iOS越狱检测总结(1)

前言

在之前的文章中,已经带大家一起制作了一个屏蔽越狱检测的Tweak。本文就和大家一起学习整理一下iOS系统中有哪些越狱检测的点,一起完善我们的Tweak。

检测越狱文件

• 原理:越狱后会产生额外的文件,通过判断是否存在这些文件来判断是否越狱。

• 关键函数:fileExistsAtPath、fopen、access等

NSString *path = @"/Applications/Cydia.app";
NSFileManager *fileManager = [NSFileManager defaultManager];
BOOL isDirectory = NO;
if([fileManager fileExistsAtPath:path isDirectory:&isDirectory]){
    return 已越狱;
}

私有目录检测

• 原理:越狱后权限发生变化,可以获取私有目录下的文件信息、或对私有目录下的文件进行读写等操作。

• 关键函数:stat、statfs、isWritableFileAtPath、isReadableFileAtPath、isExecutableFileAtPath、isDeletableFileAtPath、writeToFile、removeItemAtPath等

struct stat stat_info;
if(stat("/Application/Cydia.app", &stat_info) == 0) {
    return 已越狱;
}

NSError* mrror;
NSString *test = @"jailbreak";
NSString *path = @"/private/................./test.txt";
if([test writeToFile:path atomically:YES encoding:NSStringEncodingConversionAllowLossy error:&mrror]) {
    return 已越狱;
}

检测越狱软件

• 原理:通过URL Scheme尝试打开越狱软件,能打开的话,说明已越狱

• 关键函数:canOpenURL

if([[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@"cydia://package/com.example.package"]])
{
    return 已越狱;
}

检测系统目录是否变为链接

• 原理:越狱后一些文件目录会迁移到其他区域,但是原来的文件位置必须有效,所以会创建符号链接,链接到原来的路径

• 关键函数:lstat

struct stat sym;
if(lstat("/bin/bash", &sym) == 0 || sym.st_mode & S_IFLNK)
{
    return 已越狱;
}

动态库检测

• 原理1:利用_dyld_get_image_name来获取动态库,遍历信息查看是否有异常动态库

• 关键函数:_dyld_get_image_name

int dyld_count = _dyld_image_count();
for (int i = 0; i < dyld_count; i++) {
    const char * imageName = _dyld_get_image_name(i);
    char * substr = "/Library/MobileSubstrate/MobileSubstrate.dylib";
    if(strcmp(imageName,substr) == 0){
        return 已越狱;
    }
}

• 原理2:越狱后安装的一些插件可能会将系统的函数替换,可检测一些关键函数是否出自系统的动态库

• 关键函数:dladdr

int ret;
Dl_info dylib_info;
int (*func_stat)(const char *,struct stat *) = stat;
if ((ret = dladdr(func_stat, &dylib_info))) {
    if (strcmp(dylib_info.dli_fname,"/usr/lib/system/libsystem_kernel.dylib") != 0) {
        return 已越狱;
    }
}

• 原理3:一般反越狱插件会hook_dyld_get_image_name这个方法,导致匹配不到,可以利用image加载时的回调来从MachO Header中检测动态库信息,需要注意的是使用dladdr检测库信息的时候,也可能被强制返回错误,需要进一步做一下判断

• 关键函数:dladdr

+ (void)load {
  static dispatch_once_t onceToken;
  dispatch_once(&onceToken, ^{
    _dyld_register_func_for_add_image(_check_image);
  });
}
static void _check_image(const struct mach_header *header, intptr_t slide) {
    char *path = "/usr/lib/substrate";
    Dl_info info;

    dladdr(header, &info);
    if(info.dli_fname != NULL) {
        if (strstr(info.dli_fname,path)) {
            return 已越狱;
        }
    }
}

环境变量检测

• 原理:注入动态库时都是通过 DYLD_INSERT_LIBRARIES 注入动态库,通过检测当前程序运行的环境变量判断是否越狱

• 关键函数:getenv

if(!(NULL == getenv("DYLD_INSERT_LIBRARIES"))) {
    return 已越狱;
}

系统调用检测

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值