image

本章中我們會在越獄手機上對APP進行調試，我們將進行下面幾個內容的探索：

1、將自定義.cy文件引入到手機磁盤，連接手機APP并調試（非砸殼APP）。
2、class_dump，導出APP的頭文件。
3、Reveal，UI調試。
4、debugserver。

一、hank.cy文件的使用

1.1、拷貝hank.cy并使用

首先這里提供一個hank.cy文件，目的是幫助我們調試APP。hank.cy
拿到hank.cy文件之后，我們要做的就是將它導入到我們的越獄手機里面，相當于一個插件。

• 1、USB連接手機
  這一步的操作，我們在16、越獄 & OpenSSH里面有詳細的講解?？次恼碌淖詈?。

• 2、創建專屬文件夾
  一般情況先我們會把hank.cy文件拷貝到/usr/lib/cycript0.9文件夾下面，但是這樣做是不規范的。我們參考cycript作者saurik的格式，在com文件夾下面建立自己的文件夾，用于存放我們自己的插件。
  

  image
  
  比如我這邊就建立了一個Jax文件夾。

// 使用 `mkdir`指令創建文件夾
$ mkdir <文件名>

• 3、拷貝hank.cy到指定文件夾

$ scp -P 2222 ./hank.cy root@localhost:/usr/lib/cycript0.9/com/Jax

• 4、hank.cy的使用
  將hank.cy拷貝到越獄手機指定文件夾之后，我們就可以來是使用了。

  • 通過cycript指令，連接正在運行的APP。
    這里我們可以通過 ps -A指令來查看當前運行的進程都有哪些。
    連接APP：

$ cycript -p <進程名>
或者
$ cycript -p <進程編號>

• 使用hank.cy
  使用之前要先引入hank.cy，由于我們沒有直接放在cycrity0.9這個文件夾里面，所有引入的時候需要加上路徑：

$ @import com.Jax.hank

image

// 獲取ROOT VC
$ HKRootvc ()

// 獲取當前控制器
$ HKCurrentVC ()

1.2、theos && ldid 的配置

我們在安裝MonkeyDev的時候，已經安裝了theos，同時也安裝了ldid。我們可以通過brew list指令來查看一下：

image

image

image

1.3、查看圖層信息

接著上面的，我們已經通過HKCurrentVC ()拿到了APP當前頁面的控制器，那么我們來打印一下當前的圖層信息：

$ #0x13a041600.view.recursiveDescription() .toString ()

image

image

image

1.4、定位Target && Function

比如我們上面定位到了一個UIButton，那么我們可以繼續查找UIButton所對應的Target和觸發事件。

• 獲取所有的Target

$ #<組件地址>.allTargets

image

• 獲取控件所有的Events

$ #<組件地址>.allControlEvents

image

image

• 獲取觸發事件
  在得到了Target和Event之后，我們就可以獲取到當前控件所觸發的方法是什么了。

$ [#<組件地址> actionsForTarget: #<Target地址> forControlEvent: <Event編號>]

image

此時我們已經知道了，我們想要HOOK的方法，以及對應的控件名，Target名等等。這個時候我們只需要去砸殼APP，HOOK對應的方法就可以了。

這個時候其實我們嚴謹一點，還要確認tipButtonAction是否有參數和返回值。此時我們利用class_dump去導出所有的頭文件。

二、class-dump的使用

同樣的我們之前在安裝MonkeyDev的時候，已經安裝了class-dump:

image

如果沒有安裝可以按一下步驟安裝官方網站：

1. 下載class-dump：$ git clone https://github.com/nygard/class-dump。
2. 編譯項目，生成命令行工具?？芍苯邮褂?。
3. 將命令行工具導入/usr/local/bin/class-dump，給權限：$ sudo chmod +x class-dump。

• 使用class-dump
  在得到砸殼的APP包之后，使用class-dump。17、應用砸殼

  • 單一架構
    $ class-dump -H <MachO文件> -o <頭文件存放的目錄>

  • 多種架構
    比如arm64的
    $ class-dump --arch arm64 -H <MachO文件> -o <頭文件存放的目錄>

  拿到所有的頭文件之后，全局搜所一下（注：我這里使用的是Sublime Text打開的所有頭文件，使用cmd + shift + F全局搜索）：
  

  image

三、Theos 的使用

3.1、tweak

tweak代表越獄手機中Cydia里面的插件。

image

image

3.2、接下來我們就要配置tweak工程：

• 配置Makefile文件，由于此時用的是USB連接，所有我是這樣配置的。（如果是WiFi連接，修改一下就好了）：
  
  image

注意：tweak工程不要放在有中文的路徑下，否則后面的執行會報錯

3.3、注入HOOK代碼：

撰寫HOOK代碼

image

注：HOOK代碼的注入分為三個步驟
1、make --- 編譯
2、make package --- 打包
3、make install --- 注入

• 執行make（此時我將工程文件夾放在了桌面）
  此時我執行make指令，遇到了下面的錯誤：
  
  image
  
  這是因為我們使用了NSLog但是并沒有引入Foundation框架。此時我們可以引入Foundation框架，也可以引入UIKit框架：
  
  image
  
  再次make就成功了:
  
  image

這里有個坑，大家要注意了，這里我之前的是輸出是NSLog(@"\n\n\n\nHOOK到了\n\n\n\n\n\");但是一直報錯，我就給改成了NSLog(@"hook");就成功了。

