可执行文件的脱壳

大家知道，通常iOS中下载的ipa包可以通过解压缩，最后获得可执行的Mach-O文件。

一、判断可执行文件是否被加密
方法1：通过终端命令来查看
otool -l QQ | grep crypt

//class-dump出来的qqHeaders文件夹中头文件如果只有一个，通常也是被加密的
class-dump -H QQ -o qqHeaders
//输出的cryptid如果为0则未加密，为1则被加密
otool -l QQ | grep crypt

终端判断是否被加密.png

方法2：通过MachOView来查看

MachOView判断是否被加密.png

方法3：Hopper Disassembler解析不出来的，也是被加密的。

二、脱壳
一旦发现可执行文件是被加密过的，那就需要先进行脱壳操作，将原始的可执行文件给剥离出来。通常我们采用的都是硬脱壳方式，即暴力脱壳，也不需要将程序运行到内存中再进行操作。
硬脱壳是有工具的，一般用Clutch工具和dumpdecrypted工具，接下来我们逐个解释。

1、Clutch工具
Clutch下载地址
通过Clutch可以将装在手机上的应用进行脱壳操作，所以需要安装到手机上。为了方便在终端上直接操作，通常会将Clutch工具拖到/usr/bin目录下（建议给下载下来的Clutch后缀版本号去掉）。如果登录到手机后，在终端敲入Clutch出现权限不足的问题，可以给其添加可执行的权限chmod +x /usr/bin/Clutch即可。

Clutch操作.png

如上图箭头所指，成功脱壳后，会自动将文件打包成一个.ipa文件，终端里也会输出这个.ipa文件的具体路径，导出到电脑上即可使用 。这个.ipa里面包含的就是已经解密成功的可执行文件，即脱壳操作完成。我们可以通过前面所说的otool指令来验证一下，查看这个.ipa的crypt值是否真的为0。

验证脱壳结果.png

有图有真相，我没有胡说哈😁

2、dumpdecrypted工具
dumpdecrypted下载地址

下载的dumpdecrypted文件.png

(1)首先将dumpdecrypted.c编译成动态库
进入dumpdecrypted.c文件所在的目录，终端输入make指令进行编译，会自动执行其目录中的Makefile文件内部的指令，生成对应的动态库文件

动态库生成.png

(2)将生成的dumpdecrypted.dylib动态库文件拷贝到iPhone上（如果是root用户，建议放到/var/root目录）

拷贝动态库文件.png

(3)终端进入dumpdecrypted.dylib所在的目录，使用环境变量DYLD_INSERT_LIBRARIES将动态库注入到需要脱壳的可执行文件中（可执行文件的路径可以通过ps -A查看获取）
具体操作命令：DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件路径

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib "/var/mobile/Containers/Bundle/Application/5A97A551-4E9B-4E57-B065-E1DC913B1FC9/Jiu_Kuai_Jiu copy.app/Jiu_Kuai_Jiu copy"

当前文件/var/root下新生成的Jiu_Kuai_Jiu copy.decrypted文件就是脱壳后的可执行文件，用otool指令验证一下就知道了。