一、砸壳概述
砸壳: 软件脱壳,顾名思义,就是对软件加壳的逆操作,把软件上存在的壳去掉(解密)
砸壳原理
- 提交给AppStore发布的App,都是经过官方保护而加密,这样可以保证机器上跑的应用是苹果审核通过的,也可以管理软件授权.经过AppStore加密的应用,我们无法通过Hopper等反编译静态分析,也无法Class-dump,在逆向分析过程中需要对加密的二进制文件进行解密才可以进行静态分析,这一过程就是大家熟知的砸壳(脱壳)
应用砸壳:
- 一般应用为了防止反编译分析,会对应用进行加密(加壳).我们的砸壳就是解密的过程
- 静态砸壳
  - 静态砸壳就是在已经掌握和了解应用的加密算法和逻辑后在不运行壳应用程序的前提下将壳应用程序进行解密处理.静态脱壳的方法难度大,而且加密方发现应用被破解后就可能会改用更加高级和复杂的加密技术
- 动态砸壳
  - 动态砸壳就是从运行在进程内存空间中的可执行程序映像image入手,来将内存中的内容进行转储处理来实现脱壳处理.这种方法实现起来相对简单,且不必关心使用的是何种加密技术
二、砸壳手段
Clutch
- 拷贝工具到手机
- 列出可以砸壳的应用列表 $Clutch -i

ssh [email protected]
Holothurian6P:~ root# Clutch -i
2023-04-12 17:57:39.237 Clutch[33939:1083748] command: Prints installed applications
Installed apps:
1:   AsTools---简单的笔记工具 <rn.notes.best>
2:   钉钉 <com.laiwang.DingTalk>
3:   喜马拉雅「听书社区」电台有声小说相声评书 <com.gemd.iting>
.....
61:  蓝湖 <com.magicBoard.phone>

- 砸壳 $Clutch –d 应用ID

Clutch -d 61
2023-04-12 17:58:09.878 Clutch[33940:1083821] command: Dump specified bundleID into .ipa file
Zipping Runner.app
Could not obtain mach port, either the process is dead (codesign error?) or entitlements were not properly signed!
Failed to dump <Runner> with arch arm64
2023-04-12 17:58:11.909 Clutch[33940:1083833] failed operation :(
2023-04-12 17:58:11.909 Clutch[33940:1083833] application <NSOperationQueue: 0x100e675e0>{name = 'NSOperationQueue 0x100e675e0'}
Failed to dump <Runner>
2023-04-12 17:58:11.910 Clutch[33940:1083833] failed operation :(
2023-04-12 17:58:11.910 Clutch[33940:1083833] application <NSOperationQueue: 0x100e675e0>{name = 'NSOperationQueue 0x100e675e0'}
Zipping Flutter.framework
Zipping App.framework
FAILED: <Runner bundleID: com.magicBoard.phone>
Finished dumping com.magicBoard.phone in 5.0 seconds

砸壳结束后、文件放在

/private/var/mobile/Documents/Dumped/

如果砸壳中途退出、那么将会出现在缓存中

/private/var/tmp/clutch/

dumpdecrypted
- 官网：GitHub - stefanesser/dumpdecrypted: Dumps decrypted mach-o files from encrypted iPhone applications from memory to disk. This tool is necessary for security researchers to be able to look under the hood of encryption. 直接Git Clone
- 通过Make 编译生成动态库远程拷贝到手机
- 通过DYLD_INSERT_LIBRARIES 环境变量插入动态库执行,载入某个进程
- DYLD_INSERT_LIBRARIES=库路径(库的可执行文件) MachO路径
frida-iOS-dump (利用fride加载脚本砸壳)
- 安装frida. Mac和iPhone都需要安装
- 下载frida- iOS-dump脚本工具
- 执行的是dump.py参数是应用的名称/BundleID
lldb 动态砸壳
- 该种方式采用运行中读取进程的解密代码段信息、拷贝出来、再替换原包中的指定偏移量内容,手动将crypted字段改为0、达到砸壳目的.

总结:

使用过的砸壳方式有四种,根据防护手段不同、所以有些砸壳方式并不是万能的.

dumpdecripted
Clutch
frida- iOS-dump
lldb动态砸壳

19、iOS砸壳概述

二、砸壳手段

总结:

猜你喜欢