Tweak.xTweak.xm；MakefiletuyaSmartDemo_FILES = Tweak.xtuyaSmartDemo_FILES = Tweak.xm。

這里還是theos的適配問題，大家注意一下。

• 執行make package --- 打包
  

  image

• 執行make install --- 注入
  

  image

執行成功之后，在控制臺可以看到我們HOOK的代碼。

image

注意：上面的流程執行完以后，我們就已經使用theos完成了HOOK，這個過程其實是我們自己寫了一個插件，并安裝到了預約手機?？梢栽?code>Cydia里面看到(注：如果插件失效，直接卸載掉，重復上面的流程就可以了。)：

image

• 其他指令

make clean 清理緩存。

3.4、theos 注意事項

• 注意事項1

theos和Xcode是對應的。如果有多個Xcode，一定要指定Xcode。

不如我現在的Xcode Select路徑是：

image

這個時候可以使用如下指令自定Xcode Select：

xcode-select --switch <Xcode Select路徑>

• 注意事項2

theos創建的tweak工程路徑不能有中文。

四、 Reveal

• 手機端安裝插件
  在越獄手機里面安裝Reveal Loader插件：
  
  image

安裝完成之后，我們會在手機的設置頁面發現，多了一個Reveal:

image

image

• Mac端操作
  此時我們打開Mac端的Reveal發現并沒有任何的變化。這是因為有一個關鍵的步驟我們還沒做。
  
  image

這個時候，我們點擊help -> Show Reveal Library in Finder -> iOS Library：

image

image

這里面的RevealServer可執行文件是關鍵。我們要把它拷貝到越獄手機里面。

步驟如下：

1. USB連接手機。

2. 進入根部目錄的Library文件夾。（注意：一定要進入根目錄下，否則路徑不對，是沒有效果的。下圖是我如何找到根目錄的，僅供參考）
   

   image

3. 創建RHRevealLoader文件夾：mkdir RHRevealLoader。

4. 將RevealServer拷貝到RHRevealLoader文件夾下，并改名為：libReveal.dylib
   

   image

5. 上面的配置完之后，我們會在Mac端Reveal里面看到我們連接的APP，并且可以進行UI調試:
   

   image

注：Reveal調試不會阻塞進程，可以試試更改UI內容。

五、debugserver

5.1 debugserver原理與簡單使用

我們Xcode中的lldb可以調試手機中的應用，是因為手機中的debugserver開啟的相關服務。所以在越獄環境中，我們只需要開啟debugserver服務，就可以利用LLDB遠程調試三方應用了。

image

• 舉個例子，我們上面對正版應用進行了reveal。但是如果逆向正版應用的過程中，希望進行斷點調試該怎么做呢？這個使用可以通過LLDB來進行斷點調試，前提是我們要附加進程。LLDB的安裝與使用

1、首先，我們創建一個Xcode工程（隨便創建一個就可以）。
2、在Debug -> Attach to Process中選擇我們要逆向的APP進程，附加上去：

image

3、在控制臺，我們就可以驚醒調試了，而且還可以ViewDebug：

image

5.2、debugserver的位置探索

在/Applications/Xcode.app/Contents/Developer/Platforms里面，我們找到iPhoneOS.platform -> DeviceSupport，在這個文件夾里面有很多系統版本，我們隨便找一個系統版本中，找到DeveloperDiskImage.dmg，打開它。

image

image

image

image

那么我們怎么驗證這兩個debugserver是同一個呢?
這個時候，我們可以對兩個debugserver進行md5運算，如果得到的結果一樣，那么這兩個debugserver就一樣的。

• 對Mac端對應系統里面的debugserver進行md5運算：
  得到的結果是：b771aad8917de2ff41feb5acfe4a9b15
  

  image

• 將手機端的debugserver拷貝出來，進行md5運算：
  得到的結果是：b771aad8917de2ff41feb5acfe4a9b15
  

  image

可以發現，得到的結果是一樣的，所以兩個debugserver是一樣的；換句話說，手機端的debugserver就是從Mac端拷貝過去的。

5.3、啟動debugserver

我們上面使用Xcode附加進程的形式，啟動了debugserver；其實我們還可以手動去啟動debugserver。
步驟如下：

• iPhone中開啟debugserver服務。
  
  image
  
  可以看到debugserver有很多的服務。
  我們要使用的是：
  $ ./debugserver <主機地址>:<端口號> -a <應用進程名/進程編號>
  • 由于主機地址是當前手機，可以使用localhost代替
  • 端口號：啟動server服務，開發端口，讓遠程的lldb通過server調試進程
    
    image

這個時候，手機端就進入了等待連接的狀態。

• Mac端啟動LLDB連接iPhone

  • 啟動lldb

  $ lldb
  

  • 連接debugserver

  $ process connect connect://<手機IP>:<服務端口號>
  // eg: `(lldb) process connect connect://192.168.50.173:12346`
  

  • 如果Mac端的連接不成功，我們可以使用USB連接的方式。
    這個時候，我們要做的是，在進行USB端口映射的時候，添加12346:12346:

  python tcprelay.py -t 22:2222 12346:12346
  

  這樣我們就可以把上面連接debugserver中的<手機IP>換成localhost。