iOS逆向开发入门

本文仅供学习与交流，请勿用于商业用途。

学习逆向的用处

• 了解iOS的底层实现
• 破解别人的软件，实现各种变态的功能（微信抢红包、钉钉打卡等等...）
• 保护自己的代码，隐藏隐私数据，隐藏函数
• 分析别人的代码架构 - 这个需要你有一定的架构知识

听起来好像很屌的样子

需要掌握的基础知识

• iOS正向开发知识
• App的签名机制&&重签名APP
• 代码注入（MachO文件、dylib）
• 常用工具的使用(class-dump、restore-symbol、LLDB、MonkeyDev)
• ARM汇编

逆向开发的流程

1. 解密、导出应用程序、class-dump导出头文件、IDA反编译二进制文件，为后续工作作准备。
2. 从界面表现入手，获取当前界面布局及控制器。
3. hook发现的一些相关类，记录输出调用顺序及参数。
4. 找到关键函数，查看调用堆栈，hook测试效果。
5. 静态分析加动态调试分析关键函数的实现逻辑。
6. 模拟或篡改函数调用逻辑。
7. 制作插件，或者移植到非越狱机器。

整体流程就是这样，但过程可能不会太顺利，有时需要反复探索才能定位目标函数。这个过程很枯燥，也很有趣。

常用工具

frida-ios-dump

简介：一键砸壳工具，需要越狱手机。
用法:

$ iproxy 2222 22
$ frida-ios-dump -l  //查看所有的进程 可以用 grep 过滤
$ frida-ios-dump Display name or Bundle identifier  砸到电脑的下载目录

class-dump

简介：class-dump 是一个工具，它利用了 Objective-C 语言的运行时特性，将存储在 Mach-O 文件中的头文件信息提取出来，并生成对应的 .h 文件。
用法:

$class-dump -H MachO文件路径 -o 导出头文件需要存放路径
$class-dump -H ./WeChat -o ~/Desktop/wechatHeader

restore-symbol

简介：对二进制文件进行符号还原。
用法:

$restore-symbol origin_mach_o_file -o mach_o_with_symbol

IDA Pro

简介：跨平台反编译工具，可已将二进制文件反编译成汇编语言代码及伪代码，支持动态调试。

Charles

简介：抓包工具，可以抓HTTP请求，支持SSL。

Postman

简介：一款功能强大的接口测试工具，能大幅提升工作效率。

MonkeyDev

简介：iOS逆向开发神器，只需拖入一个砸壳应用，自动集成class-dump、restore-symbol、Reveal、Cycript和注入的动态库并重签名安装到非越狱机器。
使用：安装完成之后用Xcode新建工程，选择MonkeyApp，把需要逆向的ipa包拖入到工程里，即可直接运行。

实战-抖音去水印

新建MonkeyApp工程，将砸好壳的抖音ipa拖进工程，打开工程设置，搜索MONKEY关键字，打开restore-symbol.

image.png
首先我们抓包获取到视频的URL：https://aweme.snssdk.com/aweme/v1/play/?video_id=v0200f010000bmmosn3d82diq4cg9mg0&line=0&ratio=540p&watermark=1&media_type=4&vr_type=0&improve_bitrate=0&logo_name=aweme_suffix，我们看到链接里有个watermark的参数值为1，我猜想这个值可能控制是否有水印，所以我们用Postman把watermark参数改为0测试一下，结果发现获取的视频果然没有水印，所以我们需要注入代码去修改这个链接。
没有水印.png

然后我们使用class-dump获取所有头文件，使用IDA反编译抖音的二进制文件，以备后面使用。

我们知道保存视频到相册必须要调用系统的API，因此我们先打一个符号断点。

添加符号断点.png

然后运行App，执行保存操作，进入我们刚才打的断点

符号断点.png
我们看一下调用栈，发现有几层调用栈是___lldb_unnamed_symbol，这些是没有被符号化，可能是block，至于怎么符号化block这里先不介绍了，此路不通，我们换一个方向考虑。

我们使用视图层级查看工具，发现分享的控制器AWEAwemeShareViewController

image.png

然后我们打开AWEAwemeShareViewController.h里，在里面搜索press、tap关键字，发现shareViewTapped:方法，我猜想点击保存的时候就是调用的这个方法，我们来试着hook一下这个方法。
打开Logos目录下面的.xm文件，在文件的最后面加上下面的代码，并打上断点，运行一下，证实我们的想法是对的。

