04-加壳和脱壳

最新推荐文章于 2023-12-10 13:21:08 发布
最新推荐文章于 2023-12-10 13:21:08 发布
阅读量1.3k 收藏 4
点赞数 1
分类专栏: iOS 逆向 文章标签: ios swift xcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldszw/article/details/111187619
版权

何为加壳?

如前面所介绍的,拿到一个App的ipa包可以通过class-dumpHopper Disassembler等工具进行分析,然而当我们利用这些分析手机里从App Store下载的App安装包时,会发现都是一些经过加密的文件,无法进行分析

这是因为App Store对我们上传的App进行了加壳操作,那么何为加壳呢?其实是利用特殊的算法,对可执行文件的编码进行改变(比如压缩、加密),以达到保护程序代码的目的

  • 加壳前,App可执行文件中的代码会被装载到内存中
  • 加壳后,App可执行文件进行加密,其外部会包一层壳程序。由于壳程序本身也是Mach-O文件,程序执行时,就会将壳程序装载到内存中。紧接着壳程序会使用解密算法对App可执行文件进行解密操作,解密完成之后就会去执行文件,将代码装载进内存中
    在这里插入图片描述

如何判断App可执行文件是否加壳?

想要判断App可执行文件是否加壳,主要是通过Crypt ID(App可执行文件加密类型)是否为0判断,如果为0则代表未曾加密、反之非0就代表加密

可以使用以下两种方式进行判断:

  • 使用otool命令行
# 搜索Load Commands中的crypt关键字
otool -l 可执行文件名称 | grep crypt

在这里插入图片描述

  • 利用MachOView查看可执行文件
    在这里插入图片描述

脱壳

既然无法分析加壳后App可执行文件,那么就需要对程序进行脱壳操作

脱壳方式有两种,硬脱壳和动态脱壳:

  • 硬脱壳,直接将壳程序通过执行解密算法得到解密后的可执行文件(iOS通常做法)
  • 动态脱壳,程序运行之后,可执行文件已经被解密,然后从内存中导出

脱壳工具

clutch

首先下载该工具(点击下载),然后分别执行以下步骤

  • 利用iFunBox将Clutch文件拷贝到手机的/usr/bin目录
  • SSH登录手机,执行Clutch命令,若显示Permission denied,则输入以下命令获取权限
chmod +x /usr/bin/Clutch
  • 执行以下命令,列出当前手机可以脱壳的App
Clutch -i

在这里插入图片描述

  • 通过序号或者bundle ID进行脱壳操作(注意:不完美越狱iOS12以上不可用
Clutch -d 2
Clutch -d com.netease.cloudmusic

在这里插入图片描述

dumpdecrypted
  • 下载源代码,然后在源代码目录执行make指令进行编译,获得dylib动态库文件
    在这里插入图片描述
    在这里插入图片描述
  • 将dylib文件拷贝到iPhone上(如果是root用户,建议放/var/root目录)
  • 终端进入dylib所在位置,使用环境变量DYLD_INSERT_LIBRARIES将dylib注入到需要脱壳的可执行文件(通过ps -A查看可执行文件的完整路径
# 此路径就是ps -A指令打印出来的
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/992C4ACA-4B99-4FC2-8BEE-11A3BDA1E9D0/neteasemusic.app/neteasemusic

在这里插入图片描述

  • 执行完成之后,在/var/root目录下会生成neteasemusic.decrypted文件,这就是脱壳之后的可执行文件,然后使用otool命令查看Load Commands可以发现Crypt ID为0
    在这里插入图片描述
dumpdecrypted脱壳时可能出现的错误

dumpdecrypted.dylib未签名错误:

dyld: warning: could not load inserted library 'dumpdecrypted.dylib' into hardened process because no suitable image found.  Did find:
	dumpdecrypted.dylib: code signature in (dumpdecrypted.dylib) not valid for use in process using Library Validation: mapped file has no cdhash, completely unsigned? Code has to be at least ad-hoc signed.
2020-12-15 22:30:03.444 neteasemusic[3758:559109] [OTRLocation: ../Tweak/Tweak.xm:121] ERROR: logos: nil class SpringBoard
2020-12-15 22:30:03.811 neteasemusic[3758:559109] [SnowBoard Launcher] Loader check passed. Loading SnowBoard...
2020-12-15 22:30:03.859 neteasemusic[3758:559132] [SnowBoard] reloadWithoutExtensions (0) took 0.000333 s
[2020/12/15 22:30:04:035] [NMLLogger:26] ---------- application start, version: 7.3.01 ----------
[2020-12-15 22:30:04:070] file:NELPLocationManager.m line:76)<<<<[NELPLocationManager authorizationStatus] = 0
Abort trap: 6

