1.class-dump

class-dump是用来dump目标文件的类信息的工具。它利用Objective-C语言的runtime的特性，将存储在mach-O文件中的@interface和@protocol信息提取出来，并生成对应的.h文件。官方介绍如下：

This is a command-line utility for examining the Objective-C runtime information stored in Mach-O files. It generates declarations for the classes, categories and protocols. This is the same information provided by using ‘otool -ov’, but presented as normal Objective-C declarations, so it is much more compact and readable.

1.1安装class-dump

下载地址：http://stevenygard.com/projects/class-dump/。打开链接后，选择class-dump-3.5.dmg，进行下载。下载完成之后，将dmg文件中的class-dump复制到/usr/bin目录，并在终端执行如下执行进行赋权：

然后运行class-dump指令，即可看到如下结果：

image

1.2使用class-dump

执行指令：

【说明】：

• /Applications/Calculator.app：计算器app的路径；
• /Users/GofLee/Desktop/CalculateHeads：存放dump结果的头文件文件夹路径。

执行上面的指令之后，我们可以在 /Users/GofLee/Desktop/CalculateHeads 目录下看到生成的.h列表：

image

从上面的结果可以看到，我们有了这些.h文件之后，就可以初步了解目标App的程序结构。后面可以结合Reveal和cycript工具，更精准的分析目标App某个页面的功能实现。

同样的，我们也可以导出AppKit、UIKit的头文件：

【注意】：有时class-dump指令会执行失败，无法得到想要的头文件，或头文件的内容是加密的密文。出现这种情况是因为class-dump的作用对象必须是未经加密的可执行文件，一般App Store中下载的App都是经过签名加密的，这个时候需要先进行砸壳。

2.class-dump-z

class-dump-z 是对 class-dump 和 class-dump-x 的改进版，完全用C++重写，避免动态调用，这使得 class-dump-z 比 class-dump 和 class-dump-x快10倍左右，并且可以在 Linux、Mac、 iPhone 上运行。

下载地址：https://code.google.com/archive/p/networkpx/wikis/class_dump_z.wiki

其他同class-dump。

3.砸壳：dumpdecrypted

第一步：源码下载：https://github.com/stefanesser/dumpdecrypted

第二步：使用make指令编译源码；

前两步也可以省略，直接下载编译好的dumpdecrypted.dylib(需要使用与iOS设备系统相同的版本)。

做完前两步之后，会生成一个dumpdecrypted.dylib文件，我们通过IExplorer软件，将这个文件拷贝到需要砸壳的App的Documents目录，如下图所示：

image

接下来，通过终端和手机建立连接，具体指令参看Cycript内容。

cd到对应App的Documents路径，执行指令：

指令执行结果：

image

这时，Documents目录下多了一个“xxxx.decrypted”文件，将该文件拷贝到电脑，继续使用class-dump进行头文件分析。

如果经过上面的操作，还是不能得到想要的头文件，那么有可能是代码使用的 OC 和 Swift 混编，而 class-dump 是利用的 OC 的运行时机制，所以有 Swift 的代码没法 dump 出来，那就只有直接用 IDA 看了。

【说明】：

a.怎么获取 App的Documents路径？

通过cycript指令，根据应用进程，进入到应用，然后执行如下指令获取：

b.怎么获取App的可执行文件路径？

通过打印进程信息，是可以直接得到可执行文件路径的，指令如下：

结果如下：

image

c.执行指令，有可能遇到如下所示错误：

image

遇到该错误的时候，按如下步骤操作：

• 第一步：拷贝dumpdecrypted.dylib 文件到设备的 /usr/lib目录下；

• 第二步：切换到mobile用户，指令如下：

• 第三步：cd到 /var/mobile/Documents 目录，指令如下：

• 第四步：执行如下指令：

• 第五步：在 /var/mobile/Documents 目录下，可以看到 Evernote.decrypted 文件已经生成。

4.导出Frameworks 和 PrivateFrameworks 的头文件

脚本可参考：https://github.com/EthanGHub/DumpFrameworks

下面标粗标红的地方需要进行相应的修改：

复制代码 复制代码

命令执行完，在用户目录下 会出现 Headers，里面包括了导出的Frameworks 和PrivateFrameworks 文件夹，如下图所示：

image

5.参考资料

iOS app 逆向分析