IOS 入侵解密APP（逆向高级技术）

最近手痒，整理了下IOS APP逆向工程相关资料，分享出来大家一起看看。

逆向工程可分为四步：砸壳、dump、hook、重签。

一、砸壳

IOS的APP，若上传了App Store会被苹果进行一次加密，所以我们下载下来的安装包都是加密的，若要进行dump需要进行一次解密，即砸壳。

我们以微信为例：首先我们需要一台已经越狱了的iPhone手机，然后进入Cydia安装需要的三款工具openSSH、Cycript、iFile。（调试程序时可以方便地查看日志文件） 新版本iTunes已经将应用功能去掉了，所以大家只能用手机从App Store下载最新微信。

砸壳第一步：获取微信的可执行文件的具体位置和沙盒的具体位置，我们先把iPhone上的所有程序都关掉，唯独留下微信。

连接ssh，打开Mac的bash，用ssh连上iPhone(确保iPhone跟Mac在同一个网段)。openSSH的root密码默认为：alpine

然后输入命令 ps -e | grep WeChat

有时候我们需要一个APP的Bundle id了，这里笔者有一个小技巧，我们可以把iPhone上的所有App都关掉，唯独保留APP如微信，然后输入命令 ps -e  ，便可输出当前运行的APP的Bundle id。   寻找沙盒Documents具体路径，我们需要用Cycript找出微信的Documents具体路径。输入命令cycript -p WeChat   打开微信，进入cy#模式输入NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, ES)[0]就能找出Documents的具体路径，或者使用cy# directory = NSHomeDirectory()，也可以得到沙河位置（缺少/Documents）。

control+D 可退出模式

编译dumpdecrypted 进入dumpdecrypted源码的目录，输入指make来编译dumpdecrypted。一般make后会在当前目录下生成一个dylib文件。

4.创建动态库文件

（1）一错 在确保Makefile中对动态库的设置和iOS真机环境一致后，在当前目录下输入：make。 但是失败了，错误信息如下：

`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c  
/bin/sh: /Applications/Xcode: No such file or directory  
make: *** [dumpdecrypted.o] Error 127  

原因是找不到/Applications/Xcode来执行其中的一些脚本。 好吧，我的Mac中有3个Xcode：/Applications/Xcode 5.0.2, /Applications/Xcode 5.1.1, /Applications/Xcode 6 Beta4，就是没有/Applications/Xcode。 没事，将Xcode 5.1.1重命名为Xcode就行了： $ sudo mv Xcode\ 5.1.1.app/ Xcode.app/

（2）再错

再make，还是报错，错误信息和上面一样。 不怕，我们还有xcode-select这个小伙伴，通常Xcode找不到之类的错误都应该找它帮忙：

$ xcode-select -p  

/Applications/Xcode 5.1.1.app/Contents/Developer
复制代码原来xcrun查找cmd tool时的路径还是Xcode 5.1.1/，当然什么都找不到了。这时候将它重置就行了（默认是/Applications/Xcode.app/）：

$ sudo xcode-select -r  
$ xcode-select -p   
/Applications/Xcode.app/Contents/Developer  

（3）成功再make，成功，输出如下：

$ make  
`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c  
`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -dynamiclib -o dumpdecrypted.dylib dumpdecrypted.o  

$ ls  
Makefile          dumpdecrypted.c          dumpdecrypted.o  
README               dumpdecrypted.dylib  

可以看到目录中多了两个文件，其中dylib后缀的就是我们要创建的动态库文件，也就是用来砸壳的锤子。 scp拷贝指令 使用scp指令把dumpdecrypted.dylib拷贝到iPhone的Documents路径目录下输入指令：scp

开始砸壳！！！ 回到手机的ssh上，输入dumpdecrypted的指令。 dumpdecrypted的具体用法：DYLD_INSERT_LIBRARIES=/PathFrom/dumpdecrypted.dylib /PathTo

mach-o decryption dumper
DISCLAIMER: This tool is only meant for security research purposes, not for application crackers.
[+] detected 32bit ARM binary in memory.
[+] offset to cryptid found: @0x56a4c(from 0x56000) = a4c
[+] Found encrypted data at address 00004000 of length 38748160 bytes - type 1.
[+] Opening /private/var/mobile/Containers/Bundle/Application/2C920956-E3D6-4313-BD88-66BD24CEBE9B/WeChat.app/WeChat for reading.
[+] Reading header
[+] Detecting header type
[+] Executable is a FAT image - searching for right architecture
[+] Correct arch is at offset 16384 in the file
[+] Opening WeChat.decrypted for writing.
[+] Copying the not encrypted start of the file
[+] Dumping the decrypted data into the file
[+] Copying the not encrypted remainder of the file
[+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset 4a4c
[+] Closing original file
[+] Closing dump file

这样就代表砸壳成功了，当前目录下会生成砸壳后的文件，即WeChat.decrypted。同样用scp命令把WeChat.decrypted文件拷贝到电脑上,接下来我们要正式的dump微信的可执行文件了。 scp远程下载到本地 输入指令：scp -r root@ip:文件目录/文件名 /目的地

