写点什么

《iOS 应用逆向与安全》

用户头像
Thrash
关注
发布于: 2021 年 04 月 07 日

最近各大“媒体”都在报道《iOS 应用逆向与安全》这本书,这是自“小黄书”出版后的又一本关于逆向安全的书。而目前很多 iOS 开发者对逆向还非常“小白”,以至于盲目地觉得逆向很难、很厉害。而这本书的出现,无疑为逆向这个世界打开了另一扇窗,我们一起看看这扇窗里究竟“藏”了什么。本文并不打算介绍书中具体细节,只是说明每一章都讲了哪些内容,点到为止。

第一章 概述

本章主要对逆向整体进行描述,分别从应用中存在的风险、如何保护应用的安全、和开发工具的使用来介绍。而我觉得本章的核心是掌握逆向的流程和作用,了解 APP 开发中需要注意的安全问题。

逆向流程: 逆向的整个流程基本是相同的,而这些流程可以总结为:

  • 获取应用的 ipa 包,解密(如果是越狱应用则不需要解密),导出头文件;

  • 通过界面查看 APP 的布局,从布局中找到对应的头文件,查看关键函数;

  • hook 相关函数,达到你的目的;

  • 静态分析加动态调试分析关键函数;

  • 模拟或篡改原有 APP 的逻辑;

  • 达到自己的目的。

**应用场景:**掌握逆向肯定非常有用,如果你想从事安全方面的工作,可以深究,否则不必投入太多的精力,毕竟正向开发中很少用到逆向知识。学习逆向知识可以总结为:

  • 借鉴第三方 APP 的实现思路,比如某个功能是如何实现的、界面使用了哪一类型的 View,数据库结构是什么样的等等;

  • 加深对正向开发的理解,比如 runtime;

  • 普及安全知识,了解逆向可以做什么后,在开发中你就会知道哪些信息会被别人获取到,比如某个 APP 根据本地的数据判断是否可以使用付费的资源,这明显使用逆向即可使用付费资源;

第二章 越狱设备

本章主要讲解越狱在逆向中的作用及越狱工具的使用。这里需要强调一点,逆向不一定需要越狱,而想要更好地掌握逆向的原理,一台越狱设备是必不可少的。目前市面上很多越狱工具,也提供了一键越狱,读者可自行搜索。

登录越狱设备:

手机越狱后,会安装一个 Cydia 的软件,它主要用来在越狱手机上安装各种工具,相当于越狱中的 “App Store” 。想要读取越狱设备中的资源文件,必须进行远程登录。搞服务器的同学都知道使用 SSH 进行远程登录,而登录越狱设备也可以使用 SSH 登录。通过 Cydia 搜索 OpenSSH 来安装即可,安装完后执行:

sudo ssh root@手机 ip 地址

复制代码

登录成功即可对越狱设备进行操作了。作者还介绍了其它登录越狱设备的方式,使用公钥匙登录,USB 登录。

文件目录:

如果想查看设备的文件系统,在 Mac 上可使用 iFunBox,手机端需要安装 Apple File Conduit 2 。安装成功后,即可通过 iFunBox 查看手机的目录结构,比如安装的 APP 沙盒目录,系统自代 APP 的沙盒目录,各种 Frameworks 等等。

越狱必备工具

  • adv-cmds: 执行 ps 命令报错,需要安装这个工具;

  • appsync: 让系统不再验证签名,以免安装应用失败;

  • iFile:在手机上查看文件目录;

  • scp:终端命令,把远程设备的文件复制到另一个设备;

