iOS App Hack过程

    首先，你需要有一台越狱的iOS手机，这样你才能获得root权限，才能为所欲为；需要一台Mac机器，方便你远程操作。接着你就需要安装一打的软件了，Mac上需安装：class-dump(导出头文件)，Reveal(分析UI)，Hopper Disassembler(静态汇编代码分析)，charles(网络分析)，iFunBox(手机文件分析)，usbmuxd(通过usb转发网络数据)；手机上需在Cydia商店中安装：OpenSSH，Reveal Loader(和Mac上Reveal配合使用)，vim, python等。

    在你手机上安装完想Hack的App后，就可以开工了。

0，说明

    下面所有的"#"步骤都是在SSH中操作的，"$"步骤在Mac上操作。

一，使用dumpdecrypted获得头文件

    从github上下载，make编译，将生成的dumpdecrypted.dylib拷贝到手机/var/root目录下。利用Mac上iFunBox获得App的路径，然后将dumpdecrypted.dylib文件拷贝到App的Document目录下。

#cd Document

#DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib App可执行文件路径，

会在当前Document目录下生成xxx.decrypted文件，即该App未加密的可执行文件。将该decrypted文件拷到本机，用命令

$class-dump --arch armv7/arm64 -H xxx.decrypted -o 头文件路径，

生成所有头文件。由于decrypted文件为FAT格式，它实际上包了两种格式的可执行文件,armv7和arm64，需要你根据自己的手机型号选择相应的格式(我用的iPhone4为armv7格式)。获得头文件以后，就可以用Xcode新建一个Project，将所有头文件都导入Project中，方便查询。

二，使用Hopper Disassembler v3进行静态分析(或者使用IDA)

    选择File -> Read Executable to Assemble打开xxx.decrypted文件，选择FAT，armv7或aarch64格式，它就开始自动帮你解析arm格式的汇编语言。在最左边搜索框中搜索你感兴趣的类和方法，可以结合Xcode中的头文件来使用。下面说说它最强大的功能了，就是可以帮你生成类oc的伪代码。选择你关心的函数，再点选右上角if(b) f(x):图标，立刻世界就简单了很多。

三，使用Reveal分析UI及相关的类

    如果分析App的话，光看头文件还是一头雾水的，如果使用Reveal来分析UI使用的View类和相应的Controller类，那世界又简单了很多。先打开Mac上Reveal软件，再在手机上"设置" -> Reveal -> Enabled Applications中选中你想分析的App，再打开App，稍等片刻，最后在Reveal中选中发现的App就可以了。如果一直没有在Reveal中发现App，要确保手机和Mac在同一网络中，重启几次App看看。

四，使用charles分析网络通信

    现在几乎所有的App都是C/S模式的，本地是客户端，通过网络访问Web Server端。所以想真正了解App的行为，分析网络通信是很有必要的。而且绝大多数的App(除了知名的App如微信外)网络封包没有加密，很容易分析通信过程。

    手机端只需在Http Proxy中设置Mac机IP地址和8888端口即可(charles默认端口为8888)。Mac端启用charles，选择接受手机端的连接。

五，使用lldb动态调试

    要分析App的关键细节，就非需要动态调试不可了。可以用GDB来动态调试，但听说它不太稳定(听说而已，没有亲见)，所以还是用debugserver+lldb的方式来调试了。debugserver和lldb均为Xcode自带软件，将debugserver拷贝到手机上，运行

#debugserver *:1234 -a “进程名”

Mac上因为直接使用网络进行调试速度太慢，使用usbmuxd用usb接口进行网络包中转

$cd usbmuxd-1.0.8/python-client

$./tcprelay.py 1234:1234

再启用lldb

$lldb

(lldb)process connect connect://localhost:1234

(lldb)image list -o -f    获得各个库的映射起始地址，如果去掉了ASLR的话，你会发现App映射的起始地址为0x0

(lldb)br s -a 0x3e000   设置断点地址

(lldb)po $r0          在ARM汇编中r0通常存储的是类的地址，使用po命令会显示类的description，实际上应该是调用[$r0 description]。

我们可以用po命令来显示调用类的所有函数，如po [$r0 length]，这可以让我们做很多事，世界更简单了。

剩下的就是体力活了。

六，(可选)去掉ASLR

    在使用lldb进行动态调试时，会遇到一个不大不小的问题，就是因为ASLR的存在，每次App可执行文件的起始地址都不一样，所以动态调试的时候各个函数地址和静态分析的地址不一样。当然你可以每次启动的时候手工计算一下，但也可以一劳永逸解决这个问题，就是修改App头文件中的一个比特。

    我们使用change_mach_o_flags.py来去掉这个比特。将App的可执行文件拷贝到Mac上，运行:

$otool -hv xxx   查看头部信息

$python  change_mach_o_flags.py --no-pie xxx

$otool -hv xxx  再查看头部信息，会发现pie已经去掉了。

再将可执行文件拷贝回手机。因为是越狱的手机，代码的完整性检测功能已经名存实亡了。所以修改过的可执行文件可以照常执行。