%hook AWEAwemeShareViewController

- (void)shareViewTapped:(id)arg1 {
    %orig();
}

%end

打开IDA，找到AWEAwemeShareViewController的shareViewTapped:方法，反编译成伪代码。

image.png

经过查看，我们找到AWEShareService协议，看名字应该是处理逻辑的类，我们在class-dump导出的头文件里去搜索AWEShareService关键字，发现AWEShareService和AWEShareServiceUtils两个类，分别查看它们的方法，找到AWEShareServiceUtils中的两个方法可能和下载有关。

+ (void)downloadAndShareWithURLString:(id)arg1 videoModel:(id)arg2 distinationURL:(id)arg3 shareType:(long long)arg4 pointResume:(_Bool)arg5 hasWatermark:(_Bool)arg6 shouldAddEndWatermark:(_Bool)arg7 saveAsLivePhotoEnabled:(_Bool)arg8 shouldSaveDirectly:(_Bool)arg9 preprocess:(CDUnknownBlockType)arg10 completion:(CDUnknownBlockType)arg11;

+ (id)_URLListForAwemeModel:(id)arg1 videoModel:(id)arg2 forBTDShareType:(long long)arg3 hasWatermark:(_Bool *)arg4 shouldSaveDirectly:(_Bool *)arg5 shouldAddEndWatermark:(_Bool *)arg6;

hook这两个方法，然后打断点进行调试。

%hook AWEShareServiceUtils

+ (void)downloadAndShareWithURLString:(id)arg1 videoModel:(id)arg2 distinationURL:(id)arg3 shareType:(long long)arg4 pointResume:(_Bool)arg5 hasWatermark:(_Bool)arg6 shouldAddEndWatermark:(_Bool)arg7 saveAsLivePhotoEnabled:(_Bool)arg8 shouldSaveDirectly:(_Bool)arg9 preprocess:(id)arg10 completion:(id)arg11 {
    %orig();
}

+ (id)_URLListForAwemeModel:(id)arg1 videoModel:(id)arg2 forBTDShareType:(long long)arg3 hasWatermark:(_Bool *)arg4 shouldSaveDirectly:(_Bool *)arg5 shouldAddEndWatermark:(_Bool *)arg6 {
    id result = %orig();
    BOOL hasWatermark = *arg4;
    BOOL shouldSaveDirectly = *arg5;
    BOOL shouldAddEndWatermark = *arg6;
    return result;
}

%end

我们发现_URLListForAwemeModel方法的返回值就是视频的下载链接，然后我们再看一下这个方法的参数，发现第2个参数videoModel里包含两个实例变量_hasWatermark和_hasEndWatermark，值都为ture。

image.png

打开AVEvideoModel的头文件，找到对应的属性

image.png
hook一下AVEvideoModel类两个属性的getter方法，让它们都返回NO，然后重新运行，断点调试，发现_URLListForAwemeModel返回的链接里watermark参数已经是0了。

%hook AWEVideoModel

- (BOOL)hasWatermark {
    return NO;
}

- (BOOL)hasEndWatermark {
    return NO;
}

%end

到这里我觉得可能已经成功了，于是保存了一个视频，到相册里查看，发现保存的视频居然还有水印。于是我怀疑是不是链接后面又被修改过，于是再次抓包看了一下，发现链接确实没有问题了。于是猜想是客户端添加的水印。
于是打开我们最开始打的那个符号断点，运行调试，发现调用栈变了,多了一层-[AWEDynamicWaterMarkExporter waterMarkExporterFinished:]:，从名字看就是给视频添加水印成功的回调。

image.png

于是我猜想肯定是有一个变量控制客户端添加水印的逻辑，于是把之前hookAWEVideoModel的两个方法注掉运行，然后再加上运行，通过对比发现，两次运行_URLListForAwemeModel方法调用后的shouldSaveDirectly参数的值不一样，通过名字我们可以猜出这个参数可能就是我们想要找的参数。

image.png
image.png

于是，我们把这个参数修改为YES，重新运行

+ (id)_URLListForAwemeModel:(id)arg1 videoModel:(id)arg2 forBTDShareType:(long long)arg3 hasWatermark:(_Bool *)arg4 shouldSaveDirectly:(_Bool *)arg5 shouldAddEndWatermark:(_Bool *)arg6 {
    id result = %orig();
    BOOL hasWatermark = *arg4;
    BOOL shouldSaveDirectly = *arg5;
    BOOL shouldAddEndWatermark = *arg6;
    *arg5 = YES;
    return result;
}

接下来是见证奇迹的时刻，我们再保存一个视频到相册，然后去相册查看，发现视频已经没有水印了。到这里我们的抖音去水印就完成了。

IMG_0078.png