https://i.cnblogs.com/Files.aspx
建设银行破解分享
问题描述一
• 在越狱手机上控制银行客户端自动获取流水,并发送到服务器。
问题描述二• 怎么控制
• 通过在越狱手机上部署动态库,来控制银行客户端自动获取流 水,并上传到服务器。
白盒与黑盒
• 从外界获取;网络截获分析;• 可执行文件与进程分析;
• 初步问题求解:黑盒失败。
白盒与病毒:病毒需要解决的问题
• 1)如何运行;独立进程、插件库。
• 2)如何获取想要的信息:(1)本地数据;(2)运行时hook。
原理一:静态机制
• 面向方面(切面)编程与插点。• 分解与hook。
原理二:动态机制
• Mach-O文件的数据主体可分为三大部分,分别是头部 (Header)、加载命令(Load commands)、和最终的数据 (Data)。mobileloader会在目标程序启动时,会根据指定的规则 检查指定目录是否存在第三方库,如果有,则会通过修改二进制 的loadCommands,来把自己注入进所有的app当中,然后加载第 三方库。
问题求解一
问题求解二
问题求解三
第一步 生成动态库
必要条件1)生成动态库的开发环境;2)待破解工程的头文件;3)动态库工程生成及开发。4)打包安装。
1、Theos 开发环境
• TheOS被设计为一个在基于Unix平台开发IOS程序的集成开发环 境,它给我们准备好了一些代码模板、预置一些基本的Makefile脚 本,这样我们开发一个tweak就会变得方便的多,
• http://www.jianshu.com/p/751444520848 • 相当于xcode。
2、Theos与工程生成及问题
• Project Name (required): hookApp
• Package Name :动态库的包命
• [iphone/tweak] MobileSubstrate Bundle filter 目标工程的identifier
• 我查找了一些资料后发现,这个错误是dpkg的锅,随着版本的升 级,打包格式发生了变化
• dpkg-deb: error: obsolete compression type 'lzma'; use xz instead • 解决方案是按以下路径找到该文件修改其内容
• /opt/theos/makefiles/package/deb.mk
• _THEOS_PLATFORM_DPKG_DEB_COMPRESSION ?= gzip
二、hello world!与白盒破解
必要条件
1)生成动态库的开发环境;2)待破解工程的头文件;(白盒)3)动态库工程与tweak文件。(处理这一步)4)打包安装。
tweak生成
• logify.pl ./xx/ViewController.h > ./Tweak.xm • Logify.pl脚本在你安装theos的时候就自带了
Logify
• 它是theos的一个模块,作用就是根据头文件自动生成tweak,生成 的tweak会在头文件的所有方法中注入NSLog来打印方法的入参和 出参,非常适合追踪方法的调用和数据传递
代码开发与logos
• Logos语法:
• http://iphonedevwiki.net/index.php/Logos
Makefile文件与打包
• THEOS_DEVICE_IP = 192.168.1.100 • ARCHS = armv7 arm64
• TARGET = iphone:latest:8.0
• include $(THEOS)/makefiles/common.mk • TWEAK_NAME = Xtest
• Xtest_FILES = Tweak.xm
• Xtest_FILES += FTWebViewController.m
部署到手机
• 1)手机越狱,系统版本;• 2)时间与地区;
openssh
• OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现。SSH协
议族可以用来进行远程控制, 或在计算机之间传送文件。• l连接到手机:ssh [email protected]
• 需要在手机上安装。• 在同一个局域网内
• 需要知道手机的地址
make package install 部署
三、黑盒破解与砸壳• 问题描述:
• 要破解第三方app,需要了解里面的功能,首要的是获取app的头 文件;
• 原理:可执行文件中的符号表。
准备工作 ps命令--进程查看工具
• ps –e
• ps aux | grep CCBMobileBank • cycript -p 1682
准备工作 Cycript
Cycript是由Cydia创始人Saurik推出的一款脚本语言,Cycript 混合 了Objective-C与javascript语法的解释器,这意味着我们能够在一个 命令中用Objective-C或者javascript,甚至两者兼用。
• 它能够挂钩正在运行的进程,能够在运行时修改应用的很多东西
Cycript初探
• cy# UIApp.keyWindow.rootViewController
• #0x16012f060.recursiveDescription().toString()• [#0x15c547780 visibleViewController]
• http://www.jianshu.com/p/7c41b03c9eb3 • Cycript脚本命令的简单使用
砸壳步骤
• iOS逆向工程(简单利用"dumpdecrypted"给ipa砸壳)• http://blog.csdn.net/app_ios/article/details/52583687
• 二、总结步骤
• 1,设备中打开需要砸壳的APP。
• 2,SSH连接到手机,找到ipa包的位置并记录下来。
• 3,Cycript附加到进程,找到App的Documents文件夹位置并记录
下来。
• 4,拷贝dumpdecrypted.dylib 到App的Documents 的目录。
• 5,执行砸壳后,并拷贝出砸壳后的文件,然后完成。
• 以上就是步骤了,其实很简单,下面进行演示砸腾讯视频的壳:
• 查看工程文档路径
• cy# [[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask][0]
• #"file:///var/mobile/Containers/Data/Application/D41C4343-63AA- 4BFF-904B-2146128611EE/Documents/"
• //破解文件部署
• Connection to 10.10.213.176 closed.
