Cycript簡介
Cycript是Objective-C++、ES6(JavaScript)、Java等語法的混合物
可以用來探索、修改、調試正在運行的Mac\iOS APP,通過Cydia安裝Cycript,即可在iPhone上調試運行中的APP
官網和文檔
Cycript的各種操作介紹
Cycript的開啟和關閉
- 開啟cycript
cycript -p 進程ID
cycript -p 進程名稱 - 取消輸入:Ctrl + C
- 退出:Ctrl + D
- 清屏:Command + R
ps命令
需要安裝adv-cmds,是作者自己開發的
ps命令是process status的縮寫,使用ps命令可以列出系統當前的進程
列出所有的進程
ps –A
ps aux
搜索關鍵詞
ps –A | grep 關鍵詞
常用語法
- UIApp == [UIApplication sharedApplication]
- 定義變量:var 變量名 = 變量值
- 用內存地址獲取對象:#內存地址
- 已加載的所有OC類:ObjectiveC.classes
- 查看對象的所有成員變量:*對象
- 遞歸打印view的所有子控件(跟LLDB一樣的函數):view.recursiveDescription().toString()
- 篩選出某種類型的對象:choose(UIViewController)、choose(UITableViewCell)
封裝Cycript
.cy文件編寫
我們可以將常用的Cycript代碼封裝在一個.cy文件中
exports參數名固定,用于向外提供接口存放和使用.cy文件
將.cy文件存放到/usr/lib/cycript0.9目錄下
在Cycript中引用.cy文件,并使用它提供的接口
@import XXX
MJCript
具體用法參考mjcript.cy文件
利用python打印字符
$ python
>>> print u'\u767b\u5f55'
>>> unicode('登錄','UTF-8')
Reveal
Reveal是一款調試iOS程序UI界面的神器官網-下載地址
建議下載至少Reveal4版本,支持USB連接調試,速度快。低版本的只能WiFi連接調試
iPhone上安裝Reveal Loader
不要安裝其他源的版本,有可能不支持新版Reveal
安裝完Reveal Loader后,打開【設置】,選擇需要調試的APP
找到Mac的Reveal中的RevealServer文件,覆蓋iPhone的/Library/RHRevealLoader/RevealServer文件
重啟SpringBoard或者重啟手機,可以在iPhone上輸入終端命令
重啟SpringBoard:killall SpringBoard
重啟手機:reboot
逆向APP的思路
- 界面分析
Cycript、Reveal - 代碼分析
對Mach-O文件的靜態分析
MachOView、class-dump、Hopper Disassembler、ida等 - 動態調試
對運行中的APP進行代碼調試
debugserver、LLDB - 代碼編寫
注入代碼到APP中
必要時還可能需要重新簽名、打包ipa
class-dump
它的作用就是把Mach-O文件的class信息給dump出來(把類信息給導出來),生成對應的.h頭文件官方地址
下載完工具包后將class-dump文件復制到Mac的/usr/local/bin目錄,這樣在終端就能識別class-dump命令了
常用格式
- class-dump -H Mach-O文件路徑 -o 頭文件存放目錄
- -H表示要生成頭文件
- -o用于制定頭文件的存放目錄
在同一種架構平臺下,每一條匯編指令都有與之對應的唯一的機器指令
不同的OC代碼,編譯出來的匯編代碼可能是一樣的,所以從匯編到高級語言是不可逆的
Hopper Disassmbler
能夠將Mach-O文件的機器語言代碼反編譯成匯編代碼、OC偽代碼或者Swift偽代碼
常用快捷鍵
- Shift + Option + X:找出哪里引用了這個方法
動態庫共享緩存(dyld shared cache)
從iOS3.1開始,為了提高性能,絕大部分的系統動態庫文件都打包存放到了一個緩存文件中(dyld shared cache)
緩存文件路徑:/System/Library/Caches/com.apple.dyld/dyld_shared_cache_armX
dyld_shared_cache_armX的X代表ARM處理器指令集架構
- v6
iPhone、iPhone3G
iPod Touch、iPod Touch2 - v7
iPhone3GS、iPhone4、iPhone4S
iPad、iPad2、iPad3(The New iPad)
iPad mini
iPod Touch3G、iPod Touch4、iPod Touch5 - v7s
iPhone5、iPhone5C
iPad4 - arm64
iPhone5S、iPhone6、iPhone6 Plus、iPhone6S、iPhone6S Plus
iPhoneSE、iPhone7、iPhone7 Plus、iPhone8、iPhone8 Plus、iPhoneX
iPad5、iPad Air、iPad Air2、iPad Pro、iPad Pro2
iPad mini with Retina display、iPad mini3、iPad mini4
iPod Touch6
所有指令集原則上都是向下兼容的
動態庫共享緩存一個非常明顯的好處是節省內存
現在的ida、Hopper反編譯工具都可以識別動態庫共享緩存
