IOS逆向初探

news2024/12/22 16:43:21

前言

这些文章用于记录学习路上的点点滴滴,也希望能给到刚入门的小伙伴们一点帮助。爱而所向,不负所心。

环境

iphone 6

MacOS Monterey 12.3.1

一、IOS开发语言

Objective-C

Objective-C是iOS操作系统运用的软件开发语言。Objective-C的流行完全是因为iphone的成功。Objective-C是OS 系统的开发语言,是面向对象的编程语言,它是C语言的扩展语言,也是基于C语言的升级语言。

Swift

Swift是苹果在2014年推出的全新开发语言,可以在iOS和Mac 操作系统上与Objective-C一起运行。Swift的本质是Objective-C,它采用了Objective-C的命名参数和动态对象模型,但它结合了C和Objective-C的优点,大大降低了开发iOS的门槛。

二、ipa目录结构

查看ipa文件(以douyu为例),太长了只列举一部分

image-20220729172321689

解压后会生成一个Payload文件夹,里面会有一个.app文件,在IOS里面是应用文件:

Bundle是一个含有可执行的代码及代码所需资源,以特定标准的层次结构组合起来的文件夹。Bundle的内部结构:

  • Info.plist :存储应用的相关配置、Bundle identifier 和 Executable file 可执行文件名(类似于android的AndroidManifest.xml)

  • Frameworks:当前应用使用的三方 Framework 或 Swift 动态库

  • 资源:其他文件,包括图片资源、配置文件、视频/音频,以及一些与本地化相关的文件

  • _CodeSignature文件夹:ipa包签名文件的存放文件夹

  • Assets.car:Assets.xcassts在编译过程中生成的最终展示文件,默认里面存放各种分辨率图片(测试项目未使用)

  • embedded.mobileprovision:证书配置文件

  • Plugins:App创建的扩展,比如Widget、Push和Share等

  • .Iproj:App所支持的语言文件

  • exec文件:可执行文件,例如widgetExtension

  • 图片资源:.png,.jpg,.webp,.gif

  • 其它资源文件

    .xml,.json

    .plist:项目中使用资源的.plist文件

    .conf:相关的配置文件

    .cer,.der,.p12:钥匙串文件

    .wav:音频文件

    .js,.html

    .nib:Xcode自带的数据文件,包含一个窗口程序和应用程序委托对象

    .sqlite:数据库文件

    .txt:文本文件

    .mom:Xcode创建的数据模型文件

三、安全机制

1、更小的受攻击面

受攻击面:受攻击面是指处理攻击者所提供输入的代码。

就算苹果公司的某些代码中存在漏洞,如果攻击者没法接触这些代码,或者苹果公司根本不会在iOS中包含这些代码,那么攻击者就没法针对这些漏洞开展攻击。因此,关键的做法就是尽可能降低攻击者可以访问(尤其是可以远程访问)的代码量。

例如,iOS不支持Java跟Flsah,不能处理.psd文件。苹果公司自有的.mov格式也只被iOS部分支持,因此很多可以在Mac OS X上播放的.mov文件在iOS上无法播放。虽然iOS原生支持.pdf文件,但只是解析该文件格式的部分特性。

瑕疵越少,攻击者发动漏洞攻击的机会就越小。

2、精简的操作系统

除了减少可能被攻击者利用的代码,苹果公司还精简掉了若干应用,以防为攻击者在进行漏洞攻击时和得手之后提供便利。

例如:iOS设备上没有shell(/bin/sh);

3、权限分离

iOS使用用户、组和其他传统UNIX文件权限机制分离了各进程;

例如:用户可以直接访问的很多应用,比如Web浏览器、邮件客户端或第三方应用,就是以用户mobile的身份运行的。而多数重要的系统进程则是以特权用户root的身份运行的。其他系统进程则以诸如_wireless和_mdnsresponder这样的用户运行。利用这一模型,那些完全控制了Web浏览器这类进程的攻击者执行的代码会被限制为以用户mobile的身份运行。

