypted -o ./Headers</p>    <p>执行上述命令结束后是下方这个结果, 并没有导出想要的头文件，Google了一下，是ARM的架构不对，所以就没导出成功。</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/f8cfffd68c87eee4fe4f01f2bff6e94f.png"></p>    <p>2.开始导出头文件</p>    <p>从上述截图中我们可看到，Headers文件夹中并没有生成相应的头文件。是我们解密的文件有问题吗？于是乎，我使用了Hopper打开了解密后的文件，是可以正常打开的，于是乎又 Google 一下，原来是我们在导出头文件时指定的ARM架构不正确，于是乎使用class-dump的--arch配置项来指定了armv7的架构，这样的话，头文件就导出成功了。</p>    <p>class-dump --arch armv7 -S -s -H WeChat.decrypted -o ./Headers</p>    <p>操作步骤和结果如下图所示, 导出成功，你可以慢慢的分析了。</p>    <p style="text-align: center;"><img src="https://simg.open-open.com/show/84b18a0842114e50287e5dca36cf91d3.png"></p>    <h2><strong>五、Hopper</strong></h2>    <p>上面使用了 <strong> class-dump </strong> 来操作我们脱壳的文件，木有问题。那么接下来来看一下在 <strong>Hopper</strong> 上的效果如何，下方就是使用Hopper打开“脱壳”文件的效果。当然，你也可以使用 <strong>IDA Pro</strong> 来查看，当然此处我们使用的是Hopper。从下方的截图来看，结果是Perfect的。</p>    <p><img src="https://simg.open-open.com/show/a153a73995a640e0b1a729b69708a4e0.png"></p>    <p>至此呢，我们脱壳的过程就这么愉快的结束了，你可以去分析你想分析的东西了。</p>    <p> </p>    <p>来自：http://www.cnblogs.com/ludashi/p/5725743.html</p>    <p> </p>