iOS逆向 - 使用MonkeyDev破解签名算法（无需越狱）

破解前需要准备：

XCode、iPhone真机（无需越狱）、已砸壳的ipa包（可以从pp助手下载）、class-dump（用于导出头文件）、MonkeyDev（逆向神器，可在未越狱手机上逆向，必备）、IDA Pro（或Hopper Disassembler V3，反汇编工具）

准备工作：

砸壳ipa包。
从AppStore上下载的App，都是苹果加壳的。直接用class-dump，只会导出一个CDStructures.h文件，其它什么有用信息都没有，对于逆向App没有一点用处。

因此，推荐从pp助手上下载已砸壳的ipa包，这样能够节省自己砸壳的工作量，能够将更多的时间和精力放在逆向上。

有了已砸壳的ipa包以后，就可以顺序进行下面的步骤了。

1、查看ipa包是否已砸壳

otool -l ShareCarProject | grep crypt

已经砸壳

2、使用class-dump导出头文件

class-dump -H ShareCarProject.app/ -o Headers

我们就可以在.h文件中查看所有公开方法的声明，方便之后使用MonkeyDev hook该方法。

从dump出的头文件，可以看出网络请求库使用了AFNetworking，一般实际工程中都会对AFNetworking再封装，然后发起网络请求。

该网络封装类就是我们要破解的目标。

dump出来的类

dump出的头文件要好好保存，因为破解的过程中需要查看所有可能是签名的函数，而且下一步hook时必须知道函数声明。由于并不清楚网络请求和加密的类，所以只能不断尝试，可以试着搜索network、netengine、sign、md5、rsa之类的关键词，猜想哪个方法更有可能是签名函数。为了验证自己的判断，就必须使用MonkeyDev进行验证。

破解签名算法就是不断假设、不断验证的过程，虽然枯燥，但是能够了解到App的很多设计和实现，也是一种学习的方式。

3、MonkeyDev上场的时候到了

使用MonkeyDev hook应用，破解工程如链接所示：

Likechuxing签名破解工程

经过多次尝试，才最终确定请求类是NetEngineHelper、签名方法在BasePublicParameModel。

破解工程只是打印了AFHTTPSessionManager、NetEngineHelper的请求参数，以及BasePublicParameModel类签名函数的参数和返回值，让我们能够以直观的方式看到数据在签名前和签名后区别。

生成的签名参数verification：

请求参数

签名前字符串以及签名：

签名函数

HTTP请求参数

HTTP请求

这个工程已经是不断调整后结果了，至于这个结果是怎么来的，如何确定签名函数的内部实现细节，就必须进行下一步反汇编：查看伪码。

这里我们用的是IDA Pro。

4、IDA Pro反汇编

将砸壳后的安装包使用IDA打开，通过如下方式搜索BasePublicParameModel，能够快速定位到目标类：

搜索类名

这个类的所有方法就都展示在functions window中了：

类的方法

还没有确定签名函数，所以必须在这些方法中继续寻找。

5、找到签名函数的位置和实现细节

经过一番寻找终于能够确定，汇编和伪码如下：

函数实现伪码

上面的截图已经展示签名函数的所有细节，有个非常重要的细节是构建的签名前字符串不仅仅是参数的组合，另外还有一个变量也参与了签名。

6、XCode快速验证签名算法

验证工程如链接所示：
Likechuxing签名验证工程

必须不断地试错，才能完整实现App的签名算法。

这里有个小tip，就是拿到签名前和签名后的参数，将签名前参数放入验证工程中，如果通过自己写的签名算法函数运算得到一样的签名后参数，就说明自己的算法实现是对的了。

7、python实现签名算法

这一步其实是必不可少的，因为如果签名算法只用Objective-C实现，那就不可能移植到centOS等服务器上，也不可能移植到windows主机上，花这么多时间破解签名算法就真的只是浪费功夫了。

为了不依赖XCode和Mac环境，这里使用了python语言实现了请求接口，使用python是因为它的易用性与普及性，在其它机器只要有python环境就能非常容易地运行起来。

这里使用python的request类构建一个post请求，设置HTTP请求头、User-Agent等信息，按规则写入请求参数并对请求参数签名，写入HTTP请求体，从而达到抓取网点列表接口数据的目的。

python脚本如下：
https://github.com/xiaoL0204/likechuxing_request

脚本运行效果如下：

python脚本运行效果

说明：示例中去掉了关键信息，直接运行likechuxing_request.py是会报“验证失败”的错误的。
本文出于学习目的，着重于学习App的设计、熟悉反汇编、熟悉python语言和库，练习urllib2、urllib、hashlib等库。