Theos安裝與配置

Theos是一個越獄開發工具包，使用它可以創建Tweak項目，動態Hook第三方程序。GitHub鏈接：https://github.com/theos/theos ,官網安裝教程可以參考：https://github.com/theos/theos/wiki/Installation

安裝

1. 安裝依賴庫

   安裝Theos之前先安裝三個依賴庫，dpkg、fakeroot和ldid

   $ brew install ldid fakeroot
   $ brew install --from-bottle https://raw.githubusercontent.com/Homebrew/homebrew-core/7a4dabfc1a2acd9f01a1670fde4f0094c4fb6ffa/Formula/dpkg.rb
   $ brew pin dpkg
   

   • ldid（作者：saurik ）
     維基百科：http://iphonedevwiki.net/index.php/Ldid

     越獄iPhone下的簽名工具（更改授權entitlements），可以為theos開發的程序進程簽名（支持在OS X和iOS上運行）。

   • dpkg使用很簡單

     $ dpkg -i/-r  deb包安裝/卸載
     $ dpkg -s com.iosre.myiosreproject 查看安裝包信息
     

     ?

2. 檢查Mac電腦是否存在 /opt目錄,沒有自己創建一個。

$ cd /opt

3. 在新建的/opt目錄下clone項目源碼

$ git clone --recursive https://github.com/theos/theos.git

4. 下載完成后執行以下命令，修改theos權限

$ sudo chown -R $(id -u):$(id -g) theos 

5. 修改環境變量

   打開 ~/.bash_profile文件，添加以下兩行

   export THEOS=/opt/theos
   export PATH=/opt/theos/bin/:$PATH
   

   配置好后，命令行查看下是否成功。

   ?  theos git:(master) ? echo $THEOS
   /opt/theos
   

   如果你Mac安裝了omyzsh，可能上面配置后并不會成功，解決辦法是：在～/.zshrc中添加下面一行。

   source ～/.bash_profile

   ?

第一個逆向工程

下面創建我們的第一個逆向程序，以創建一個SpringBoard的動態庫為例。

創建項目

• 在你想創建項目的任一目錄下執行命令

  $ nic.pl
  

• 接著會出現一個列表讓你選擇創建項目的類型, 我們輸入tweak前面的數字11。

• Project Name (required): 提示輸入項目名稱，我們可以叫SpringBoardTest。

• Package Name [com.yourcompany.springboardtest]: 這里是讓輸入項目的包名，根據喜好隨便輸入。

• Author/Maintainer Name [xxx]:這里是讓輸入作者名字，將來會在Cydia中顯示。

• [iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]:這里是輸入你將要Hook程序的Bundle Identifier，我們以SpringBoard為例，所以這里輸入com.apple.springboard。

• iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard]:最后一步是輸入要Hook項目Mach-o文件名，這里輸入SpringBoard。

class2-001.png

項目目錄介紹

項目創建完成后，可以看到工程目錄有四個文件：Makefile、SpringBoardTest.plist、Tweak.xm 、control

• control文件

  control文件記錄了deb包管理系統所需的基本信息，會被打包進deb包里。我們可以對他修改,添加一行自己的博客地址Homepage: http://www.lxweimin.com/u/6fa5c59c9f2a

• SpringBoardTest.plist

  包含我們要Hook項目的Bundle Identifier

• Makefile

  工程的配置信息，介紹可看如下注釋

  //工程包含的通用頭文件
  include $(THEOS)/makefiles/common.mk
  //創建工程時指定的“Project Name，指定好之后一般不要再更改
  TWEAK_NAME = SpringBoardTest
  //tweak包含的源文件，指定多個文件時用空格隔開
  SpringBoardTest_FILES = Tweak.xm
  //tweak工程的頭文件，一般有application.mk、tweak.mk和tool.mk幾類
  include $(THEOS_MAKE_PATH)/tweak.mk
  //指定tweak安裝之后，需要做的事情，這里是殺掉SpringBoard進程 
  after-install::
      install.exec "killall -9 SpringBoard"    
  

