19、iOS砸壳概述
短信预约 -IT技能 免费直播动态提醒
- 一、砸壳概述
- 砸壳: 软件脱壳,顾名思义,就是对软件加壳的逆操作,把软件上存在的壳去掉(解密)
- 砸壳原理
- 提交给AppStore发布的App,都是经过官方保护而加密,这样可以保证机器上跑的应用是苹果审核通过的,也可以管理软件授权.经过AppStore加密的应用,我们无法通过Hopper等反编译静态分析,也无法Class-dump,在逆向分析过程中需要对加密的二进制文件进行解密才可以进行静态分析,这一过程就是大家熟知的砸壳(脱壳)
- 应用砸壳:
- 一般应用为了防止反编译分析,会对应用进行加密(加壳).我们的砸壳就是解密的过程
- 静态砸壳
- 静态砸壳就是在已经掌握和了解应用的加密算法和逻辑后在不运行壳应用程序的前提下将壳应用程序进行解密处理.静态脱壳的方法难度大,而且加密方发现应用被破解后就可能会改用更加高级和复杂的加密技术
- 动态砸壳
- 动态砸壳就是从运行在进程内存空间中的可执行程序映像image入手,来将内存中的内容进行转储处理来实现脱壳处理.这种方法实现起来相对简单,且不必关心使用的是何种加密技术
- Clutch
- 拷贝工具到手机
- 列出可以砸壳的应用列表 $Clutch -i
ssh root@192.168.124.12Holothurian6P:~ root# Clutch -i2023-04-12 17:57:39.237 Clutch[33939:1083748] command: Prints installed applicationsInstalled apps:1: AsTools---简单的笔记工具 2: 钉钉 3: 喜马拉雅「听书社区」电台有声小说相声评书 .....61: 蓝湖
-
- 砸壳 $Clutch –d 应用ID
Clutch -d 612023-04-12 17:58:09.878 Clutch[33940:1083821] command: Dump specified bundleID into .ipa fileZipping Runner.appCould not obtain mach port, either the process is dead (codesign error?) or entitlements were not properly signed!Failed to dump with arch arm642023-04-12 17:58:11.909 Clutch[33940:1083833] failed operation :(2023-04-12 17:58:11.909 Clutch[33940:1083833] application {name = 'NSOperationQueue 0x100e675e0'}Failed to dump 2023-04-12 17:58:11.910 Clutch[33940:1083833] failed operation :(2023-04-12 17:58:11.910 Clutch[33940:1083833] application {name = 'NSOperationQueue 0x100e675e0'}Zipping Flutter.frameworkZipping App.frameworkFAILED: Finished dumping com.magicBoard.phone in 5.0 seconds
- 砸壳结束后、文件放在
/private/var/mobile/Documents/Dumped/
- 如果砸壳中途退出、那么将会出现在缓存中
/private/var/tmp/clutch/
- dumpdecrypted
- 官网 :GitHub - stefanesser/dumpdecrypted: Dumps decrypted mach-o files from encrypted iPhone applications from memory to disk. This tool is necessary for security researchers to be able to look under the hood of encryption. 直接Git Clone
- 通过Make 编译生成动态库 远程拷贝到手机
- 通过DYLD_INSERT_LIBRARIES 环境变量插入动态库执行,载入某个进程
- DYLD_INSERT_LIBRARIES=库路径(库的可执行文件) MachO路径
- frida-iOS-dump (利用fride加载脚本砸壳)
- 安装frida. Mac和iPhone都需要安装
- 下载frida- iOS-dump脚本工具
- 执行的是dump.py参数是应用的名称/BundleID
- lldb 动态砸壳
- 该种方式采用运行中读取进程的解密代码段信息、拷贝出来、再替换原包中的指定偏移量内容,手动将crypted字段改为0、达到砸壳目的.
使用过的砸壳方式有四种,根据防护手段不同、所以有些砸壳方式并不是万能的.
- dumpdecripted
- Clutch
- frida- iOS-dump
- lldb动态砸壳
来源地址:https://blog.csdn.net/SharkToping/article/details/130347074
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341