iOS逆向工程-dumpdecrypted砸壳

砸壳

从App Store上下载的ipa里面的二进制文件是经过加密的，class-dump和Hopper Disassembler都需要用到未加密的二进制文件，所以需要我们通过砸壳得到。
我们可以通过命令查看二进制文件是否加密

otool -l 二进制文件路径 | grep -B 2 crypt    

砸壳前.png

其中cmd尾部为_64的是arm64架构,另一个为armv7架构，cryptid=1表示有加密，cryptid=0表示未加密。图中是App Store上下载的加密过的的微信二进制文件。

常用的砸壳工具有dumpdecrypted、Clutch、AppCrackr。

这里我们使用dumpdecrypted砸壳。
https://github.com/stefanesser/dumpdecrypted  
通过make得到的dumpdecrypted.dylib就是我们的工具。
这里我们需要用到越狱的iOS设备，并且安装好openssh和cycript。如果没有越狱设备，可以去pp助手上下载越狱版的ipa，这种ipa里面的二进制文件是没有加密的。

1. ssh root@ip 连接到越狱设备,初始密码默认是alpine，首次连接请自行修改。
2. ps -e 查看所有进程信息
3. cycript -p 进程id 勾住进程 (砸壳过程中是为了方便查看app的沙盒路径)

ssh.png

进程id.png

勾住进程.png

成功勾住进程之后，我们可以通过oc函数获取沙盒路径

[NSHomeDirectory() stringByAppendingString:@"/Documents"]

沙盒路径.png

将bundle路径和沙盒路径复制保存
通过scp命令将dumpdecrypted.dylib复制的沙盒路径:

scp dumpdecrypted.dylib路径 root@ip:沙盒路径

cp锤子.png

cd到沙盒路径执行命令砸壳:

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib bundle路径

砸壳.png

ls查看成果物，再使用scp命令将成果物拷贝到电脑

拷贝出来.png

至此，砸壳部分告一段落，我们拿到了.decrypted的砸壳后的二进制文件

砸壳后.png