iOS逆向之Reveal、Hopper、MachOView等逆向

一、Reveal

1、Reveal简介和下载

Reveal是一款调试iOS程序UI界面的神器。
官网：https://revealapp.com 官网下载：https://revealapp.com/download/

建议下载至少Reveal4版本，支持USB连接调试，速度快。低版本的只能WiFi连接调试。
百度云下载：Reveal4 提取密码:b31u

2、越狱手机配置

1）Reveal Loader安装

首先我们打款越狱设备的Cydia，然后在搜索中输入Reveal Loader，并且进行安装即可，下方是安装后的效果。这一步比较简单，安装后重启SpringBoard即可。如果安装的Reveal Loader不支持新版的Reveal，也可以在该软件源上安装：http://apt.so/codermjlee

2）打开需要调试的APP

图1：安装Reveal Loader.png

3）导入libReveal.dylib

• 找到Mac的Reveal中的RevealServer文件，覆盖iPhone的/Library/RHRevealLoader/RevealServer文件
• 重启SpringBoard或者重启手机，可以在iPhone上输入终端命令
• 重启SpringBoard：killall SpringBoard ；重启手机：reboot

图2：导入libReveal.dylib.png

4）开始调试APP

手机上打开需要调试的app，保持在前台状态；然后mac上Reveal会显示对应的应用图标，点击图标，就能查看该APP的UI层级图了

图3：Reveal调试APP.png

二、class-dump

顾名思义，它的作用就是把Mach-O文件的class信息给dump出来（把类信息给导出来），生成对应的.h头文件。官方地址：http://stevenygard.com/projects/class-dump/

下载完工具包后将class-dump文件复制到Mac的/usr/local/bin目录，这样在终端就能识别class-dump命令了

图4：下载class-dump.png

常用格式用法：`class-dump -H Mach-O文件路径 -o 头文件存放目录``

• -H表示要生成头文件
• -o用于制定头文件的存放目录

图5：class-dump的使用.png

三、Hopper Disassmbler

使用Hopper Disassembler, 通过将汇编代码转成伪代码，了解其他App的实现, 以学习他人优秀的精髓之处

已上传网盘：Hopper+4.0.8 网盘密码:zr4t

1、基本使用

1）打开Mach-o可执行文件

可以先选择适用版本的Hopper Disassmbler，然后打开ipa文件中的可执行文件

图6：打开Hopper Disassmbler.png

2）查看对应伪代码

待Hopper Disassmbler扫描完之后（可以在右下脚查看，是否还在working中）。首次扫描建议使用简单的包，先熟悉入口，大的包扫描时间较久，而且还容易出问题。然后按照图片中的操作就可以查看伪代码了。

图7：查看伪代码.png

2、使用Python 脚本导出伪代码

Class Decompile是一个用于Hopper反汇编器的python脚本。这个脚本可以导出类的伪代码。
GitHub链接： https://github.com/poboke/Class-Decompile

• 1）将下载的Class Decompile.py文件放到~/Library/Application Support/Hopper/Scripts目录里。

• 2）将可执行文件拖到Hopper里，等待分析完成。如果日志框里出现以下文字，就说明分析完成了：

Analysis segment __LINKEDIT
Analysis segment External Symbols
Background analysis ended

• 3）点击菜单 Scripts –> Class Decompile ：

图8：点击菜单 Scripts –> Class Decompile ：.png

• 4）Hopper会出现一个弹框，可以选择反编译类型：

图9：选择反编译类型.png

- Decompile All Classes : 反编译所有类
- Decompile One Class : 反编译单个类
- Cancel : 取消

• 5）如果选择反编译单个类的话，会出现以下弹框：

图10：选择反编译单个类.png

输入某个类名后，点击 OK 按钮就可以反编译出该类的伪代码。

• 6）反编译出来的伪代码保存在~/ClassDecompiles目录里。
• 7）打开反编译的文件，例如CalculatorController.m，可以看到生成的伪代码：

