zoukankan      html  css  js  c++  java
  • iOS逆向之class-dump

    1.class-dump

    class-dump是用来dump目标文件的类信息的工具。它利用Objective-C语言的runtime的特性,将存储在mach-O文件中的@interface和@protocol信息提取出来,并生成对应的.h文件。官方介绍如下:

    This is a command-line utility for examining the Objective-C runtime information stored in Mach-O files. It generates declarations for the classes, categories and protocols. This is the same information provided by using ‘otool -ov’, but presented as normal Objective-C declarations, so it is much more compact and readable.

    1.1安装class-dump

    下载地址:http://stevenygard.com/projects/class-dump/。打开链接后,选择class-dump-3.5.dmg,进行下载。下载完成之后,将dmg文件中的class-dump复制到/usr/bin目录,并在终端执行如下执行进行赋权:

    sudo chmod 777 /usr/bin/class-dump

    然后运行class-dump指令,即可看到如下结果:

    1.2使用class-dump

    执行指令:

    class-dump -H /Applications/Calculator.app -o /Users/GofLee/Desktop/CalculateHeads

    【说明】:

    • /Applications/Calculator.app:计算器app的路径;
    • /Users/GofLee/Desktop/CalculateHeads:存放dump结果的头文件文件夹路径。

    执行上面的指令之后,我们可以在 /Users/GofLee/Desktop/CalculateHeads 目录下看到生成的.h列表:

    从上面的结果可以看到,我们有了这些.h文件之后,就可以初步了解目标App的程序结构。后面可以结合Reveal和cycript工具,更精准的分析目标App某个页面的功能实现。

    同样的,我们也可以导出AppKit、UIKit的头文件:

    class-dump -H /System/Library/Frameworks/AppKit.framework -o /Users/GofLee/Desktop/AppKitHeaders

     【注意】:有时class-dump指令会执行失败,无法得到想要的头文件,或头文件的内容是加密的密文。出现这种情况是因为class-dump的作用对象必须是未经加密的可执行文件,一般App Store中下载的App都是经过签名加密的,这个时候需要先进行砸壳。

    2.class-dump-z

    class-dump-z 是对 class-dump 和 class-dump-x 的改进版,完全用C++重写,避免动态调用,这使得 class-dump-z 比 class-dump 和 class-dump-x快10倍左右,并且可以在 Linux、Mac、 iPhone 上运行。

    下载地址:https://code.google.com/archive/p/networkpx/wikis/class_dump_z.wiki

    其他同class-dump。

    3.砸壳:dumpdecrypted

    第一步:源码下载:https://github.com/stefanesser/dumpdecrypted

    第二步:使用make指令编译源码;

    前两步也可以省略,直接下载编译好的dumpdecrypted.dylib(需要使用与iOS设备系统相同的版本)。

    做完前两步之后,会生成一个dumpdecrypted.dylib文件,我们通过IExplorer软件,将这个文件拷贝到需要砸壳的App的Documents目录,如下图所示:

    接下来,通过终端和手机建立连接,具体指令参看Cycript内容。

    cd到对应App的Documents路径,执行指令:

    DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/Application/866571F2-B677-4F41-82D4-ABE217EFE450/XXXX.app/XXXX

    指令执行结果:

    这时,Documents目录下多了一个“xxxx.decrypted”文件,将该文件拷贝到电脑,继续使用class-dump进行头文件分析。

    如果经过上面的操作,还是不能得到想要的头文件,那么有可能是代码使用的 OC 和 Swift 混编,而 class-dump 是利用的 OC 的运行时机制,所以有 Swift 的代码没法 dump 出来,那就只有直接用 IDA 看了。

    【说明】:

    a.怎么获取 App的Documents路径?

    通过cycript指令,根据应用进程,进入到应用,然后执行如下指令获取:

    //通过如下指令获取到根目录路径之后,再拼接/Documents即可得到Documents的路径
    path = NSHomeDirectory()

    b.怎么获取App的可执行文件路径?

