砸壳概述
- 应用程序为了不让你逆向,App Store或安卓的应用下载市场,会对应用可执行文件加壳——即简单加密
- 加壳后应用是不能直接执行的,iOS是有解密的方法的
- 正版应用的MachO文件,因为加密不能dump
- ida64可以看的Load Comands的LC_ENCRYPTTION_INFO_64里的Crypt ID为1,加密;为0不加密
- MachO文件是否加密,也可以命令查看
$otool -l WeChat | grep crypt
- 静态砸壳:直接调用解密程序,把要解密的App解密
- 动态砸壳:DRM(数字版权管理)检查,把可执行文件选择合适的架构进行解密,使用DYLD加载解密的MachO