前言:本文适合像笔者一样,对逆向几乎零基础的同学阅读
一点小建议:环境这块快速略过,能正常使用就行,无需过分纠结。
环境
越狱
如何越狱
通过体验,目前iOS 14
及以前使用爱思助手即可实现一键越狱。遇到的坑:
-
unc0ver
越狱默认是7.0.7
版本,在此版本上,非常容易出现报错。因此将改版改为5.3.1
即可解决报错问题。
取包
如何直接导出设备上的ipa
打开SSH通道
<img referrerPolicy="no-referrer" referrerPolicy="no-referrer" src="https://tva1.sinaimg.cn/large/008i3skNly1gxleo662upj30og0dc0tc.jpg" alt="image-20211221134750265" style="zoom:50%;" />
根据爱思助手提示的IP
、端口
、账号
、密码
通过MAC cmd
请求连接
# sudo ssh -p 2223 root@127.0.0.1
查看所有进程
首先打开目标APP
,然后通过命令查看所有进程,此步骤主要是为了找到对应的APP
的路径。
# ps -ef
导出ipa
找到路径后,对文件进行打包压缩。
# cd /var/containers/Bundle/Application/7E9BC1B6-8F35-4697-BFB2-D40056B8A35C
# tar -cvf /tmp/xxx.ipa ./
# scp /tmp/xxx.ipa a58@10.252.220.145:~/Desktop/
砸壳并导出ipa
如果我们从App Store
下载的APP
,直接导出后并没有脱壳,因此需要了解如何砸壳。
安装frida
-
Mac
安装,需要安装Python3
# pip3 install frida-tools
brew-update
报错Error: homebrew-core is a shallow clone.
可尝试:# /bin/zsh -c "$(curl -fsSL https://gitee.com/cunkai/HomebrewCN/raw/master/Homebrew.sh)"
iOS
通过Cydia
安装frida
使用frida
常见命令及说明,命令需要在Mac cmd
运行:
frida-ls-devices
:查看连接的iOS
设备信息。-
frida-ps -U
:查看USB
连接设备的所有进程。注意:这里可能会报错(Failed to enumerate processes: unable to connect (connection refused)),原因是
iOS
的frida
与Mac
的frida
版本不一致。此时需要更新或者重新安装两端中低版本的frida
,iOS
需要在Cydia
上进行更新,如有必要重新添加源:http://build.frida.re。Cydia
下载frida
如果失败则重新尝试几次。 frida-ps -Ua
::查看USB
连接设备的正在运行的APP
。frida-ps -Uai
:查看USB
连接设备的已安装的APP
。frida-ps -D <iOS UDID>
:通过UDID
查看设备的进程。frida-trace -U -f <bundleId> -m "-[* *]"
:用于方法追踪,支持正则表达式。
利用frida-ios-dump砸壳
目前frida
砸壳是主流的砸壳方式之一。网上资料非常多, 但是非常容易出现各种各样的安装异常。其实没有那么复杂,从frida-ios-dump下载code
,并在打开SSH
通道后运行dump.py
即可。各种安装方式本质就是运行脚本。保证脚本中的IP
、端口
、账号
、密码
正确就能一键砸壳。
# python3 dump.py 安居客
调试
MonkeyDev
install
详见:MonkeyDev 安装
可能存在的问题:
- 在安装新建项目后,Xcode可能无法正常打开,因此在安装前请做好备份。
- 创建的项目中,fishhook版本过老,因此需要更新下fishhook。
use
将导出的砸壳后的ipa
拖入指定位置即可。这里需要注意的是,如果项目编译链接后安装不成功,那么需要clean
下工程重新安装。不建议使用Personal Team
进行签名。启动成功后,即可各种hook
操作,验证你的想法。
实战演练
问题描述
58APP
根据地域动态调整桌面icon
图标,但是在线上我们发现,存在16%的用户在更换图标时存在error
。经过验证发现,如果在后台时触发更换图标的API
则会触发error
,那除此场景外,是否还存在其他场景导致报错呢?因此我们想通过逆向的方式,了解下系统报错的机制。其API
如下:
[[UIApplication sharedApplication] setAlternateIconName:iconName completionHandler:^(NSError * _Nullable error) {
if (error) {
//失败埋点
return;
}
//成功埋点
}]
确认目标系统库
首先需要确认当前这个函数在哪个系统库,我们可以通过dladdr
来准确地确认系统库。
<font color=red>首先需要将Main Thread Checker关闭 !</font>
Dl_info info;
IMP imp = class_getMethodImplementation(UIApplication.class,@selector(setAlternateIconName:completionHandler:));