  • Cydia Substrate:允许第三方开发者在越狱系统的方法中打一些补丁或扩展方法。

第三章 逆向工具详解

你可能仅仅停留在对这些工具(dumpdecrypted、Clutch、class-dump、Reveal、Cycript、Charles、Wireshark)的使用上,比如我。而作者却给我们讲解了原理,可见他的功力很深。

dumpdecrypted

AppStore 中的应用都是经过加密的,而逆向的前提需要把加密的内容解密出来。dumpdecrypted 这个工具就是专干这件事的。当然,如果你不想解密,可以直接从越狱市场上下载被解密的 APP。不过有时候越狱市场上没有你要的应用就不得不自行解密了。它的原理引用作者的原话:

dumpdecrypted 是一个开源的工具,它会注入可执行文件,动态地从内存中 dump 出解密后的内容。

Clutch

除了使用 dumpdecrypted 进行解密,Clutch 也可以做到。不过作者提到使用这个经常会出错,建议使用 dumpdecrypted。

class-dump

class-dump 的作用是从可执行文件中导出类、方法、属性信息的工具,这里需要强调一下可执行文件,被解密的 APP 应用中会有一个可执行文件(Mach-O)。可以从 xxx.app 中的 info.plist 文件找到 Executable file 它的值即是 xxx.app 的可执行文件。使用 MatchOView 可以查看 Mach-O 文件。

导出 We.app 的头文件:

class-dump -H ~/Desktop/reverse/ipa/We.app -o ~/Desktop/reverse/header/we

复制代码

Reveal

是用来查看 APP 界面的工具,查看第三方 APP 不一定非用越狱设备。

Cycript

Cycript 是一个允许开发者使用 Objective-C++ 和 JavaScript 组合语法查看及修改运行时 APP 的内存信息的工具。在逆向中主要用来验证某些猜测是否正确,查看界面信息等。比如查看当前显示的 VC,某个对象执行某个函数后的结果,动态修改某个 UI 的信息。

Charles、Wireshark

介绍了这两个抓包工具的使用。

第四章 开发储备

这一章主要介绍正向开发的一些知识,而这些知识对逆向开发很重要。

ipa 包

获取应用的 ipa 包,主要可以通过两种方式获取:

  • 从 iTunes 中获取,目前的 iTunes 中已不支持,需要下载低版本的 iTunes。 下载

  • 直接从越狱设备获取,其实直接从各种助手中无需越狱设备即可下载越狱应用,获取到 ipa 包;

应用包的构建过程:

  • compile:使用 Clang 编译源文件;

  • link:将编译生成的目标文件链接成一个可执行文件;

  • storyboard:编译项目中的 storyboard 文件;

  • plist:生成 plist 文件;

  • asset:将需要的资源文件复制到 App 目录下;

  • dsym:生成符号文件;

  • codesign:对 App 进行签名;

  • package:打包。

界面与事件传递

介绍了 iOS 中的 UI 、事件传递和事件响应。

类与方法

主要介绍了类的底层实现,OC 中的消息机制,runtime 的一些使用场景。

App 签名

正向开发中,每个同学都会经历一次苹果的证书配置。而作者在这里主要讲解了 App 签名的原理,这样为逆向重签名做好铺垫。

第五章 分析与调试

前面四章主要为后四章做一个铺垫,从接下来的章节中正式开启了逆向。本章主要从静态分析和动态调试来介绍逆向。

静态分析,指在不允许 App 的前提下对程序分析的一种方法。一般有以下几种方式:

  • 基于 ipa 和 app 包;

  • 基于文件格式;

  • 基于二进制反汇编;

反汇编

反汇编主要有两个工具:HopperIDA。而这两个工具可以查看源代码实现的汇编代码,关键还可以查看伪代码。以前一直觉得 Hopper 不好用就没用,今天下载了一个用起来发现比 IDA 用着舒服。

Hopper 只支持 Mac 和 Linux,相对于 IDA 比较弱一些。而 IDA 支持 Windows 平台。

静态库分析

有时候想看某个静态库的实现,其实也可以使用 Hopper 查看他的汇编代码。

➜  5.1 静态分析 ls

Crashlytics UserLogin

➜  5.1 静态分析 lipo -info Crashlytics

Architectures in the fat file: Crashlytics are: armv7 armv7s i386 x86_64 arm64

➜  5.1 静态分析 lipo Crashlytics -thin arm64 -output Crashlytics_arm64

➜  5.1 静态分析 mkdir Objects

➜  5.1 静态分析 cd Objects

➜  Objects ar -x ../Crashlytics_arm64

➜  Objects grep "Upload" -rn ./

Binary file .//CLSReportsController.o matches

Binary file .//CLSCrashReportingController.o matches

Binary file .//CLSNetworkClient.o matches

➜  Objects otool -l Crashlytics.o|grep bitcode

  sectname __bitcode

➜  Objects ld -r -arch arm64 -syslibroot /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS.sdk -bitcode_bundle ./*.o -o ../output