  補充：

  //編譯debug或者release
  DEBUG = 0
  //越獄iPhone的ip地址
  THEOS_DEVICE_IP = 192.168.1.113
  //指定支持的處理器架構
  ARCHS = armv7 arm64 
  //指定需要的SDK版本iphone:Base SDK:Deployment Target
  TARGET = iphone:latest:8.0  //最新的SDK，程序發布在iOS8.0以上
  //導入框架，多個框架時用空格隔開
  SpringBoardTest_FRAMEWORKS = UIKit 
  SpringBoardTest_PRIVATE_FRAMEWORKS = AppSupport
  //鏈接libsqlite3.0.dylib、libz.dylib和dylib1.o
  SpringBoardTest_LDFLAGS = -lz –lsqlite3.0 –dylib1.o
  //make clean
  clean::
      rm -rf ./packages/* 
  

• Tweak.xm

  文件后綴：“xm”中的“x”代表這個文件支持Logos語法，如果后綴名是單獨一個“x”，說明源文件支持Logos和C語法；如果后綴名是“xm”，說明源文件支持Logos和C/C++語法。

  • %hook 指定需要hook的class，必須以%end結尾

  • %log 該指令在%hook內部使用，將函數的類名、參數等信息寫入syslog

    Cydia內搜索安裝syslogd

  • %orig該指令在%hook內部使用，執行被鉤住（hook）的函數的原始代碼。

編譯工程

我們實現一個在手機中每次點擊Home鍵彈框的功能。

• 修改Tweak.xm文件如下

  %hook SpringBoard 
  - (void)_menuButtonDown:(id)down  
  {  
      UIAlertView *alert = [[UIAlertView alloc]  
      initWithTitle:@"Hello，lecoding!" 
      message:nil 
      delegate:self cancelButtonTitle:@"OK"
      otherButtonTitles:nil]; 
      [alert show]; 
      %orig; // call the original _menuButtonDown:
  }
  %end
  

• 修改Makefile文件

  THEOS_DEVICE_IP = 109.168.1.2 這里的IP要修改為你自己越獄手機的內網IP地址。也可以不寫這行，在命令行中指定。

  DEBUG = 0
  THEOS_DEVICE_IP = 109.168.1.2 
  ARCHS = armv7 arm64 
  TARGET = iphone:latest:8.0  
  include $(THEOS)/makefiles/common.mk
  
  TWEAK_NAME = MyFirstReProject
  MyFirstReProject_FILES = Tweak.xm
  MyFirstReProject_FRAMEWORKS = UIKit 
  include $(THEOS_MAKE_PATH)/tweak.mk
  
  after-install::
      install.exec "killall -9 SpringBoard"
  clean::
      rm -rf ./packages/* 
  