来自App Store的应用其行为会受到限制,因为它们也是以用户mobile的身份执行的。

4、代码签名机制

所有的二进制文件(binary)和类库在被内核允许执行之前都必须经过受信任机构(比如苹果公司)的签名。此外,内存中只有那些来自已签名来源的页才会被执行。这意味着应用无法动态地改变行为或完成自身升级。这样做都是为了防止用户从因特网上下载和执行随机的文件。所有的应用都必须从苹果的App Store下载(除非对设备进行配置,使其接受其他的源)。

5、DEP

DEP: Data Execution Prevention,数据执行保护;

处理器能区分哪部分内存是可执行代码以及哪部分内存是数据。DEP不允许数据的执行,只允许代码执行。

当漏洞攻击试图运行有效载荷时,它会将有效载荷注入进程并执行该有效载荷。DEP会让这种攻击行不通,因为有效载荷会被识别为数据而非代码。

iOS中代码签名机制的作用原理与DEP相似。

6、ASLP

ASLP: Address Space Layout Randomization,地址空间布局随机化。

在iOS中,二进制文件、库文件、动态链接文件、栈和堆内存地址的位置全部是随机的。当系统同时具有DEP和ASLR机制时,针对该系统编写漏洞攻击代码的一般方法就完全无效了。在实际应用中,这通常意味着攻击者需要两个漏洞,一个用来获取代码执行权,另一个用来获取内存地址以执行ROP,不然攻击者就需要一个极其特殊的漏洞来做到这两点。

7、沙盒机制

iOS防御机制的最后一环是沙盒。与之前提到的UNIX权限系统相比,沙盒可以对进程可执行的行动提供更细粒度的控制。

例如:MS应用和Web浏览器都是以用户mobile的身份运行的,但它们执行的动作差别很大。SMS应用可能不需要访问Web浏览器的cookie,而Web浏览器不需要访问短信。而来自App Store的第三方应用不应该具有cookie和短信的访问权。

首先,它限制了恶意软件对设备造成的破坏。想象一下,就算恶意软件侥幸通过了App Store的审查流程,被下载到设备上并开始执行,该应用还是会被沙盒规则所限制。它可能会窃取设备上所有的照片和地址簿信息,但它没办法执行发短信或打电话等会直接使用话费的操作。沙盒还让漏洞攻击变得更困难。就算攻击者在减小的受攻击面上找到了漏洞,并绕过ASLR和DEP执行了代码,有效载荷也还是会被限制在沙盒里可访问的内容中。总而言之,所有这些保护机制虽然不能说会完全杜绝恶意软件和漏洞攻击,但也大大加大了攻击的难度。

四、连接IOS

Android是用adb连接PC客户端的,而IOS是使用ssh连接客户端的,并且IOS在越狱状态下root密码默认为 alpine。

OpenSSH

在同一 局域网下可以直接使用OpenSSH(在Cydia中搜索OpenSSH安装)对iPhone进行ssh连接。

ssh root@iPhoneip  #密码:alpine

usbmuxd

将iPhone和mac使用USB连接,使用usbmuxd在mac上进行端口转发,ssh本地ip+映射端口

brew install usbmuxd        #安装
iproxy 1233 22              #将iPhone的22端口映射到mac本地的1234端口
ssh -p 1234 root@127.0.0.1  #ssh连接iPhone

应用的一般安装位置位于:

/private/var/containers/Bundle/Application
/private/var/mobile/Containers/Bundle/Application/
/private/var/mobile/Containers/Data/Application/

五、加壳脱壳

加壳

应用在上传App Store时,App Store会对应用进行加壳操作。

原理:利用特殊的算法,对可执行文件的编码进行改变,比如压缩、加密,以达到保护程序代码的目的。

image-20220801111147379

image-20220801111238857

加壳后的可执行文件不能直接运行,而壳程序能被ldyd文件识别运行后,最后将机密文件进行解密并运行

脱壳

检查

脱壳主要分为两种:
硬脱壳:在电脑上直接进行解密操作,下面提到的两种脱壳方式都是硬脱壳(Clutch、dumpdecrypted);
动态脱壳:在app运行在手机中后,手机会自动将app进行解密操作,再解密操作完成后,将解密后的app导入到自己的电脑上,得到的就是脱壳后的app;

image-20220801111428376

查看可执行文件是否加壳,解压ipa文件,提取Payload中的可执行文件,以斗鱼IOS测试版为例(还未上架App Store)