@implementation TTFQuizShowLiveRoomViewModel
- (void)setCurSignCount:(id)arg2 
{
    STK35 = r7;
    r7 = &arg_C;
    STK37 = r8;
    sp = sp + 0xfffffffffffffffc - 0x4;
    r8 = self;
    r0 = *objc_ivar_offset_TTFQuizShowLiveRoomViewModel__curSignCount;
    *(r8 + r0) = arg2;
    *0x88 = r3;
    var_0 = r3;
    loc_e09f98(NSString, @selector(stringWithFormat:), cfstring__, arg2, STK37, lr, STK35, r6, r5, r4);
    r5 = loc_e09f9c();
    loc_e09f98(r8, @selector(curSignCountStr));
    r7 = r7;
    r6 = loc_e09f9c();
    r1 = @selector(isEqualToString:);
    r4 = loc_e09f98(r5, r1, r6);
    loc_e09f94(r6);
    if (r4 == 0x0) {
            r1 = @selector(setCurSignCountStr:);
            loc_e09f98(r8, r1, r5);
    }
    r0 = r5;
    Pop();
    Pop();
    Pop();
    Pop();
    Pop();
    r0 = loc_1be412c(r0, r1);
    return;
}
@end

四、MachOView

1、MachOView的下载安装

MachOView工具可Mac平台中可查看MachO文件格式信息，IOS系统中可执行程序属于Mach-O文件格式，有必要介绍如何利用工具快速查看Mach-O文件格式。MachOView工具属于免费开源项目。
源代码可在https://github.com/gdbinit/MachOView下载
或者直接下载别人封装好的：https://github.com/fangshufeng/MachOView/releases

将“MachOView”拖到Application文件夹，就可以像其他程序一样启动了

2、MachOView的使用

1）打开MachOView

点击MachOView工具的主菜单“File”中的“Open”选项便可加载IOS平台可执行文件

图11：打开MachOView.png

2）文件头信息

MachOView工具成功加载Mach-O文件之后，每个.o文件对应一个类编译后的文件，展开每个类后，在左边窗口点击“Mach Header”选项，可以看到每个类的cpu架构信息、load commands数量 、load commandssize 、file type等信息。 如上图所示。

五、Mach-O文件介绍

1、Mach-O介绍

Mach-O是Mach object的缩写，是Mac\iOS上用于存储程序、库的标准格式
属于Mach-O格式的文件类型有

图12：属于Mach-O格式的文件类型.png

可以在xnu源码中，查看到Mach-O格式的详细定义（https://opensource.apple.com/tarballs/xnu/）
EXTERNAL_HEADERS/mach-o/fat.h
EXTERNAL_HEADERS/mach-o/loader.h

2、常见的Mach-O文件类型

• MH_OBJECT

  • 目标文件（.o）
  • 静态库文件(.a），静态库其实就是N个.o合并在一起

• MH_EXECUTE：可执行文件

  • .app/xx

• MH_DYLIB：动态库文件

  • .dylib
  • .framework/xx

• MH_DYLINKER：动态链接编辑器

  • /usr/lib/dyld

• MH_DSYM：存储着二进制文件符号信息的文件

  • .dSYM/Contents/Resources/DWARF/xx（常用于分析APP的崩溃信息）

图13：可执行文件的生成.png

3、Mach-O的基本结构

官方描述：https://developer.apple.com/library/content/documentation/DeveloperTools/Conceptual/MachOTopics/0-Introduction/introduction.html

一个Mach-O文件包含3个主要区域：

• Header ：文件类型、目标架构类型等

• Load commands：描述文件在虚拟内存中的逻辑结构、布局

• Raw segment data：在Load commands中定义的Segment的原始数据

4、窥探Mach-O的结构

命令行工具

• file：查看Mach-O的文件类型。file 文件路径

• otool：查看Mach-O特定部分和段的内容

• lipo：常用于多架构Mach-O文件的处理

  • 查看架构信息：lipo -info 文件路径
  • 导出某种特定架构：lipo 文件路径 -thin 架构类型 -output 输出文件路径
  • 合并多种架构：lipo 文件路径1 文件路径2 -output 输出文件路径

4、Universal Binary（通用二进制文件）

通用二进制文件。同时适用于多种架构的二进制文件。包含了多种不同架构的独立的二进制文件。
因为需要储存多种架构的代码，通用二进制文件通常比单一平台二进制的程序要大。
由于两种架构有共同的一些资源，所以并不会达到单一版本的两倍之多。
因为文件比原来的要大，也被称为“胖二进制文件”（Fat Binary）。