最近闲来无事打算个系列文章,主要围绕iOS安全攻防系列,目录如下:
第一章:工具篇
第二章:越狱环境搭建
第三章:Mach-O文件格式
第四章:iOS系统安全机制
第五章:arm汇编介绍
第六章:iOS常用开发语言的逆向特征
第七章:实例逆向分析
第八章:如何保护自己的App
第一章:工具篇
一、Mach-O操作相关工具
1.1 otool
Xcode自带的查看macho文件结构信息工具,类似Windows上的PE文件信息查看工具,不过这个是命令行的,直接在控制台输入otool就可以打印支持参数,如下图所示:
图片 1.11.png
一般我们常用的不多,例如打印加载的动态库可以输入otool -L testiOS 输出如下:
图片 1.12.png
当然也可以使用otool工具查看目标Macho是否支持Bitcode
对于静态库而言
otool -l xxxx.a | grep __bitcode | wc -l
输出是个数字的话则说明是支持bitcode的文件数
对于mach-o文件则是
otool -l xxxx | grep __LLVM | wc –l
1.2 MachoView
一款查看二进制的信息的可视化工具,相对otool来说查看更方便,而且不仅可以查看还可以修改Macho,例如我们可以将armv7的aslr去掉的话只要修改Mach Header里面MH_PIE 00200000->00000000 修改之后MachoView就会显示红色command+S保存后就生效了。
图片 1.21.png
1.3 class-dump
一款可以将二进制里面的OC类的头文件信息导出,这样可以帮助我们进行逆向分析。例如我们对testiOS这个Macho文件执行导出头文件如下图4:
图片 1.31.png
在执行class-dump -s -S -H testiOS -o ~/Desktop/headers 后生成的ViewController.h里面基本上就是原始类声明。
1.4 optool
一款给Mahco注入动态库的工具,类似的还有insert_dylib等,此工具操作相对方便一点,详细参数请查看下图5,在我们写好tweak(后面会介绍怎么写tweak)之后,我们需要借助此类工具将其注入到目标MachO里面。
使用说明如下:
图片 1.41.png
执行如下命令将GamePlugin.framework动态库(假设是我们写好的tweak)注入到testiOS,如图6:
optool install -c weak -p "@executable_path/Frameworks/GamePlugin.framework/GamePlugin" -t testiOS
并将GamePlugin.framework拷贝到testiOS同一级目录的Frameworks目录(没有的话就手动创建)
图片 1.51.png
1.6 restore-symbol
iOS应用在上线前都会裁去符号表,以避免被逆向分析,
恢复后方便动态调试符号化堆栈。
1.7 dumpdecrypted
iOS应用上架到AppStore上都会被苹果加上一层官方壳,所以直接从AppStore上拿到的iPA需要先脱壳后才方便进行后续的静态分析,砸壳具体操作方法如下:
1).先将dumpdecrypted.dylib拷进对应目标App的沙盒目录(这里可以使用scp、或者直接借助爱思助手或者pp助手类似的工具)
2).ssh之后cd到目标App的沙盒目录后执行以下命令:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/Application/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/iOSTest.app/iOSTest
上面可执行程序的完整路径可以通过爱思助手等工具查看:
图片 1.71.png
1.8 frida-iOS-dump
这个工具是利用frida+ dumpdecrypted完成砸壳自动化。
https://github.com/AloneMonkey/frida-ios-dump这里面有详细介绍。
二、静态分析
2.1 Hopper Disassembler
一款静态分析工具,目前只支持MacOS,特点是加载快,交互性等其它功能还是欠缺一点,汇编修改功能还可以,作者经常用来快速查看和简单修改。
例如已经发现某个类的方法就是判断是否是Vip,并且方法的返回值为BOOL时,我们可以直接按如下修改:
图片 2.11.png
然后保存生成新的Macho文件即可
2.2 IDA
iDA一直以来都是安全人员的标配工具,因为它支持Windows、MacOS、Linux三平台,而且还支持很多的cpu架构指令,关键的关键就是交互性很好,你可以自定义
三、动态调试相关
3.1. debugeserver:
一步一步用debugserver + lldb代替gdb进行动态调试 http://iosre.com/t/debugserver-lldb-gdb/65
3.2 cycript
3.3 Reveal
一款查看UI层次的工具,可以用来寻找button的点击事件。
3.4 lldb插件
xia0LLDB https://github.com/4ch12dy/xia0LLDB //增强lldb的python命令
chisel https://github.com/facebook/chisel //增强lldb的python命令
四、Patch&&Hook工具
4.1 MonkeyDev
支持<反调试、方法跟踪、Xcode调试>https://github.com/AloneMonkey/MonkeyDev
4.1 重签名
codesign、ldid
五、网络抓包
5.1 t常见HTTP/HTTPS抓包可以使用charles、Fiddler
5.2 tcp等底层抓包可以使用 rvictl+wireshark或者tcpdump
六、其他辅助工具
6.1 控制台
可以方便查看App的输出log信息 //mac电脑上的 /Applications/Utilities/Console.app
欢迎加群讨论:
iOS攻防艺术交流群
网友评论