008——逆向之APP重签名

  • 前言
    在先了解APP重签名之前我们先来了解一下数字签名

数字签名

数字签名流程

数字签名过程中,就是利用了RSA加密来进行数字签名的

APP重签名过程

  • App包上传到AppStore的签名过程
    • App上传到AppStore之前已经用私钥对App进行了签名;
    • iPhone手机从AppStore下载App,手机会对下载下来的包用手机里面内置的公钥进行解密校验。

iPhone里面内置的公钥是在操作系统里面,随着操作系统下发的手机的

Mac电脑、苹果服务器、苹果手机之间的交互

APP签名流程

1、Mac电脑通过钥匙串->证书助理->从证书机构颁发证书生成一个CSR文件,这个文件的内部是含有公钥,此操作会生成一对公钥和私钥,可用如下命令查看CSR文件的信息

$openssl asn1parse -i -in CertificateSigningRequest.certSigningRequest

2、将CSR文件上传到苹果服务器,苹果服务器会生成一个证书,证书下发到Mac电脑和私钥进行关联;苹果服务器还会将Provision profile文件也下发到Mac电脑,这个文件里面记录了设备IDs、AppID、Entitlement权限(APP申请的权限)

钥匙串

3、从Mac电脑运行生成的App包,里面会有源码、MachO执行文件、App签名信息、描述文件,其实就是用Mac电脑里面的私钥对App进行了签名

4、App安装到手机,手机里面内置在操作系统里面的公钥会对App的签名信息进行解密校验,通过即可安装打开

在签名过程中需要用到的常用命令

查看描述文件信息:
$security cms -D -i 描述文件路径

查看APP的签名信息
$codesign -vv -d APP路径

查看本机所有证书
$security find-identity -v -p codesigning

查看可执行文件的加密信息!
$otool -l WeChat | grep crypt

签名
$codesign -fs "证书" 需要签名的文件

对三方App进行代码重签名

微信重签名步骤:
1、干掉插件Plugins文件夹里面的内容;(不能重签名插件)
2、Watch 文件干掉;
3、对 Frameworks 进行签名;

$codesign -fs "证书" 需要签名的文件

4、给可执行文件执行权限;

$chmod +x WeChat

5、拷贝Provision profile描述文件;
6、修改info.plist 的 Bundle identifier;
7、生成plist的权限文件(Entitlements.plist);

使用**$security cms -D -i 描述文件路径**查看描述文件信息,拷贝Entitlements里面的
<dict>
        <key>keychain-access-groups</key>
        <array>
            <string></string>
        </array>
        <key>get-task-allow</key>
        <true/>
        <key>application-identifier</key>
        <string></string>
        <key>com.apple.developer.team-identifier</key>
        <string></string>
        <key>aps-environment</key>
        <string>development</string>
    </dict>

8、签名整个APP!

$codesign -fs "iPhone Developer: ZCC (6ZBE4C573L)"  --no-strict --entitlements=en.plist WeChat.app

9、打包其实就是一个zip

$zip -ry WeChat.ipa Payload

二、利用Xcode重签名

1、新建一个工程,然后执行build,让Products文件夹下面生成可执行文件;
2、拷贝微信的app文件包到新建工程,替换新工程里面的app文件包,包名称保持一致;
3、干掉插件Plugins文件夹里面的内容;
4、Watch 直接干掉;
5、对 Frameworks 进行签名;

$codesign -fs "证书" 需要签名的文件

4、给可执行文件执行权限;

$chmod +x WeChat

5、修改info.plist 的 Bundle identifier;
6、Xcode运行。

三、脚本自动化重签名

# ${SRCROOT} 为工程文件所在的目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹,放三方APP的
ASSETS_PATH="${SRCROOT}/APP"
#ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"

#新建Temp文件夹
rm -rf "$TEMP_PATH"
mkdir -p "$TEMP_PATH"

# --------------------------------------
# 1\. 解压IPA 到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解压的临时APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
# 这里显示打印一下 TEMP_APP_PATH变量
echo "TEMP_APP_PATH: $TEMP_APP_PATH"

# -------------------------------------
# 2\. 把解压出来的.app拷贝进去
#BUILT_PRODUCTS_DIR 工程生成的APP包路径
#TARGET_NAME target名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "TARGET_APP_PATH: $TARGET_APP_PATH"

rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH/"

# -------------------------------------
# 3\. 为了是重签过程简化,移走extension和watchAPP. 此外个人免费的证书没办法签extension

echo "Removing AppExtensions"
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"

# -------------------------------------
# 4\. 更新 Info.plist 里的BundleId
#  设置 "Set :KEY Value" "目标文件路径.plist"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

# 5.给可执行文件上权限
#添加ipa二进制的执行权限,否则xcode会告知无法运行
#这个操作是要找到第三方app包里的可执行文件名称,因为info.plist的 'Executable file' key对应的是可执行文件的名称
#我们grep 一下,然后取最后一行, 然后以cut 命令分割,取出想要的关键信息。存到APP_BINARY变量里
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`

#这个为二进制文件加上可执行权限 +X
chmod +x "$TARGET_APP_PATH/$APP_BINARY"

# -------------------------------------
# 6\. 重签第三方app Frameworks下已存在的动态库
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
#遍历出所有动态库的路径
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do
echo "🍺🍺🍺🍺🍺🍺FRAMEWORK : $FRAMEWORK"
#签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

# ---------------------------------------------------
# 7\. 注入我们编写的动态库
echo "开始注入"
# 需要注入的动态库的路径  需要更换为自己的动态库名称!
#INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/libHankHook.dylib"
#
## 通过工具实现注入
#yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,324评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,303评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,192评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,555评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,569评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,566评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,927评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,583评论 0 257
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,827评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,590评论 2 320
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,669评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,365评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,941评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,928评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,159评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,880评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,399评论 2 342

推荐阅读更多精彩内容