iOS砸壳（dumpdecrypted） - 简书
iOS砸壳（dumpdecrypted）
1.环境准备
a.越狱设备一台，我这手上的是iPhone 5s，系统版本是8.4
b. Cycript是由创始人Saurik推出的一款脚本语言，Cycript 混合了Objective-C javascript语法的解释器，这意味着我们能够在一个命令中用Objective-C或者javascript，甚至两者兼用。它能够挂钩正在运行的进程，能够在运行时修改应用的很多东西。Cycript的安装简单，可在越狱设备上从Cydia搜索Cycript并安装即可
IMG_4783.PNG
c.越狱设备打卡Cydia搜索安装。
IMG_4782.PNG
d.打开Mac 终端 ,下载dumpdecrypted工具源码，git clone
Paste_Image.png
然后 cd 到dumpdecrypted源码所在目录，执行make命令，编译生成砸壳工具dumpdecrypted.dylib。
Paste_Image.png
2.砸壳，这里是以微信为实验对象
打开Mac终端,使用ssh链接到越狱设备,默认的密码是:alpine,这里注意要保证你的越狱设备与Mac是在同一网段内。
ssh root@设备的ip地址
（这里是一个?：ssh root@192.168.2.3）
Paste_Image.png
a.使用ps命令找出目标进程路径
登录上越狱设备后，在越狱设备上运行需要砸壳的对象，使用ps命令查看进程，懂Linux的小伙伴不用我解释了吧，不懂Google。执行ps -e命令后终端会显示越狱设备当前运行的所有进程，找到需要砸壳的应用，记录下路径和编号。本文以微信为?：搜索微信应用名的关键字WeChat,那么我是怎么知道微信应用名的呢？很简单，把越狱设备上所有应用都关掉，只留下你想要砸壳的那个应用，这样使用ps -e打印出来就会只有目标应用了。
iPhone-5:~ root# ps -e
0:03.35 /var/mobile/Containers/Bundle/Application/AE26-45EC-A28C-315FCBB15852/WeChat.app/WeChat
Paste_Image.png
b.使用Cycript找出目标应用的 Documents 目录路径
用Cycript查找应用的Documents 目录了:命令行中输入 cycript -p WeChat 然后在输入NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, YES)[0] 命令，最后就能打印出Documents 目录路径了。
Paste_Image.png
(?这个是我是手机上微信的Documents路径:/var/mobile/Containers/Data/Application/2-48C1-96A6-3C03F275DC73/Documents)拿到我们想要的路径后使用Ctrl + D退出Cycript模式
c.将步骤1中生成的dumpdecrypted.dylib拷贝到目标应用的Documents 目录下
打开新的终端,在终端中输入以下命令:
$scp ~/dumpdecrypted.dylib root@192.168.2.3:/var/mobile/Containers/Data/Application/2-48C1-96A6-3C03F275DC73/Documents
注意ip地址换成自己的手机的ip，dumpdecrypted.dylib 路径换成你自己的路径
Paste_Image.png
*d.开始使用dumpdecrypted.dylib砸壳
Mac 终端ssh 连上 越狱设备，然后在终端上输入以下命令:
$ cd /var/mobile/Containers/Data/Application/2-48C1-96A6-3C03F275DC73/Documents
$ DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/Application/AE26-45EC-A28C-315FCBB15852/WeChat.app/WeChat
Paste_Image.png
Paste_Image.png
注意上条命令格式： DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib路径 空格 目标进程路径以上命令执行完成后，在目标应用的Documents目录下生成一个WeChat.decrypted文件, 这就是砸壳后的文件。ls -l查看 Documents目录结构
Paste_Image.png
e.将目标应用的Documents目录下的WeChat.decrypted拷贝到Mac上
Mac打开新的终端，输入以下命令:
$scp root@192.168.2.3:/var/mobile/Containers/Data/Application/2-48C1-96A6-3C03F275DC73/Documents/WeChat.decrypted ~/dumpdecrypted
Paste_Image.png
将WeChat.decrypted拷贝到Mac上 ~/dumpdecrypted 文件中。至此，iOS ipa 的整个解密流程就走下来了。下一篇文章将介绍使用class-dump 将ipa头文件导出。ios（110）
dumpdecrypted 砸壳
一、dumpdecrypted源码地址
二、确认要砸壳的iOS系统版本
即iOS版本需要与SDK版本相同。注意，5.1版SDK编译出的dylib是向下兼容的，可以用于iOS5.0，6.1版SDK同理。
三、提取需要的SDK版本
下载旧版本的Xcode，然后把里面的SDK提取出来。
Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs 把Xcode这个文件夹提取出来放在桌面。
四、修改MakeFile和修改源码
SDK=`xcrun --sdk iphoneos --show-sdk-path`
SDK=~/Desktop/SDKs/iPhoneOS8.X.sdk
再将dumpdecrypted.c第76行的
if (lc-&cmd ==LC_ENCRYPTION_INFO || lc-&cmd == LC_ENCRYPTION_INFO_64)
if(lc-&cmd == LC_ENCRYPTION_INFO)
五、编译dumpdecrypted.dylib
接着直接cd到“~/Desktop/dumpdecrypted-master/”下，然后输入“make”并回车，在当前目录下生成dumpdecrypted.dylib
不想自己编译的话，我已经全部编译好了6.0，7.0，8.0
六、去掉arm64
虽说现在IDA6.9已经支持arm64，但是arm64还是很难看啊，去掉arm64之后就方便多了
1、把/var/mobile/Applications/XXXXXX/TargetApp.app/XXXTargetApp 复制到mac上
2、执行命令行
1、把dumpdecrypted.dylib放到iOS砸壳app的Document下
2、cd到iOS中dumpdecrypted.dylib的目录下
3、输入命令行，回车砸壳完毕
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Applications/XXXXXX/TargetApp.app/XXXTargetApp
[+] detected 32bit ARM binary in memory.