動態庫的加載
在Mac\iOS中,是使用了/usr/lib/dyld程序來加載動態庫
dyld dyld源碼
dynamic link editor,動態鏈接編輯器
dynamic loader,動態加載器
從動態庫共享緩存抽取動態庫
可以使用dyld源碼中的launch-cache/dsc_extractor.cpp
將#if 0前面的代碼刪除(包括#if 0),把最后面的#endif也刪掉
編譯dsc_extractor.cppclang++ -o dsc_extractor dsc_extractor.cpp
使用dsc_extractor
./dsc_extractor 動態庫共享緩存文件的路徑 用于存放抽取結果的文件夾
Mach-O
Mach-O是Mach object的縮寫,是Mac\iOS上用于存儲程序、庫的標準格式
屬于Mach-O格式的文件類型有
可以在xnu源碼中,查看到Mach-O格式的詳細定義
EXTERNAL_HEADERS/mach-o/fat.h
EXTERNAL_HEADERS/mach-o/loader.h
常見的Mach-O文件類型
MH_OBJECT
目標文件(.o)
靜態庫文件(.a),靜態庫其實就是N個.o合并在一起MH_EXECUTE:可執行文件
.app/xxMH_DYLIB:動態庫文件
.dylib
.framework/xxMH_DYLINKER:動態鏈接編輯器
/usr/lib/dyldMH_DSYM:存儲著二進制文件符號信息的文件
.dSYM/Contents/Resources/DWARF/xx(常用于分析APP的崩潰信息)
在Xcode中查看target的Mach-O類型:Build Setting 中 Mach-O Type
Mach-O的基本結構
官方描述
一個Mach-O文件包含3個主要區域
- Header
文件類型、目標架構類型等 - Load commands
描述文件在虛擬內存中的邏輯結構、布局(描述有哪些段) - Raw segment data
在Load commands中定義的Segment的原始數據
窺探Mach-O的結構
命令行工具
file:查看Mach-O的文件類型
file 文件路徑otool:查看Mach-O特定部分和段的內容
lipo:常用于多架構Mach-O文件的處理
查看架構信息:lipo -info 文件路徑
導出某種特定架構:lipo 文件路徑 -thin 架構類型 -output 輸出文件路徑
合并多種架構:lipo 文件路徑1 文件路徑2 -output 輸出文件路徑
GUI工具:MachOView
Universal Binary(通用二進制文件)
同時適用于多種架構的二進制文件
包含了多種不同架構的獨立的二進制文件
因為需要儲存多種架構的代碼,通用二進制文件通常比單一平臺二進制的程序要大
由于兩種架構有共同的一些資源,所以并不會達到單一版本的兩倍之多
由于執行過程中,只調用一部分代碼,運行起來也不需要額外的內存
因為文件比原來的要大,也被稱為“胖二進制文件”(Fat Binary)
dyld和Mach-O
dyld用于加載以下類型的Mach-O文件
- MH_EXECUTE
- MH_DYLIB
- MH_BUNDLE
APP的可執行文件、動態庫都是由dyld負責加載的
脫殼加殼
什么是加殼?
利用特殊的算法,對可執行文件的編碼進行改變(比如壓縮、加密),以達到保護程序代碼的目的
什么是脫殼?
摘掉殼程序,將未加密的可執行文件還原出來(有些人也稱為“砸殼”)
脫殼主要有2種方法:硬脫殼、動態脫殼
iOS中的脫殼工具
iOS中有很多好用的脫殼工具
- Clutch:https://github.com/KJCracks/Clutch(有時候會報錯)
- dumpdecrypted:https://github.com/stefanesser/dumpdecrypted/(現在最好用的)
- AppCrackr、Crackulous(基本不用了)
如何驗證可執行文件是否已經脫殼?
通過Hopper查看Load Commands -> LC_ENCRYPTION_INFO -> Crypt ID的值,0代表未加密
通過otool命令行也可以:otool -l 可執行文件路徑 | grep crypt
Clutch - 配置
下載最新的Release版
建議去掉版本號,改名為Clutch
將Clutch文件拷貝到iPhone的/usr/bin目錄
如果在iPhone上執行Clutch指令,權限不夠,賦予“可執行的權限”
Clutch – 使用
列出已安裝的APP:Clutch -i
輸入APP序號或者Bundle Id進行脫殼操作:Clutch -d APP序號或BundleId
脫殼成功后會生成一個ipa文件
dumpdecrypted
下載源代碼,然后在源代碼目錄執行make指令進行編譯,獲得dylib動態庫文件
將dylib文件拷貝到iPhone上(如果是root用戶,建議放/var/root目錄)
終端進入dylib所在的目錄
使用環境變量DYLD_INSERT_LIBRARIES將dylib注入到需要脫殼的可執行文件(可執行文件路徑可以通過ps -A查看獲取)
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可執行文件路徑
.decrypted文件就是脫殼后的可執行文件
在使用過程中,可能會遇到以下錯誤
原因:對dylib所在的文件夾權限不夠
解決方案:將dylib放在用戶所在文件夾,比如
如果是root用戶,請將dylib放在/var/root目錄
如果是mobile用戶,請將dylib放在/var/mobile目錄