• 編譯命令

  在項目目錄依次執行以下命令

  make  //編譯
  make package  //打包
  make install  //安裝
  

  執行過程如下：

class2_002.png

執行make install 時會讓輸入兩次手機sshd的密碼。安裝成功后點擊手機Home鍵就會彈框。

class2_0021.jpg

手機中卸載Tweak方法

• 在Cydia中找到我們的項目，點擊卸載
• ssh鏈接到手機，使用dpkg -r bundlID ，bundlID是創建Tweak項目時輸入的包名。

Deb包介紹

執行完make package這一步時，在項目目錄就會多了幾個目錄。

• packages目錄存放著最終的deb包。

  deb包本質是一個壓縮包文件。里面包含一些特定的目錄和文件。安裝過程就是dpkg程序按照指定的規則去拷貝文件和執行腳本。

  執行以下命令可以查看Deb包的內部目錄結構：

  ?  packages dpkg -c com.wildcat.sbtest_0.0.1-1_iphoneos-arm.deb
  drwxr-xr-x lixingle/staff    0 2017-09-04 16:41 ./
  drwxr-xr-x lixingle/staff    0 2017-09-04 16:41 ./Library/
  drwxr-xr-x lixingle/staff    0 2017-09-04 16:41 ./Library/MobileSubstrate/
  drwxr-xr-x lixingle/staff    0 2017-09-04 16:41 ./Library/MobileSubstrate/DynamicLibraries/
  -rwxr-xr-x lixingle/staff 131984 2017-09-04 16:41 ./Library/MobileSubstrate/DynamicLibraries/SpringBoardTest.dylib
  -rw-r--r-- lixingle/staff     57 2017-09-04 16:41 ./Library/MobileSubstrate/DynamicLibraries/SpringBoardTest.plist
  

• .theos/_/DEBIAN : 該目錄主要存放control文件、及安裝和卸載時需要執行的腳本等

• .theos/_/Library : 目錄下是將要拷貝到手機相應目錄的動態庫和配置信息

• 腳本文件

  preinst
  在Deb包文件解包之前，將會運行該腳本。許多“preinst”腳本的任務是停止作用于待升級軟件包的服務，直到軟件包安裝或升級完成。
  
  postinst
  該腳本的主要任務是完成安裝包時的配置工作。許多“postinst”腳本負責執行有關命令為新安裝或升級的軟件重啟服務。
  
  prerm
  該腳本負責停止與軟件包相關聯的daemon服務。它在刪除軟件包關聯文件之前執行。
  
  postrm
  該腳本負責修改軟件包鏈接或文件關聯，或刪除由它創建的文件。
  

• dpkg打包時會復制當前目錄下Layout目錄下的所有文件和目錄，這些文件和目錄會鏡像到目標設備上（Layout相對于設備的根目錄）

Logos語法

關于Logos語法可以看wiki學習。維基百科：http://iphonedevwiki.net/index.php/Logos

Tweak工作原理

Cydia Substrate 原名為 Mobile Substrate 已經正式更名為 Cydia Substrate。它是越獄后cydia插件/軟件(主要指theos開發的tweak)運行的一個基礎依賴包。提供軟件運行的公共庫，可以用來動態替換內存中的代碼、數據等所以iOS系統越獄環境下安裝絕大部分插件，必須首先安裝Cydia Substrate。

Cydia Substrate主要由3部分組成：MobileHooker，MobileLoader 和 safe mode

MobileHooker

MobileHooker用于替換覆蓋系統的方法，這個過程被稱為Hooking(掛鉤)
它主要包含兩個函數：

void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP *result);
void MSHookFunction(voidfunction,void replacement,void** p_original);

MSHookMessageEx 主要作用于Objective-C函數

MSHookFunction 主要作用于C和C++函數

Logos語法%hook就是對此函數做了一層封裝，讓編寫hook代碼變的更直觀。

MobileLoader

MobileLoader 將tweak插件注入到第三方應用程序中。

啟動時MobileLoader會根據/Library/MobileSubstrate/DynamicLibraries/目錄中plist文件指定的作用范圍，
有選擇的在第三方進程空間里通過dlopen函數加載同名的dylib。

每一個.dylib文件都會有一個同名的.plist文件。

.plist文件的作用就是用來指定tweak插件的作用對象。

/Library/MobileSubstrate/DynamicLibraries/目錄中文件如下,會發現有一個我們剛創建的SpringBoardTest.dylib和SpringBoardTest.plist。

class2_003.png

safe mode

• 因為APP程序質量參差不齊崩潰再所難免，tweak本質是dylib，寄生在別人進程里，如果注入Springboard等。系統進程一旦出錯，可能導致整個進程崩潰,崩潰后就會造成iOS癱瘓。
• 所以CydiaSubstrate引入了安全模式,在安全模式下所有基于CydiaSubstratede 的三方dylib都會被禁用，便于查錯與修復。

更多iOS、Swift、iOS逆向最新文章請關注微信公眾賬號：樂Coding，或者微信掃描下方二維碼關注

lecoding

icon.jpg