iOS越狱检测总结(2)

NSFileManager *fileManager = [NSFileManager defaultManager];
BOOL isDirectory = NO;
if([fileManager fileExistsAtPath:path isDirectory:&isDirectory]){
return 已越狱;
}

### 私有目录检测


• 原理：越狱后权限发生变化，可以获取私有目录下的文件信息、或对私有目录下的文件进行读写等操作。


• 关键函数：stat、statfs、isWritableFileAtPath、isReadableFileAtPath、isExecutableFileAtPath、isDeletableFileAtPath、writeToFile、removeItemAtPath等

struct stat stat_info;
if(stat(“/Application/Cydia.app”, &stat_info) == 0) {
return 已越狱;
}

NSError* mrror;
NSString *test = @“jailbreak”;
NSString *path = @“/private/…/test.txt”;
if([test writeToFile:path atomically:YES encoding:NSStringEncodingConversionAllowLossy error:&mrror]) {
return 已越狱;
}

### 检测越狱软件


• 原理：通过URL Scheme尝试打开越狱软件，能打开的话，说明已越狱


• 关键函数：canOpenURL

if([[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@“cydia://package/com.example.package”]])
{
return 已越狱;
}

### 检测系统目录是否变为链接


• 原理：越狱后一些文件目录会迁移到其他区域，但是原来的文件位置必须有效，所以会创建符号链接，链接到原来的路径


• 关键函数：lstat

struct stat sym;
if(lstat(“/bin/bash”, &sym) == 0 || sym.st_mode & S_IFLNK)
{
return 已越狱;
}

### 动态库检测


• 原理1：利用\_dyld\_get\_image\_name来获取动态库，遍历信息查看是否有异常动态库


• 关键函数：\_dyld\_get\_image\_name

int dyld_count = _dyld_image_count();
for (int i = 0; i < dyld_count; i++) {
const char * imageName = _dyld_get_image_name(i);
char * substr = “/Library/MobileSubstrate/MobileSubstrate.dylib”;
if(strcmp(imageName,substr) == 0){
return 已越狱;
}
}

• 原理2：越狱后安装的一些插件可能会将系统的函数替换，可检测一些关键函数是否出自系统的动态库


• 关键函数：dladdr

int ret;
Dl_info dylib_info;
int (*func_stat)(const char *,struct stat *) = stat;
if ((ret = dladdr(func_stat, &dylib_info))) {
if (strcmp(dylib_info.dli_fname,“/usr/lib/system/libsystem_kernel.dylib”) != 0) {
return 已越狱;
}
}

• 原理3：一般反越狱插件会hook\_dyld\_get\_image\_name这个方法，导致匹配不到，可以利用image加载时的回调来从MachO Header中检测动态库信息，需要注意的是使用dladdr检测库信息的时候，也可能被强制返回错误，需要进一步做一下判断


• 关键函数：dladdr

• (void)load {
  static dispatch_once_t onceToken;
  dispatch_once(&onceToken, ^{
  _dyld_register_func_for_add_image(_check_image);
  });
  }
  static void _check_image(const struct mach_header *header, intptr_t slide) {
  char *path = “/usr/lib/substrate”;
  Dl_info info;

  dladdr(header, &info);
  if(info.dli_fname != NULL) {
  if (strstr(info.dli_fname,path)) {
  return 已越狱;
  }
  }
  }

### 环境变量检测


• 原理：注入动态库时都是通过 DYLD\_INSERT\_LIBRARIES 注入动态库，通过检测当前程序运行的环境变量判断是否越狱


• 关键函数：getenv

if(!(NULL == getenv(“DYLD_INSERT_LIBRARIES”))) {
return 已越狱;
}

### 系统调用检测


• 原理：与其他检测方式的原理相同，只是调用方式不同


• 关键函数：syscall（SYS\_syscall、SYS\_access、SYS\_stat、SYS\_stat64、SYS\_open、SYS\_lstat、SYS\_lstat64等）

if(syscall(SYS_access, “/bin/sh”, F_OK) == 0){
return 已越狱;
}

### 指令集调用检测


• 原理：与系统调用的原理一样，只不过并不使用系统已经封装好的函数syscall，而是直接使用汇编执行


## 最后

**自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。**

**深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！**

**因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/2d817f1881895e16da0ea753772060e6.png)

![img](https://img-blog.csdnimg.cn/img_convert/cacd72eaca3b7d0608472a74a7c04aae.png)

![img](https://img-blog.csdnimg.cn/img_convert/8525b7f78559d4371b164c69ca8923cc.png)

![img](https://img-blog.csdnimg.cn/img_convert/63d607dd8b0ad6d7c699fd1db99a81b9.png)

![img](https://img-blog.csdnimg.cn/img_convert/bf8047e5fb237c06b3db23815a09c9de.png)

 

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！**

[**如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！**

经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！**

[**如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！**