解决办法就是给dumpdecrypted.dylib签名,输入以下指令(前提在dumpdecrypted.dylib目录下

ldid -S dumpdecrypted.dylib
大黄_黄
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
软件技术的实现
02-11
该文档,详细描写了软件技术的实现,有思路,有流程图,详细易懂。
跟我学汉化-
08-10
绍跟我学汉化-
程序
最新发布
ultramand的博客
12-10 300
技术并不是绝对安全的,只能增攻击者对程序的分析和修改的难度,而不能完全阻止逆向工程。的过程通常需要进行逆向工程和分析程序的结构和算法。(Packaging)是指在一个可执行文件(二进制文件)外部添额外的数据或代码,以增强程序的功能、安全性或保护程序的知识产权。数字版权保护:可以在程序中添授权验证机制,以限制程序的使用范围或时间,并防止未经授权的复制和分发。反调试和反动态分析:在程序集中添反调试和反动态分析的代码,以检测和阻止调试器、动态分析工具和反汇编工具的使用。
longfan的博客
08-07 3367
,以前经常听人讲,但从未自己总结过,今天自己来总结的原理以及如何。 什么是的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。,顾名思义,就是给一个东西上一个,只不过这里是程序。就好比这大自然中的种子一样,为了保护自己,有一层,要想看到里面的东西,就要剥开这层。  的另一种常用的方式是在二进制的程序中植入一段代码,在运行的时候优...
理论详解
菜鸟-传奇
05-13 3087
理论详解   在自然界中,我想大家对这东西应该都不会陌生了,由上述故事,我们也可见一斑。自然界中植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的一般都是在身体外面一样理所当然(但后来也出现了所谓的 “ 中带籽 ” 的)。由于这段程...
m0_59856804的博客
11-15 737
原理
UPX
02-26
`upx机(UPX Easy GUI)下载 1.7绿色汉化版_ - pc6下载站.url` 和 `Homepage.url` 分别指向软件的下载页面和官方网站;`UPX` 文件夹可能包含UPX命令行工具的二进制文件;`Langs` 文件夹可能包含软件支持的不同...
UPX/程序
07-04
这个"UPX/程序"可能是一个用Delphi编写的工具,通过Unit1和Unit2的源代码实现GUI交互,调用upx.exe来执行实际的操作。Win32可能是项目的配置信息,表明这适用于32位Windows系统。 在使用UPX时,...
.txt
06-10
.txt
新手必看 初学者必须掌握原理 (,,,介绍的一些基本常识).zip
03-20
新手必看 初学者必须掌握原理 (,,,介绍的一些基本常识).zip
工具
10-24
吾爱软件工具箱是一款专业的软件工具软件,您可通过吾爱软件工具箱为软件,功能强大,使用简单,并且此款软件完全免费使用,喜欢的朋友不要错过,欢迎下载使用!
知识点(持续更新)
qq_18811919的博客
01-04 1393
知识点 1.的种类有几种 分为压缩//虚拟 (1.1压缩) 压缩调用压缩引引擎主要目的是对文件进行压缩减小文件大小 (1.2) 主要是保护软件防止被各种反跟踪技术来调试程序 (1.3)虚拟 虚拟技术应用到的领域,设计了一套虚拟机引擎,将原始的汇编代码转译成虚拟机指令,要理解原始的汇编代码,就必须对其虚拟机引擎进行研究,而这极大地增了破解和逆向的难度及成本。 2.常见的 (2.1)压缩 UPX、ASPack、PECompact (2.2) ASProte
软件
djimon的专栏
04-18 1665
一般是指保护程序资源的方法. 一般是指除掉程序的保护,用来修改程序资源. 病毒技术与杀毒方法 : 是什么?又是什么?这是很多经常感到迷惑和经常提出的问题,其实这个问题一点也不幼稚。当你想听说这个名词并试着去了解的时候,说明你已经在各个安全站点很有了一段日子了。下面,我们进入“”的世 界吧。 一、金蝉的故事 我先想讲个故事吧。那就是金蝉。金蝉属于三十六计中的混
基础知识
[智能天空教程区 Smart-sky]
06-28 2145
在自然界中,我想大家对这东西应该都不会陌生了,由上述故事,我们也可见一斑。自然界中植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的一般都是在身体外面一样理所当然(但后来也出现了所谓的“中带籽”的)。由于这段程序和自然界的在功能上有很多相同的
软件保护技术:
Reveone的博客
08-29 3353
以UPX为例对原理进行粗浅的分析,以及对UPX后的程序进行手工实操
什么是技术?技术是什么意思?
THMAIL的博客
05-27 4968
什么是技术?技术是什么意思? ,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些软件可以压缩、密驱动程序),以达到缩小文件体积或密程序编码的目的。一般是指保护程序资源的方法。 一般是指除掉程序的保护,用来修改程序资源。马甲”能穿也能。相应的,有也一定会有解(也叫)。主要有两种方法:硬和动态
黑客逆向破解基础-1:分别是什么?的解压原理介绍。
热门推荐
JankinChan的博客
04-27 1万+
一、的概念 的概念,在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的一般都是在身体外面一样理所当然(但后来也出现了所谓的“中带籽”的)。由于这段程序和自然界的在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了...
upx导出附数据
06-20
UPX是对可执行文件进行压缩的一种工具,它可以将文件的体积缩小至原来的几分之一,从而能够方便地传输和存储。但在一些情况下,需要对UPX压缩后的文件进行,使其恢复为原始的可执行文件,或者,使其变得更安全。此外,UPX还支持导出附数据,这些数据可以包含一些额外的信息,如程序的版本、作者、网站等,这些信息可以对程序的使用和维护非常有帮助。因此,掌握UPX的相关技术,能够提高对可执行文件的处理能力,进而提高软件开发和维护的效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值