dladdr((void*)imp, &info);
基于上述方法我们很容易就可以确定函数在 UIKitCore
中
imp = 0x000000022a65e070 (UIKitCore`-[UIApplication(UIAlternateApplicationIcons) setAlternateIconName:completionHandler:])
在Xcode
控制台中通过image list
可以获取到所有的动态库的路径。
[280] A1F463BF-CF9B-3796-BA9E-7C2B40617FAE 0x0000000229d80000 /Users/a58/Library/Developer/Xcode/iOS DeviceSupport/12.4.4 (16G140)/Symbols/System/Library/PrivateFrameworks/UIKitCore.framework/UIKitCore
静态分析
通过IDA
分析我们可以看出如果函数
LSApplicationProxyForSettingCurrentApplicationIcon()
调用失败,那么会报3328
异常,另外,如果APP
状态非活跃状态则会报3072
的错误,这一点与我们的测试能对应上。
但是我们在测试时发现,如果要更换图标不存在,那么会报error code = 4
这一点从源码上没有体现出来。因此需要继续查看核心方法
setAlternateIconName:withResult:
但是此时就会涉及到一个问题,v29
寄存器记录的是谁?到哪里去查看setAlternateIconName:withResult:
函数?从上文的伪代码可以看出v29
寄存器的值来自于LSApplicationProxyForSettingCurrentApplicationIcon()
,因此尝试查看LSApplicationProxyForSettingCurrentApplicationIcon()
函数的伪代码。
但是从伪代码中找不到思路,因为0x1ba0afce0
所记录的值到底是什么,从这里看不出来。因此换了思路,通过全局断点查看信息是个不错的方法。
(lldb) br s -S setAlternateIconName:withResult:
Breakpoint 2: where = CoreServices`-[LSApplicationProxy setAlternateIconName:withResult:], address = 0x0000000226787290
因此可以需要继续查看CoreServices
的相关伪代码。
继续查看-[LSApplicationProxy setAlternateIconName:withResult:]
可以发现,系统调用了2个函数,如果返回值不为0的话则进入流程,否则报错。但是函数名在工具中看不到,因此我们需要针对性地解决这个问题。
PS:由于感觉
hopper
界面更好看些,所以工具换成了hopper
,
将Remove potentially dead code
关闭后可以查看到报错的code
码为0xd00
,报错信息为"alternateIcons not allowed"
小技巧
初次尝试逆向分析,不知道为什么hopper
和IDA
都没能把对应的地址转成字符。因此这一步需要我们自己尝试进行解析。为了方便下文的介绍,我们先来定义几个名词:
-
file vm addr
:这里是指静态文件上,记录和引用的地址,例如我们通过hopper
或者IDA
看到的地址都是文件上的静态地址。 -
runtime addr
:运行期间的真实地址,例如我们用到的类和函数,我们在代码中动态获取到的真实地址。 -
slide
:随机偏移,运行期间才能获取到。这是系统给我们每个镜像分配的随机偏移,file vm addr
加上slide
就能获取到运行期间的真实地址。
通过dyld
打印所有的系统库和镜像信息,这一步的目的是获取到CoreServices
的slide
:
int count = _dyld_image_count();
for (int i = 0; i < count; i ++) {
const char * name = _dyld_get_image_name(i);
uint64_t slide = _dyld_get_image_vmaddr_slide(i);
printf("0x%lx -> %s\n",slide,name);
}
通过打印信息我们可以知道CoreServices
的slide
为0x7cf88000
,因此我们可以推断出上文中没有解析出来的函数0x1adbf7e78
和0x1adce2cff
在运行调试期间的地址分别为0x000000022ab7fe78
和0x000000022ac6acff
。
因此可以得知分别调用的是sharedInstance
和allowsAlternateIcons
。进一步跟踪发现allowsAlternateIcons
取决于inEducationMode
,不了解这个模式因此不再跟踪,这种情况下的报错为NSOSStatusErrorDomain code = -4
。
总结
总的来说error code
找的不全,但是整体思路和相关技巧应该都已经探索过了。目前笔者对arm64
指令集和hopper
等工具的使用还不是很熟悉,如果文章有纰漏敬请指正~