    通过打印进程信息,是可以直接得到可执行文件路径的,指令如下:

    ps ax | grep Evernote

    结果如下:

    c.执行指令,有可能遇到如下所示错误:

    遇到该错误的时候,按如下步骤操作:

    • 第一步:拷贝dumpdecrypted.dylib 文件到设备的 /usr/lib目录下;
    • 第二步:切换到mobile用户,指令如下:
    su mobile
    • 第三步:cd到 /var/mobile/Documents 目录,指令如下:
    cd /var/mobile/Documents
    • 第四步:执行如下指令:
    DYLD_INSERT_LIBRARIES=/usr/lib/dumpdecrypted.dylib /var/containers/Bundle/Application/2223555C-A7F5-40D3-B713-4B4E3FFCCE96/Evernote.app/Evernote
    • 第五步:在 /var/mobile/Documents 目录下,可以看到 Evernote.decrypted 文件已经生成。

    4.导出Frameworks 和 PrivateFrameworks 的头文件

    脚本可参考:https://github.com/EthanGHub/DumpFrameworks

    下面标粗标红的地方需要进行相应的修改:

    #!/usr/bin/perl
    #
    # 24 November 2008
    # Framework Dumping utility; requires class-dump
    # 执行方法:终端进入DumpFrameworks.pl所在的目录 执行命令  ./DumpFrameworks.pl 
    #
     
    use strict;
     
    use Cwd;
    use File::Path;
     
    my $HOME = (getpwuid($<))[7] || $ENV{'HOME'} 
      or die"Could not find your home directory!";
     
    # This command must be in your path.
    # http://www.codethecode.com/projects/class-dump/
    my $CLASS_DUMP = 'class-dump'; 
     
    # Public Frameworks
    dump_frameworks('/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/iPhoneSimulator10.3.sdk/System/Library/Frameworks',
    'Frameworks');
     
    # Private Frameworks
    dump_frameworks('/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/iPhoneSimulator10.3.sdk/System/Library/PrivateFrameworks',
    'PrivateFrameworks');
     
    sub dump_frameworks
    {
      my($dir, $subdir) = @_;
     
      opendir(my $dirh, $dir) or die"Could not opendir($dir) - $!";
     
      # Iterate through each framework found in the directory
      foreach my $file (grep { /.framework$/ } readdir($dirh))
      {
        # Extract the framework name
        (my $fname = $file) =~ s/.framework$//;
        print"Framework: $fname
    ";
     
        my $headers_dir = "$HOME/Headers/$subdir/$fname";
     
        # Create the folder to store the headers
        mkpath($headers_dir);
     
        # Perform the class-dump
        my $cwd = cwd();
        chdir($headers_dir) or die"Could not chdir($headers_dir) - $!";
     
        system($CLASS_DUMP, '-H', "$dir/$file");
       
       if($? == -1)
        {
          die"Could not execute $CLASS_DUMP - $!
    ";
        }
        
        chdir($cwd) or die"Could not chdir($cwd) - $!";
      }
    }

    命令执行完,在用户目录下 会出现 Headers,里面包括了导出的Frameworks 和PrivateFrameworks 文件夹,如下图所示:

    5.参考资料

    iOS app 逆向分析

  • 相关阅读:
    java ssl https 连接详解 生成证书
    mysql实战优化之四:mysql索引优化
    mysql实战优化之五: 更新/插入优化 sql优化
    mysql实战优化之六:Order by优化 sql优化、索引优化
    mina2中IoHandler
    I/O通信模型(BIO,NIO,AIO)
    mina框架详解
    转:架构师于小波:魅族实时消息推送架构
    支付业务的数据库表的设计
    实战 TestNG 监听器
  • 原文地址:https://www.cnblogs.com/LeeGof/p/6992852.html
Copyright © 2011-2022 走看看