iOS代码混淆的探索

目的

• 为了进一步增加应用的安全性，防止我们的应用程序很容易的被攻击者分析、破解、重打包，提高攻击者逆向分析应用的难度

应用的加固方案

• 数据加密：静态字符串、本地存储和网络传输的加密
• 静态混淆：类名、方法名、属性的混淆
• 动态保护：反调试、注入检测、hook检测、越狱检测、签名检测等
• 代码混淆：将代码分快、扁平化、增加干扰代码，以提高分析者的分析难度

下面结合具体应用场景说明下各个加固方案

• 数据加密：在我们的应用中已经有了，对数据进行加密之后，实质上我们已经给攻击者提高了逆向分析的难度了，但是攻击者依然可能通过动态调试或者编写IDA脚本的方式来还原算法。

• 静态混淆：程序中的类名和方法名，在逆向分析中只要通过class-dump获取程序中的所有类、定义的方法和属性，就能很快从名字中猜到某个方法的作用是什么，所以，我们就需要做混淆了。

  tips:
  1. 类名和方法名混淆有很多坑，一个类是通过文件、网络或者字符串动态获取的，如果被混淆了就会出错，相同名称但不同功能的参数进行混淆，也会造成错误，还有其他很多坑需要踩踩才知道了
  

  
  2. 目前AppStore对应用代码混淆的审核比较严格，一旦做了混淆，有可能会导致延迟审核或者直接驳回，具体可参考混淆上架风险参考1 和 混淆上架风险参考2
  
  有可能就很不幸就收到这样的审核反馈
  
  3. 那怎么办呢？别慌，我们可以对少量涉及核心业务的重要参数的生成做点混淆，然后试探试探

那么具体的静态混淆我们如何去做呢？
接下来就要get新技能啦~

我这里演示的是对方法名和属性的混淆，实质上就是就是字符串替换，最后抛出来的都是宏，可以跑脚本自动生成混淆后的乱七八糟的字符，我这里的脚本是网上搜的，当然有能力的可以自己写哟。

类名的混淆做法是相同的,参考链接，但是否需要对类名混淆可以依据实际的项目需求，当然这坑也是比较多的，踩踩才知道了，关于其他可能存在的问题还需要更多的摸索

1. 首先创建一个demo工程，我的工程名是LFHelpers
   假设我现在需要对UIbutton+LFCategories文件中的imageDirectionWithButtonImageType方法做混淆，还有viewcontroller中的titles属性做混淆
   
   

调用的时候现在是这个样子的~

在开始混淆之前我们先来看看我class-dump出来的demo头文件(嘛？不懂怎么dump?别急，翻到文档最后就能知道啦~)

好嘛，完美的暴露了我的方法名和属性呀
那我们就开始混淆吧~

2. 打开控制台，在工程文件夹中创建confuse.sh , func.list这两个文件，并拖到项目工程中
   
   

3. 将以下脚本copy到confuse.sh文件中

#!/usr/bin/env bash

TABLENAME=symbols
SYMBOL_DB_FILE="symbols"
STRING_SYMBOL_FILE="func.list"
HEAD_FILE="$PROJECT_DIR/$PROJECT_NAME/codeObfuscation.h"
export LC_CTYPE=C

#维护数据库方便日后作排重
createTable()
{
echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE
}

insertValue()
{
echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE
}

query()
{
echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE
}

ramdomString()
{
openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16
}

rm -f $SYMBOL_DB_FILE
rm -f $HEAD_FILE
createTable

touch $HEAD_FILE
echo '#ifndef Demo_codeObfuscation_h
#define Demo_codeObfuscation_h' >> $HEAD_FILE
echo "//confuse string at `date`" >> $HEAD_FILE
cat "$STRING_SYMBOL_FILE" | while read -ra line; do
if [[ ! -z "$line" ]]; then
ramdom=`ramdomString`
echo $line $ramdom
insertValue $line $ramdom
echo "#define $line $ramdom" >> $HEAD_FILE
fi
done
echo "#endif" >> $HEAD_FILE


sqlite3 $SYMBOL_DB_FILE .dump

4. 创建pch文件，并在build Settings下的Prefix Header中填写相对路径
   
   这时候你在pch文件中导入codeObfuscation.h编译肯定是会报错的啦，codeObfuscation.h是在脚本中定义的，所你先将#import "codeObfuscation.h"注释掉吧，别急着编译~
   

5. 运行脚本文件，在build Phases中添加
   

6. 再打开控制台，打开项目目录，赋予confuse.sh权限

然后在func.list中写上需要混淆的方法名和属性

7. 此时打开pch中的#improt “codeObfuscation.h” 的注释，command+b编译一下项目，查看build信息，编译成功啦，对应的混淆字符串也生成啦