otool -l DYZB| grep crypt   

cryptid为0,则为脱壳后的应用
cryptid为1,则为未脱壳的应用

image-20220801141507459

接下来以在App Store中上架的生产版的斗鱼为例,app的目录应为 /private/var/containers/Bundle/Application

但是应用的文件名都被加密了,在文件众多的情况下建议使用find命令查找对应的.app文件夹

image-20220801141924982

找到对应的.app文件夹后使用scp将iPhone上的可执行文件复制到mac上,使用otool工具查看,发现已经加壳。

如果出现cryptid字段值为1.则代表加壳了,0就代表为加壳这里是由于该app有两种架构,所以出现的结果有两个。

scp -P 1234 root@127.0.0.1:/private/var/containers/Bundle/Application/BD7D4648-8361-4FBE-A6F5-96271200AECF/DYZB.app/DYZB .

image-20220801142345256

Clutch

github下载 :https://github.com/KJCracks/Clutch/releases

scp -P 1234 Clutch root@127.0.0.1:/usr/bin/   #复制到手机上
chmod +x Clutch    #赋予执行权限
Clutch -i        #列举未脱壳程序
Clutch -d 1      #对顺序为1的程序进行脱壳,即斗鱼

image-20220801143901431

执行脱壳操作后将DYZB可执行文件复制到mac本地继续检测是否完成脱壳

emmm,事情永远没有那么顺利,不出意外还是出了意外,脱壳失败。查看了网上大佬的一些文章,发现Clutch并不能将所有加壳app进行脱壳

image-20220801152341204

image-20220801152429600

经过测试了几个app之后发现某团外卖可以脱壳,没能脱壳的原因暂未清楚,继续学习。。。

image-20220801163110801

image-20220801163126090

Dumpdecrypted

github下载 :https://github.com/stefanesser/dumpdecrypted/ #需要自己手动编译

github下载 :https://github.com/we11cheng/WCdumpdecrypted #已经编译完成 ,若一脱壳失败可选择次项目

make    #.c目录下执行编译
scp -P 1234 dumpdecrypted.dylib root@127.0.0.1:/var/root    #复制到手机的/var/root目录下
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可执行文件路径      #执行脱壳操作

#一般这里会报各种错,解决方案
https://www.jianshu.com/p/843c4b2d118f、https://blog.csdn.net/beizishaizi/article/details/125897113
笔者使用自己编译的文件进行脱壳失败了,应该是xcode sdk版本和ios不一致导致,使用项目二成功脱壳一家arm64架构,armv7的失败

笔者失败报错提示:

image-20220802105335495

脱壳成功提示,当前目录下会生成一个decrypted文件,就是脱完壳的可执行文件,只成功脱了arm64架构的壳,至于armv7也可能是编译的脱壳工具的问题,后续有待考究。

image-20220802105504988

image-20220802105833475

frida-ios-dump

github下载 :https://github.com/AloneMonkey/frida-ios-dump

mac虚拟机环境问题装了一下午的frida都失败了,最后安装anaconda新建了虚拟环境才成功安装(anaconda真香,谁用谁知道)

pip install -r requirements.txt   #安装依赖库
iproxy 2222 22        #端口转发
frida-ps -U           #列出手机的进程和对应的app
sudo python dump.py 斗鱼    #运行app执行脱壳操作,一定要使用root权限进行操作,否则会卡住不动

脱壳成功会生成新的ipa应用文件,使用otool命令查看显示已经脱壳,目前主流方式也是利用frida-ios-dump进行脱壳

image-20220802181957789

image-20220802182450723

六、反编译

class-dump

github下载:https://github.com/AloneMonkey/MonkeyDev/blob/master/bin/class-dump

class-dump,顾名思义,就是用来dump目标对象 的class信息的工具。它利用Objective-C语言的runtime 特性,将存储在Mach-O文件中的头文件信息提取出 来,并生成对应的.h文件。

使用命令:

