砸壳
从App Store上下载的ipa里面的二进制文件是经过加密的,class-dump和Hopper Disassembler都需要用到未加密的二进制文件,所以需要我们通过砸壳得到。
我们可以通过命令查看二进制文件是否加密
otool -l 二进制文件路径 | grep -B 2 crypt
砸壳前.png
其中cmd尾部为_64的是arm64架构,另一个为armv7架构,cryptid=1表示有加密,cryptid=0表示未加密。图中是App Store上下载的加密过的的微信二进制文件。
常用的砸壳工具有dumpdecrypted、Clutch、AppCrackr。
这里我们使用dumpdecrypted砸壳。
https://github.com/stefanesser/dumpdecrypted
通过make得到的dumpdecrypted.dylib就是我们的工具。
这里我们需要用到越狱的iOS设备,并且安装好openssh和cycript。如果没有越狱设备,可以去pp助手上下载越狱版的ipa,这种ipa里面的二进制文件是没有加密的。
- ssh root@ip 连接到越狱设备,初始密码默认是alpine,首次连接请自行修改。
- ps -e 查看所有进程信息
- cycript -p 进程id 勾住进程 (砸壳过程中是为了方便查看app的沙盒路径)
ssh.png
进程id.png
勾住进程.png
成功勾住进程之后,我们可以通过oc函数获取沙盒路径
[NSHomeDirectory() stringByAppendingString:@"/Documents"]
沙盒路径.png
将bundle路径和沙盒路径复制保存
通过scp命令将dumpdecrypted.dylib复制的沙盒路径:
scp dumpdecrypted.dylib路径 root@ip:沙盒路径
cp锤子.png
cd到沙盒路径执行命令砸壳:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib bundle路径
砸壳.png
ls查看成果物,再使用scp命令将成果物拷贝到电脑
拷贝出来.png
至此,砸壳部分告一段落,我们拿到了.decrypted的砸壳后的二进制文件
砸壳后.png
网友评论