背景:
如果手机通过PP助手或者Cydia等越狱软件下载的ipa文件,并不能通过MachOView、class-dump、Hopper Disassembler、ida等途径进行静态分析
分析微信的Mach-O文件:
image.png
只有一个头文件,不能分析,原因是通过AppStore下载的应用是经过了加壳操作的
加壳
image.png
-
什么是加壳?
利用特殊的算法,对可执行文件的编码进行改变(比如压缩、加密),以达到保护程序代码的目的
image.png
脱壳
什么是脱壳?
摘掉壳程序,将未加密的可执行文件还原出来(有些人也称为“砸壳”)-
脱壳主要有2种方法:硬脱壳、动态脱壳
image.png
如何验证可执行文件是否已经脱壳?
1>可以利用MachOView进行分析 (cryptid 0 为脱壳, 1为没有脱壳)
image.png
2>通过终端命令行
通过otool命令行也可以:otool -l 可执行文件路径 | grep crypt
image.png
iOS中的脱壳工具
1>Clutch
Clutch配置
image.png
建议去掉版本号,修改文件名为Clutch
将Clutch文件拷贝到iPhone的/usr/bin目录
image.png
如果在iPhone上执行Clutch指令,权限不够,赋予“可执行的权限”
image.png
-
列出已安装的APP:
Clutch -i(列出的程序都是没有脱壳的程序)
image.png -
输入APP序号或者Bundle Id进行脱壳操作:
Clutch -d APP序号或BundleId
image.png -
脱壳成功后会生成一个ipa文件
image.png
验证已经脱壳
image.png
即可分析微博内部工程头文件
image.png
2>dumpdecrypted
下载源代码,然后在源代码目录执行make指令进行编译,获得dylib动态库文件
image.png
image.png
将dylib文件拷贝到iPhone上(如果是root用户,建议放/var/root目录)
终端进入dylib所在的目录
使用环境变量DYLD_INSERT_LIBRARIES将dylib注入到需要脱壳的可执行文件(可执行文件路径可以通过ps -A查看获取)
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件路径
image.png
image.png
.decrypted文件就是脱壳后的可执行文件
image.png
在使用过程中,可能会遇到以下错误
image.png
- 原因:对dylib所在的文件夹权限不够
- 解决方案:将dylib放在用户所在文件夹,比如
如果是root用户,请将dylib放在/var/root目录
如果是mobile用户,请将dylib放在/var/mobile目录