-H 反编译的app

-o 反编译得到的.h文件存放目录

/Users/douyu/Downloads/class-dump  -H /Users/douyu/Desktop/DYZB  -o /Users/douyu/Desktop/douyu   

image-20220729180820013

image-20220729180933376

只能看到一些函数声明,看不到函数内容,函数具体实现代码存在.m文件中。很久之前能反编译出.m,后因激起群愤,就只能反编译出.h。

加壳的可执行文件dump不出.h头文件,但是可以使用IDA、Ghidra等工具反汇编查看伪c代码分析。

七、反汇编

IDA

因某些不可抗因素后续补充

Ghidra

github下载:https://github.com/NationalSecurityAgency/ghidra/releases

打开Ghidra加载可执行文件,选择第三个,架构随便选一个

image-20220803110252599

image-20220803110315772

image-20220803110349821

等待软件加载,加载结束后便会出现相应的汇编代码和伪c代码,剩下的就是根据需要分析伪c代码了。

image-20220803110059198

八、IOS HOOK

MonkeyDev

安装和导入项目网上都有教程,不做演示(遇见的坑太多了)

因为环境和虚拟机太卡的缘故没能顺利进行hook,后续补充

Frida

后续补充

关于hook的部分后续会通过靶场的形式来演示。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/31123.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

免费下载word简历模板的网站

我这里分享了6个免费简历网站,分享给各位。 1.OfficePlus 微软官方出品的 office 免费模板网站https://www.officeplus.cn/ 2.简历设计网 2000Word模板免费下载,每个用于每天可下载10篇免费模板。https://www.jianlisheji.com/ 3.办公资源…

mysql 一对多查询 合并为一行数据

用户包含多个角色 执行: SELECT ur.user_id,u.name user_name,u.mail,ur.role_id,r.name role_name FROM tb_user_role ur LEFT JOIN tb_user u ON u.idur.user_id LEFT JOIN tb_role r ON r.idur.role_id WHERE u.is_delete0 ORDER BY …

华为大数据HCIA题目1

1. HDFS 不适用于以下哪些场景?[多选题] A.流式数据访问 B.大量小文件存储 C.大文件存储与访问 D.随机写入 (BD) 2. ZKFC 进程部署在 hdfs 中的以下那个节点上?[多选题] A.active namenode B.standby namenode C.datanod…

重塑运维系统,跨越烟囱式建设的陷阱

企业运维系统建设经过多年演变,从以商业软件为主,到开源软件的百花齐放,极大的降低了成本,但是在建设过程中,却非常容易落入到烟囱式建设的陷阱,因此如何跨越它,成为了众多企业面临的难题。 今…

Deepin Linux系统怎安装打印机? 兄弟1618w打印机驱动安装图文教程

Deepin系统作为国产的一款电脑操作系统,拥有极为非常美观的UI界面。很多不熟悉该操作系统的朋友都不知道该怎么安装打印机驱动,今天我们就以兄弟1618w打印机为例,分享驱动下载,安装,调试的过程。 电脑环境和打印机型号…

Design Compiler工具学习笔记(5)

目录 引言 知识储备 代码风格 DFT 实际操作 引言 本篇继续学习 DC的基本使用。本篇主要学习 DC 工作机理和工作过程 以及简单介绍 DFT。 前文链接: Design Compiler工具学习笔记(1) Design Compiler工具学习笔记(2&#…

动态规划算法学习四:最大上升子序列问题(LIS:Longest Increasing Subsequence)

文章目录前言一、问题描述二、DP步骤1、最优子结构a、限界上升子序列b、最优子结构性质2、状态表示和递推方程3、计算最优值4、算法实现三、优化:非DP /二分法1、新问题2、算法实现前言 一、问题描述 二、DP步骤 1、最优子结构 给定序列𝑆[&#x1d4…

“300万”只是新起点,比亚迪将开启下一个 “黄金周期”

比亚迪再次创造全球新能源汽车市场新标杆。 11月16日,比亚迪第300万辆新能源汽车正式下线。成为首个达成这一里程碑的中国品牌。 正如比亚迪股份有限公司董事长兼总裁王传福说,从“第1辆新能源汽车到第100万辆新能源汽车”用时13年、从“100万辆到200万…

