前提
(1)什么是越獄:
越獄是指通過分析iOS系統代碼,找出iOS系統漏洞,繞過系統安全防護,獲取系統root權限的過程。
越獄過后就可以訪問設備的整個文件系統、更改系統外觀,功能等。
(2)Cydia是什么:
在手機越獄后,會自動安裝一個叫Cydia的軟件,這個軟件相當于針對越獄設備的App Store,里面有很多類似 系統修改、應用插件,破解插件等相關的軟件包。
一、逆向工程的要求
1,具備豐富的 iOS 開發經驗。
2,最好能非常熟悉 iOS 設備的硬件構成,iOS 系統的運行原理。
3,拿到任意一個 App 之后能夠大致推斷出它的項目規模和使用的技術,比如它的MVC模型
是怎么建立的,引用了哪些 framework 和經典的開源代碼。
個人建議:最好了解下如何進iOS系統的安全模式,因為有時候萬一系統搞壞了,可以進入安全模式卸載掉有問題的插件。
其它要求
1,一臺越獄過的iOS設備(可利用PP助手進行越獄。)
2,設備安裝了Open SSH,用于傳輸文件等作用,可以在Cydia里面搜索到。
如果你目前還不具備這些充分條件,那么一定要滿足兩個必要條件:
-------- (強烈的好奇心) 和(契而不舍的精神)--------
二、iOS 應用逆向工程的作用
1,一般的 App 防護,感覺就像是一個 , 將 App 的 MVC 布置在城堡內部 , 外圍圈上厚厚的 ,看上去易守難攻。
但是當我們站到高處,在天空中俯瞰這個 App 所在的城堡,它的內部結構就不再是秘密。
如果我們站在巨人的角度,那么所有的 Objective-C 函數定義、所有的 property、所有的導出函數、所有的全局變量、所有的邏輯將完全暴露在我們面前。
iOS 逆向工程主要有兩個作用:
1,分析目標程序,拿到關鍵信息,可以歸類于安全相關的逆向工程;
2,借鑒他人的程序功能來開發自己的軟件。
三、安全相關的iOS逆向工程
- 評定安全等級
- 逆向惡意軟件
- 檢查軟件后門
- 去除軟件使用限制
四、開發相關的iOS逆向工程
- 逆向系統API
可逆向系統API后,擴展iOS系統的功能,眾所周知,能在 AppStore 上架的 App 的功能十分有限,在蘋果公司嚴格的審核制度下,絕大多數 App 的實現都源于公開的開發文 ,而不能使用例如發短信、打電話等文檔中不涉及的功能。 - 借鑒別人的軟件
比如通過逆向那些軟件,可以從 App 中把它們的設計思路抽象出來為我所用,從而提高自己 App 的精致程度。
五、iOS應用逆向工具
1,監測工具Reveal:能夠輔助定位 App 中我們感興趣的部分,讓我們能夠迅速從 UI 層面切入代碼層面。
2,反匯編工具:IDA和Hopper
3,調試工具:LLDB調試器
4,Theos 和iOSOpenDev
一、iOS 系統結構
1,對于未越獄的 iOS設備,蘋果官方開放給第三方直接訪問 iOS文件系統的接口非常有限。
2,越獄后能夠訪問 iOS 全系統文件,這是開展 iOS 逆向工程的首要前提。
二、iOS 目錄結構簡介
/:
根目錄,以斜杠表示,其他所有文件和目錄在根目錄下展開。
/bin:
“binary”的簡寫,存放提供用戶級基礎功能的二進制文件,如 ls、ps 等。
/boot:
存放能使系統成功啟動的所有文件。iOS 中此目錄為空。
/dev:
“device”的簡寫,存放BSD設備文件。每個文件代表系統的一個塊設備或字符設備,一般來說,“ 設備”以塊為單位傳 數據,如硬盤;而“字符設備”以字符為單位傳輸數據,如調制解調器。
/sbin :
“ system binaries”的簡寫,存放提供系統級基礎功能的二進制文件,如 netstat、reboot 等。
/etc :
“Et Cetera”的簡寫,存放系統腳本及配置文件,如 passwd、hosts 等。在 iOS中,/etc 是一個符號鏈接,實際指向 /private/etc。
/lib:
存放系統庫文件、內核模塊及設備驅動等。iOS 中此目錄為空。
/mnt:
“mount”的簡寫,存放臨時的文件系統掛載點。iOS 中此目錄為空。
/tmp:
臨時目錄。在 iOS 中,/tmp 是一個符號鏈接,實際指向 /private/var/tmp。
/usr:
包含了大多數用戶工具和程序。/usr/bin包含那些/bin和/sbin中未出現的基礎功能,如 nm、killall 等;/usr/include 包含所有的標準C 頭文件;
/usr/lib:
存放系統庫文件。
/var :
“ variable”的簡寫,存放一些經常更改的文件,比如日志、用戶數據、臨時文件等。
/var/mobile和 /var/root 分別存放了 mobile 用戶和 root 用戶的文件,是重點關注的目錄。
iOS 的獨有目錄:
/Applications:
存放所有的系統App和來自于Cydia的App,不包括 StoreApp。
/Developer:
如果一臺設備連接Xcode后被指定為調試要的工具和數據,
/Library:
存放一些提供系統支持的數據,其中/Library/MobileSubstrate 下存放了所有基于 CydiaSubstrate(原名 MobileSubstrate)的插件。
/System/Library :
iOS 文件系統中最重要的目錄之一,存放大量系統組件,其目錄結構
/System/Library/Frameworks和/System/Library/PrivateFrameworks:存放iOS中的各種 framework,其中出現在 SDK 文檔里的只是冰山一角,還有數不清的未公開功能等待我們去挖 。
/System/Library/CoreServices里的SpringBoard.app:
iOS 面管理器(類似于Windows里的explorer),是用戶與系統交流的最重要中介。
/User:
用戶目錄,實際指向/var/mobile,這個目錄里存放大量用戶數據,比如:
● /var/mobile/Media/DCIM下存放照片;
● /var/mobile/Media/Recordings下存放錄音文件;
● /var/mobile/Library/SMS下存放短信數據 ;
● /var/mobile/Library/Mail下存放郵件數據。
上面的介紹只是整個 iOS 目錄結構的九牛一毛,更詳細的討論,盡在 http://bbs.iosre.com。
三、iOS 二進制文件類型
在iOS逆向工程初學階段,我們的目標主要是Application、Dynamic Library(以下 dylib)和 Daemon 這三類二進制文件。
1, Application相關概念
bundle:是一個按某種標準結構來組織的目錄,其中包含了二進制文件及運行所需的資源。正向開發中常見的 App 和 framework都是以bundle的形式存在的;在越獄iOS中常見的PreferenceBundle,可以看成是一種依附于Settings 的 App。Settings 的 App,結構與 App 類似,本質也是 bundle。
Framework 也是 bundle,但 framework 的 bundle 中存放的是一個 dylib,而不是可執行文件。相對來說,framework的地位比 App 更高,因為一個 App 的絕大多數功能都是通過調用 framework 提供的接口來實現的。將某個 bundle 確立為逆向目標后,絕大多數逆向線索都可以在 bundle 內找到,這大大 低了逆向工程的復雜度。
App 目錄 :
Info.plist 文件記錄了App的基本信息,如bundle identifier、可執行文件名、圖標文件名等。
可以通過 Xcode 自帶的命 行工具 plutil 查看bundle identifier的值,如下:
plutil -p /Users/snakeninny/Code/iOSSystemBinaries/8.1_iPhone5
/SiriViewService.app/Info.plist | grep CFBundleIdentifier
lproj目錄:lproj目錄下存放的是各種本地化的字符 (.strings),是iOS逆向工程的重要線索,也可以用 plutil 查看,如下:
plutil -p /Users/snakeninny/Code/iOSSystemBinaries/8.1_iPhone5
/SiriViewService.app/en.lproj/Localizable.strings
安裝包格式與權限:
Cydia App 的安裝包格式一般是 deb,StoreApp 的安裝包格式一般是 ipa。其中 deb 是來自 Debian 的安裝包格式,由 Cydia 作者 saurik 移 到 iOS 中,它的 主用戶和 主組一般是 root 和 admin,能夠以 root權限運行;而 ipa 是蘋果為 iOS 推出的專用App安裝包格式, 主用戶和 主組都是 mobile,只能以 mobile權限運行。
2, Dynamic Library:
1,在 Xcode 工程里導入的各種 framework,鏈接的各種 lib,其實本質都是 dylib。
2,Cydia 里的各種 tweak 無一不是以 dylib 的形式工作的,正是這些 tweak 的存在讓我們能夠隨意定制自己的 iOS。
3,在iOS中,lib分為static和dynamic兩種,其中static lib在編譯階段成為App可執行文件的一部分,會增加可執行文件的大小。
4,dylib 則相對“智能”一些,它不會改變可執行文件的大小,只有當 App 需要用到這個 dylib 時,iOS 才會把它加載進內存,成為 App 進程的一部分。
5,dylib 的權限是由它寄生的那個 App 決定的,同一個 dylib 寄生在系統 App 和 StoreApp 里時的權限是不同的。
參考書籍 <iOS應用逆向工程-第2版> 沙梓社 吳航 * 著
下一篇:iOS逆向工程(2)工具介紹