• /var/mobile/Containers/Data/Application/B01FE602-A5DD-4E0F-
• 执行破解操作
• root# DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib/var/mobile/Containers/Bundle/Application/4317E560-4555-40DB- A2DD-DA7BCFD5A208/CCBMobileBank.app/CCBMobileBank mach-o decryption dumper
• 移出破解文件
• scp [email protected]:/var/mobile/Containers/Data/Application/6E9CE 214-6E6E-4A4A-A5CF- DEAAC3F15D24/Documents/WeChat.decrypted /Users/zzf073/Desktop/
dumpdecrypted
• https://github.com/stefanesser/dumpdecrypted • makeFile编译
Class-dump
• class-dump -H WeChat.decrypted -o ./h
• Class-dump 安装和使用方法
• http://blog.csdn.net/msyqmsyq/article/details/51363659
• class-dump -H /Users/zzf073/Desktop/FqlMerchantX\ /Payload/FqlMerchantX.app -o /Users/zzf073/Desktop/FqlMerchantX/heads
• class-dump -H /Users/zzf073/Desktop/jianshe/jianshebank/Payload/CCBMobileBank. app -o /Users/zzf073/Desktop/jianshe/heads
Makefile与复杂文件的组织
四、app动态分析与静态分析• 主要是UI分析
• 函数调用分析(待研究)
• 目标:获取当前试图对应的功能模块(类)。
两种解决方案
• 1)从叶子节点回溯
• 2)从根viewcontroller往下查找。
五、UI跳转控制与simulatetouch
• 解决方案
• UIAutomation
• simulatetouch
• iOS模拟屏幕点击事件
• SimulateKeyEvent 模拟发送物理按键事件的插件 c
• 下载完成后,将其中的/usr/lib/libsimulatetouch.dylib拷贝 到$THEOS/lib/libsimulatetouch.dylib下,
• int r = [SimulateTouch simulateTouch:0 atPoint:touchPoint withType:STTouchDown];
• r = [SimulateTouch simulateTouch:r atPoint:touchPoint withType:STTouchUp];
• CCBMobileBank_LDFLAGS = -lsimulatetouch
银行破解工程结构makefile
• THEOS_DEVICE_IP = 10.10.165.152ARCHS = armv7 arm64TARGET = iphone:latest:8.0include $(THEOS)/makefiles/common.mkTWEAK_NAME = CCBMobileBankCCBMobileBank_FILES = Tweak.xm TWTextView.m CCBKeyboardManager.m CCBTraceRecordEngine.m LocalDataManager.m RecordPageModel.m CEToastView.m CEJson.m BIDObjectToNsDictionary.m
• $(THEOS_MAKE_PATH)/tweak.mkCCBMobileBank_FRAMEWOR KS = Foundation UIKit QuartzCore Foundation CoreFoundation CoreGraphics MobileCoreServices
• #after-install::# install.exec “killall -9 SpringBoard”
• CCBMobileBank_LDFLAGS = -lsimulatetouchinclude
问题描述三
• 如何合理使用手机资源
• 手机上有多个银行的app,如何让多个app复用手机资源,在不同 的时间段获取流水并上传到服务器。
部署图
进程调起与大数据传输
• 1)原始方案:后台运行进程;• 2)优化方案:openUrl:
附带工具
• Macho文件浏览器---MachOView
• http://blog.csdn.net/zhangjie1989/article/details/54614246 • github上有源代码
• iOS逆向Reveal查看任意app 的界面
• http://www.jianshu.com/p/060745d5ecc2
• 谢谢!