MCE | 磁珠 Protocol,如何快速捕获您心仪的蛋白~

磁珠的优势 ◎ 蛋白荷载量高 ◎ 特异性强、非特异性结合性低 ◎ 样品损失小 ◎ 操作方便 如何操作 ■ 磁珠预处理 将磁珠充分混悬,取 25-50 μL 磁珠,置于 1.5 mL EP 管中,加入 400 μL 结合/洗涤缓冲液,充分混悬,置…

Word处理控件Aspose.Words功能演示:使用 Java 将文本转换为 PDF

TXT格式的文本文档包含行形式的纯文本。TXT 文件是存储没有任何格式的纯文本的最简单和最简单的方法。我们可以在任何文本编辑器或文字处理应用程序中轻松创建、打开和编辑 TXT 文件。在某些情况下,我们可能需要将文本转换为只读格式,例如PDF。在本文中&…

flutter 怎么消除按钮事件的点击溅射背景

flutter 怎么消除按钮事件的点击溅射背景前言一、设置 ThemeData二、Theme 设置三、单独设置总结前言 在flutter 中,大部分事件组件都有一个溅射背影,但是假如某天需求让我们取消点击溅射效果,我们该怎么办呢?本篇文章将记录怎么…

画法几何及机械制图复习题及答案

机 械 制 图复习题及参考答案 一、填空题 1.比例的种类有 、 、 。 2.图样中的可见轮廓线用 绘制;图样中尺寸线和尺寸界线用 绘制。 3.正投影的基本性质包括 、 、 。 4.三视图的投影关系表现为:主、俯…

【ML特征工程】第 1 章 :机器学习管道

🔎大家好,我是Sonhhxg_柒,希望你看完之后,能对你有所帮助,不足请指正!共同学习交流🔎 📝个人主页-Sonhhxg_柒的博客_CSDN博客 📃 🎁欢迎各位→点赞…

数字逻辑·时序线路分析【常见的时序线路】

这一篇和之前那一篇讲的是时序线路 之前学过的是组合线路 寄存器 有3个D触发器控制 C1 − C3 用来寄存二进制代码。 下面的与或非门用来接收要寄存的二进制代码。 上面的与非门用来发送寄存的二进制代码。 输入信号: RD:清除信号。 WAC:直送…

spring-cloud-dubbo基本使用

创建模块 api模块使用mave quick-start 构建: ,provider模块使用 下面方式创建: 点击下一步,会看到一些基于阿里的cloud的依赖: 上面这个是基于阿里云的,下面的Spring Cloud Alibaba是开源的组件依赖: …

torch.as_tensor()、torch.Tensor() 、 torch.tensor() 、transforms.ToTensor()的区别

1)torch.as_tensor(data, dtypeNone,deviceNone)->Tensor : 为data生成tensor,保留 autograd 历史记录并尽量避免复制(dtype和devices相同,尽量浅拷贝)。 如果data已经是tensor,且dtype和device与参数相…

基于复杂环境下的雷达目标检测技术(Matlab代码实现)

🍒🍒🍒欢迎关注🌈🌈🌈 📝个人主页:我爱Matlab 👍点赞➕评论➕收藏 养成习惯(一键三连)🌻🌻🌻 🍌希…

轻量级模型设计与部署总结

前言一些关键字定义及理解 计算量 FLOPs内存访问代价 MACGPU 内存带宽Latency and Throughput英伟达 GPU 架构 CNN 架构的理解手动设计高效 CNN 架构建议 一些结论: 一些建议轻量级网络模型部署总结轻量级网络论文解析文章 参考资料 文章同步发于 github 仓库 和 知…

论文阅读11——《Mutual Boost Network for Attributed Graph Clustering》

原文地址: 论文阅读11——《Mutual Boost Network for Attributed Graph Clustering》 作者:Xiaoqiang Yan, Xiangyu Yu, Shizhe Hu, Yangdong Ye 发表时间:预印本 论文地址:https://papers.ssrn.com/sol3/papers.cfm?abstract_i…

Camtasia Studio2023喀秋莎免费实用的屏幕录像工具

CamtasiaStudio2023是一款非常不错的软件。总的来说CamtasiaStudio的功能从专业度来说,分别有:录制桌面,录制视频教程,录制音频;剪截视频,拼接合成视频,制作小视频Camtasia Studio是TechSmith的…