我们现在来看看变成什么样子了~

点进去可以看到具体的宏定义

既然成功了，我们再看看现在再class-dump下会是什么样子的吧

没错，都变成了猜不出来的乱七八糟的字符了~
当然，从appstore中下载的app都是需要砸壳的，至于砸壳可以使用譬如pp助手这些三方的软件，弄出来.app后缀的包我们就可以使用class-dump对他进行分析了

• 动态保护: 其实就是为了对项目进行动态保护，包括一些反反调试、注入检测、反注入、hook检测、完整性校验等功能 ，通俗的说就是防守，因此要学会防守，就要先会攻击吧
  我们也可以加入些风控类的SDK，可以用于分析评估风险

• 代码混淆：属于汇编层的，在编译期做的混淆，前面的都是在编译之前做的静态字符串的混淆
  代码混淆也就是基于llvm定制代码混淆器
  llvm:

  • 可以理解为一个完整的编译架构，也就是一个编译器。它将源代码(.c或者.cpp或者.m等文件代码)生成与机器无关的中间代码，称之为IR。然后对产生的IR进行优化，生成对应的机器汇编语言。
  • llvm具有强大的可扩展性，可以通过自定制前端或者后端来使之支持编译你的语言，对应的就是将源码转为中间IR代码，或者中间IR代码转为指定的机器代码，即只需要实现指定的前端或者后端即可。
  • 对于LLVM来说，其前端是clang，在编译源码文件的时候使用的编译工具也是clang。而生成中间IR代码后需要对IR代码进行一些操作，例如添加一些代码混淆功能。LLVM的做法是通过编写Pass(其实就是对应的一个个类，每个类实现不同的功能)来实现混淆的功能。所以实现混淆，其实就是编写功能性的Pass。

简单点说llvm的功能就是通过代码混淆来增加一些无用的代码，增加一些乱七八糟的流程的，没有加混淆的时候，逆向破解时走的就像条直路，加上混淆之后，走的就是条弯路。做这些就是为了给攻击者增加静态分析的难度

感兴趣的可以搜搜如何基于llvm自定制代码混淆器，因为难度有点大，所以就有了三方的开源框架~

ollvm：基于llvm开发的一套开源的代码混淆工具，目前是基于llvm-4.0的。
下载地址
目前只要能调通即可直接使用
调试过程会比较复杂点，需要慢慢填坑，网上的资料比较少，这篇可以参考参考

• 最后补充个关于 静态库混淆的

按理说可以不需要再对静态库进行混淆了，静态库已经是比较的安全了

但是可以了解下大概的思路：
由于编译器混淆是基于中间代码bitcode进行的，因此需要编译生成带bitcode的静态库，就可以直接提取其中的bitcode就行混淆了

具体做法：
在build Settings的Other C Flags中增加-fembed-bitcode参数，然后生成静态库，并将其拖入MachOView查看二进制文件
然后使用命令将MachOView中section里面生成的bitcode代码提取出来，使用带有混淆功能的clang将其重新编译成目标文件(这就要基于上面一条ollvm混淆工具进行啦)，生成的xxx.o就是混淆后的object文件，然后将xxx.o重新打包成xxx.a（可使用命令行）,最后将混淆后的静态库集成到app中，也是可以正常使用的，只是该静态库没有了bitcode，因为主工程中也不能开启bitcode

---

附：

• class-dump：是一个用于从可执行文件中获取类、方法和属性信息的工具，其代码是开源的，分析过程中，通过该工具生成的头文件就可以快速找到想要的方法或属性。
  github地址
  安装包地址

安装方法：

1. 打开安装压缩包后，将class-dump复制到/usr/local/bin/class-dump 下

2. 打开命令行执行命令：sudo chmod 777 /usr/local/bin/class-dump 赋予其执行权限

3. 可以输入class-dump查看用法
   

4. 提取头文件的方法
   class-dump -H 需要导出的框架路径 -o 导出的头文件存放路径
   例如：
   

注意，必须是对可执行文件进行提取哦, xcode运行工程可以在products下的.app包中获取

如果是appstore下载的，就要先砸壳，获取到.app后缀的包再进行提取

• 另外，由于做代码混淆是比较复杂与繁琐的，并且还面临着苹果公司的严酷审核，也有很多公司选择用三方的加固工具
  除了ollvm，以下列举其他集中常用的三方
  • 爱加密
  • 网易iOS加固
  • 360iOS加固
  • 数字遁甲iOS加固
  • 顶象iOS加固
    关于这些三方加固方案验证比较的结果，可以参考以下这些文档
    参考文档1
    参考文档2
    参考文档3

作者简介

就职于甜橙金融 ( 翼支付 ) 信息技术部，负责iOS客户端开发