iOS 安全 - 砸壳

加壳

App 提交至 AppStore 后，App里的可执行程序(MachO)被加密了，这样可以保证机器上跑的应用是苹果审核过的，也可以管理软件授权。经过AppStore加密的应用，我们无法通过Hopper等反编译静态分析，也无法Class-Dump。

检查是否加密
使用otool 查看二进制文件，如对砸过壳的QQMusic可执行程序：

image.png
cryptid 值为0， 表示未加密；

而从AppStore上下载的未砸过壳的QQMusic，cryptid = 1, 如下所示：

image.png

砸壳

对加密的二进制文件进行解密，被称作砸壳。包括
（1）静态砸壳：在不运行壳应用程序的前提下进行解密处理。需知道加密的方法，难度大。
（2）动态砸壳：从运行在进程内存空间中的可执行程序映像（Image）入手，将内存中的内容进行转储（dump）来实现脱壳处理。不需要关心加密方法，相对简单。

砸壳实践

手机： iPhone6s plus， iOS9.0.2， 已越狱。无法再从AppStore下载App了，只能先从iTunes中先下载app，再appy到手机上。

总结：依次实践了 Clutch，dumpedcrypted，frida-ios-dump 这3种砸壳方式。Clutch最简单，但很多砸不了；dumpedcryped能砸，安装简单，但使用时步骤较繁琐；frida-ios-dump安装环境复杂，但使用简单，砸壳成功率也高（WeChat, Alipay都成功了）。

1. Clutch

主要参考 https://www.freebuf.com/column/204508.html
1）下载https://github.com/KJCracks/Clutch/releases最新的 Clutch2.0.4 源码，按照 https://github.com/KJCracks/Clutch
里Building的步骤，依次操作，在Compiling步时，cd /Clutch-2.0.4后到执行 xcode clean build，可以看到Clutch下生成了可执行程序clutch.

image.png

2）copy clutch到手机的/usr/bin下，必要时赋予可执行权限。
3）执行 Clutch -I

image.png
4）执行 Clutch -d 4 对Spotify进行砸壳：
image.png 按此方法，也可以对手机内的QQ音乐砸壳，但网易音乐失败了，应该是做了保护： image.png

2. dumpdecrypted

主要参考：https://blog.csdn.net/boring_cat/article/details/79422086， 使用wifi连接ssh。

1） 至 https://github.com/stefanesser/dumpdecrypted 下载源码
2） 执行 make命令，相同目录下生成 dumpdecrypted.dylib 文件
3） 查找要砸壳的app（QQMusic）的沙盒路径：

image.png 这里使用cycript注入 (ctr+d 退出cycript输入状态）到QQMusic里，打印出App的Home沙盒路径为：/var/mobile/Containers/Data/Application/D8B7C29C-2733-43AC-9D25-6720CA7FAC6F；
使用scp将dylib拷贝到该Document目录下：
scp dumpdecrypted.dylib root@192.168.2.4:/var/mobile/Containers/Data/Application/D8B7C29C-2733-43AC-9D25-6720CA7FAC6F/Documents
image.png (也可使用iFunBox直接查找和拷贝，更方便）
4）运行QQMusic后，使用ps -e 得到QQMusic的可执行文件路径：
image.png 注意，这个路径和沙盒是不同的。
5）cd 到沙盒/Documents下，执行如下拼凑的命令：
DYLD_INSERT_LIBRARIES=dumpedcrypted.dylib /var/mobile/Containers/Bundle/Application/6889BB15-498C-47BA-B954-E471DB519C6C/QQMusic.app/QQMusic
image.png
执行完后，console打印了如上的log， Documents目录下生成了砸壳后的文件： image.png

6）将QQMusic.decrypted拷贝到Mac，该文件即为砸壳后的二进制可执行文件（可将后缀去掉）。也可以再使用lipo从中提取出特定架构的可执行文件： （可不做）
lipo QQMusic.decrypted -thin arm64 -output QQMusic_decrypted_arm64 。

经测试，该方法可以对Neteasemusic进行砸壳。

image.png

3. frida-ios-dump

先是想按照 http://bbs.iosre.com/t/frida/11988/41 提供的https://github.com/ChiChou/frida-ipa-dump/
来一键砸壳，结果发现出现问题：

image.png

与别人上报的Issues相同，遂放弃。

改用 https://www.freebuf.com/column/204508.html
里的friad-ios-dump一章的方法：（这里只做简单说明）

1）安装 PC 端各配置，pip， usbmuxd。（之前安装了anaconda3及其他python库）
2）安装 frida for PC:
sudo pip install Frida
sudo pip install frida-tools
3）手机端安装Frida
4）usb连接手机，PC中 执行 frida-ps -U验证两端Frida都安装成功

image.png

5）配置frida-ios-dump环境：
https://github.com/AloneMonkey/frida-ios-dump/tree/3.x
记得选择zip包下载

image.png
执行 sudo pip install -r requirements.txt --upgrade
image.png

6）准备开始砸壳：
（1）pc端使用iproxy改监听端口：

image.png
（2）另起一个iTerm，ssh 连接到手机：
image.png
（3）再起一个iTerm， cd到 frida-ios-dump-3.x下：执行./dump.py -l
image.png
(4) 找到要砸壳的app，比如WeChat。 在iPhone上打开WeChat，然后iTerm里执行 ./dump.py WeChat
image.png
image.png
修改WeChat.ipa后缀为 .rar，解压缩后，验证一下：
image.png

砸壳成功！