[+] offset to cryptid found: @0x81a78(from 0x81000) = a78
[+] Found encrypted data at address
of length 6569984 bytes - type 1.
[+] Opening /private/var/mobile/Containers/Bundle/Application/03B-E2C/TargetApp.app/TargetApp for reading.
[+] Reading header
[+] Detecting header type[+] Executable is a plain MACH-O image
[+] Opening TargetApp.decrypted for writing.
[+] Copying the not encrypted start of the file
[+] Dumping the decrypted data into the file
[+] Copying the not encrypted remainder of the file
[+] Setting the LC_ENCRYPTION_INFO-&cryptid to 0 at offset a78
[+] Closing original file[+] Closing dump file
class-dump、IDA 可以开始使用啦
文／奔跑2015蜗牛（简书作者）
原文链接：/p/6a1cf4416375
著作权归作者所有，转载请联系作者获得授权，并标注“简书作者”。
&&相关文章推荐
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：528284次
积分：6337
积分：6337
排名：第4202名
原创：405篇
转载：424篇
评论：50条
(5)(15)(6)(23)(35)(58)(41)(22)(20)(5)(5)(39)(9)(6)(249)(117)(66)(13)(42)(2)(1)(6)(19)(6)(19)
(window.slotbydup = window.slotbydup || []).push({
id: '4740887',
container: s,
size: '250,250',
display: 'inlay-fix'iOS安全—dumpdecrypted APP砸壳
作者：红黑联盟
分类 : 比特网
　　从上下载下来的应用都是加过壳的。可以查看加密标示：
　　如果要class-dump或者IDA静态库分析的话肯定是需要解密的。
　　1、下载解密代码：/stefanesser/dumpdecrypted/archive/master.zip
在命令行使用make编译：
　　编译后会生成一个dylib文件。
　　2、通过Cycript找到需要砸壳app的文档目录，(因为只有在沙盒内才有读写权限，所以必须把dylib拷贝到沙盒才能生成解密后的文件)。
　　3、上传生成的dylib文件到文档目录，注入app，然后启动app。
(上传可以使用scp或者iFunBox)。
　　其实原理就是通过DYLD_INSERT_LIBRARIES，让app加载dumpdecrypted.dylib，然后动态库在初始化函数中对app进行dump
[ 责任编辑：小石潭记 ]
比特网 15:56:11
遏制互联网恶意竞争,反不正当竞争法能否奏效？
互联网＋,让涉税服务更简单
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。iOS逆向工程-dumpdecrypted砸壳 - 简书
iOS逆向工程-dumpdecrypted砸壳
从App Store上下载的ipa里面的二进制文件是经过加密的，class-dump和Hopper Disassembler都需要用到未加密的二进制文件，所以需要我们通过砸壳得到。我们可以通过命令查看二进制文件是否加密
otool -l 二进制文件路径 | grep -B 2 crypt
砸壳前.png
其中cmd尾部为_64的是arm64架构,另一个为armv7架构，cryptid=1表示有加密，cryptid=0表示未加密。图中是App Store上下载的加密过的的微信二进制文件。
常用的砸壳工具有dumpdecrypted、Clutch、AppCrackr。
这里我们使用dumpdecrypted砸壳。通过make得到的dumpdecrypted.dylib就是我们的工具。这里我们需要用到越狱的iOS设备，并且安装好openssh和cycript。如果没有越狱设备，可以去pp助手上下载越狱版的ipa，这种ipa里面的二进制文件是没有加密的。
ssh root@ip 连接到越狱设备,初始密码默认是alpine，首次连接请自行修改。
ps -e 查看所有进程信息
cycript -p 进程id 勾住进程 (砸壳过程中是为了方便查看app的沙盒路径)
进程id.png
勾住进程.png
成功勾住进程之后，我们可以通过oc函数获取沙盒路径
[NSHomeDirectory() stringByAppendingString:@"/Documents"]
沙盒路径.png
将bundle路径和沙盒路径复制保存通过scp命令将dumpdecrypted.dylib复制的沙盒路径:
scp dumpdecrypted.dylib路径 root@ip:沙盒路径
cp锤子.png
cd到沙盒路径执行命令砸壳:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib bundle路径
ls查看成果物，再使用scp命令将成果物拷贝到电脑
拷贝出来.png
至此，砸壳部分告一段落，我们拿到了.decrypted的砸壳后的二进制文件
砸壳后.png