二、dump

针对于debug或者release的包，无需砸壳，可以直接dump。只有从App Store下载下来的包，需要砸壳。   dump方法为：安装后使用的命令为：class-dump -H 需要导出的框架路径 -o 导出的头文件存放路径   如：cd到该文件下，用class-dump -H WeChat   便可以得到微信代码的所有方法的声明.h文件。

三、HOOK

找到CMessageMgr.h和WCRedEnvelopesLogicMgr.h这两文件，其中我们注意到有这两个方法：- (void)AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2; ，- (void)OpenRedEnvelopesRequest:(id)arg1;。没错，接下来我们就是要利用这两个方法来实现微信自动抢红包功能。其实现原理是，通过hook微信的新消息函数，我们判断是否为红包消息，如果是，我们就调用微信的打开红包方法。这样就能达到自动抢红包的目的了。哈哈，是不是很简单，我们一起来看看具体是怎么实现的吧。 新建一个dylib工程，因为Xcode默认不支持生成dylib，所以我们需要下载iOSOpenDev，安装完成后(Xcode7环境会提示安装iOSOpenDev失败，请参考iOSOpenDev安装问题)，重新打开Xcode，在新建项目的选项中即可看到iOSOpenDev选项了。

dylib代码 选择Cocoa Touch Library，这样我们就新建了一个dylib工程了，我们命名为autoGetRedEnv。 删除autoGetRedEnv.h文件，修改autoGetRedEnv.m为autoGetRedEnv.mm，然后在项目中加入CaptainHook.h 因为微信不会主动来加载我们的hook代码，所以我们需要把hook逻辑写到构造函数中。

attribute((constructor)) static void entry()
{
//具体hook方法
}

hook微信的AsyncOnAddMsg: MsgWrap:方法，实现方法如下：

//声明CMessageMgr类
CHDeclareClass(CMessageMgr);
CHMethod(2, void, CMessageMgr, AsyncOnAddMsg, id, arg1, MsgWrap, id, arg2)
{
    //调用原来的AsyncOnAddMsg:MsgWrap:方法
    CHSuper(2, CMessageMgr, AsyncOnAddMsg, arg1, MsgWrap, arg2);
    //具体抢红包逻辑
    //...
    //调用原生的打开红包的方法
    //注意这里必须为给objc_msgSend的第三个参数声明为NSMutableDictionary,不然调用objc_msgSend时，不会触发打开红包的方法
    ((void (*)(id, SEL, NSMutableDictionary*))objc_msgSend)(logicMgr, @selector(OpenRedEnvelopesRequest:), params);
}
__attribute__((constructor)) static void entry()
{
    //加载CMessageMgr类
    CHLoadLateClass(CMessageMgr);
    //hook AsyncOnAddMsg:MsgWrap:方法
    CHClassHook(2, CMessageMgr, AsyncOnAddMsg, MsgWrap);
}

项目的全部代码，笔者已放入Github中。 完成好具体实现逻辑后，就可以顺利生成dylib了。 重新打包微信App 为微信可执行文件注入dylib 要想微信应用运行后，能执行我们的代码，首先需要微信加入我们的dylib，这里我们用到一个dylib注入神器:yololib，从网上下载源代码，编译后得到yololib。 使用yololib简单的执行下面一句就可以成功完成注入。注入之前我们先把之前保存的WeChat.decrypted重命名为WeChat，即已砸完壳的可执行文件。 ./yololib 目标可执行文件 需注入的dylib 注入成功后即可见到如下信息：

dylib注入
新建Entitlements.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>application-identifier</key>
    <string>123456.com.autogetredenv.demo</string>
    <key>com.apple.developer.team-identifier</key>
    <string>123456</string>
    <key>get-task-allow</key>
    <true/>
    <key>keychain-access-groups</key>
    <array>
        <string>123456.com.autogetredenv.demo</string>
    </array>
</dict>
</plist>

这里大家也许不清楚自己的证书Teamid及其他信息，没关系，笔者这里有一个小窍门，大家可以找到之前用开发者证书或企业证书打包过的App(例如叫Demo)，然后在终端中输入以下命令即可找到相关信息，命令如下： ./ldid -e ./Demo.app/demo 接下来把我们生成的dylib(libautoGetRedEnv.dylib)、刚刚注入dylib的WeChat、以及embedded.mobileprovision文件(可以在之前打包过的App中找到)拷贝到WeChat.app中。

5、重签

给微信重新签名

命令格式：codesign -f -s 证书名字 目标文件

PS:证书名字可以在钥匙串中找到

分别用codesign命令来为微信中的相关文件签名,具体实现如下：

重新签名

打包成ipa 给微信重新签名后，我们就可以用xcrun来生成ipa了，具体实现如下： xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa 复制代码安装拥有抢红包功能的微信 以上步骤如果都成功实现的话，那么真的就是万事俱备，只欠东风了~~~ 我们可以使用iTools工具，来为iPhone(此iPhone Device id需加入证书中)安装改良过的微信了。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…