iOS脱壳方法

时间:2024-04-12 18:15:12

上传到App Store上面的app,是经过一系列加密、压缩等操作的,这个操作我们称之为加壳。加壳后的app在手机运行的时候,先进行解密、解压等操作,这个操作我们称之为脱壳。加壳/脱壳操作是为了app的安全性,但我们要对原有app进行操作,必然要进行脱壳

那么,如何判断app是否加壳呢?

一般来说,从App Store上面下载的app都是被加壳过的;
当然,我们也可以通过具体命令行方法来验证app是否被加过壳。
例子:
我们来验证下从PP助手下载的微信app是否加壳
首先,我们拿到微信的可执行文件,这步不会的请点击这里,参考如何拿到SpringBoard文件即可。
拿到wechat文件后,在当前目录下执行otool -l wechat | grep crypt
iOS脱壳方法
可以在结果中看到cryptid项为0。
我们再来验证下从App Store中下载的腾讯视频app是否加壳

iOS脱壳方法
可以在结果中看到cryptid项为1。

结果:

如果cryptid为0则为脱壳后的应用
如果cryptid为1则为未脱壳的应用

那么,脱壳分为几种方法呢?

脱壳主要分为两种:
硬脱壳:在电脑上直接进行解密操作;
动态脱壳:在app运行在手机中后,手机会自动将app进行解密操作,再解密操作完成后,我们将解密后的app导入到自己的电脑上,得到的就是脱壳后的app;
我们一般用硬脱壳的方法来进行脱壳操作。

那么,如何进行硬脱壳呢?

硬脱壳一般有两种方法:Clutch和dumpdecrypted方法。
我们分别来分析下两种方法的具体用法。

Clutch方法脱壳:

首先,我们下载Clutch选择最新的版本。
我下载的是Clutch-2.0.4版本,为防止Clutch自动更新,我们将文件名修改为Clutch,然后将该文件放在手机的/usr/bin目录下。之后链接手机执行Clutch命令。
iOS脱壳方法会发现被拒绝,这是因为没有权限,可以执行chmod +x /usr/bin/Clutch命令获取权限。然后再执行Clutch命令即可看到:
iOS脱壳方法
表明Clutch安装成功。
Clutch -i可以查看所有未脱壳的应用
iOS脱壳方法
找到需要脱壳的***或者标识,执行Clutch -d 1Clutch -d com.tencent.live4iphone即可

DONE: /private/var/mobile/Documents/Dumped/com.tencent.live4iphone-iOS9.0-(Clutch-2.0.4).ipa
Finished dumping com.tencent.live4iphone in 37.9 seconds

根据手机目录,找到对应的文件,拿到电脑上,再次进行是否脱壳验证,可发现:
iOS脱壳方法cryptid为0,表示已经脱壳。


dumpdecrypted方法脱壳:
  1. 首先,下载dumpdecrypted

  2. 解压后在当前文件夹下执行make指令,可以发现多了一个.dylib文件和一个.o文件

  3. 将.dylib文件放入手机的/var/root目录下

  4. 进入/var/root目录下,执行DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件路径,即DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/containers/Bundle/Application/FFC1D3D0-C438-4BAD-8D4C-1444CCE4F852/live4iphone.app/live4iphone
    但是,我这报这个错误:
    iOS脱壳方法查找资料得知是签名问题,因此,可用ldid -S dumpdecrypted.dylib所在手机目录ldid -S /var/root/dumpdecrypted.dylib命令执行。之后再次运行前面的代码,可得到:
    iOS脱壳方法

  5. 通过ls -l命令,可以看到多了一个live4iphone.decrypted文件,该文件就是腾讯视频的可执行文件。

  6. 再次验证live4iphone.decrypted文件是否脱壳成功:

iOS脱壳方法可以看出,该文件已经脱壳成功!