复制代码

动态调试

动态调试是在程序运行的时候执行一系列操作,比如获取某个对象的值,执行上下文等。

LLDB 动态调试:正向开发中常会使用到 LLDB 来调试程序,而在逆向中它也发挥很大作用。

用 Xcode 调试第三方应用:使用 Xcode 在非越狱设备中调试第三方应用、进行符号的还原、查看带符号的堆栈调用。不过调试的时候需要一个第三方应用。

Theos

越狱开发中除了 Thoes 外还有一个叫 iOSOpenDev 的工具,功能和 Thoes 是一样的,不同点是 iOSOpenDev 是整合到 Xcode 中使用的,而 MonkeyDev 和 iOSOpenDev 属于同一类型的工具。

MonkeyDev

MonkeyDev 是作者开发的一个工具,主要用 Xcode 进行越狱开发。具体使用可以查看 MonkeyDev 的 wiki 。

第六章 逆向进阶

这一章,看着比较吃力。很多都没接触到,这里简单的做个介绍,如果以后用到这部分内容再继续深究。

程序加载

在程序执行 Main 函数之前,都做了哪些事。

Mach-O 文件格式

对于每个 ipa 包,都会包含一个可执行文件,而这个文件就是 Mach-O 文件。

ARM 汇编

逆向如果想看懂代码,那么必须学会汇编。

hook

hook 直译为 钩子,通过 hook 可以改变程序执行逻辑。hook 最常见的有以下三种方式:

  • MethodSwizzle:

通过 runtime 交换方法的实现。

  • fishhook:

fishhook 是 facebook 开源的一个库。

A library that enables dynamically rebinding symbols in Mach-O binaries running on iOS.

  • Cydia Substrate:

动态库

特点:

  • 存在形式有 .dylib,.framework 和链接符号 .tdb;

  • 它的格式和普通二进制文件没有区别;

  • 它的好处是可以只保留一份文件和内存空间,从而能够被多个进程使用,例如系统动态库;

  • 可减小可执行文件的体积,不需要链接到目标文件。

在逆向中会经常用到动态库,比如使用 Reveal 调试第三方应用时需要把 RevealServer. framework 注入到 APP 程序中。可以通过引入头文件的方式调用 和 dlopen 动态加载的方式调用动态库。

第七章 实战演练

这章主要应用前几章学到的知识。而逆向开发可以在越狱设备和非越狱设备中开发。

越狱设备

目标是给 WhatsApp 长按消息添加一个收藏菜单,并在设置中添加已收藏的消息。分别在越狱设备、非越狱设备进行分析。

  • 下载 WhatsApp 使用 dumpdecrypted 解密;

  • 使用 class-dump 导出头文件,导出头文件时加上 -A 参数可以显示方法在文件中的实现地址;

  • 符号还原,方便后续使用 lldb 进行调试;

  • 分析某个应用时,需要从界面入手,使用 Reveal 查看界面的层级结构,定位到具体的视图控制器,从头文件找到对应的方法;

  • 根据找到的方法,使用 lldb 添加断点,验证是否会调用对应的方法,以确定是否为需要找的方法;

  • 使用 Hopper 查看伪代码,猜测具体的实现方式;

非越狱设备

目标是给 WhatsApp 添加自动回复功能。越狱设备分析有诸多繁琐的工作,比如导出头文件,使用 Reveal,使用 LLDB 调试不方便等。所以作者把这些功能都集成到了 MonkeyDev 这个工具中,通过 MonkeyDev 新建工程将自动集成 class-dump、符号还原、Reveal、Cycript、注入动态库、自动重签名等一系列重复性的工作,可以直接在非越狱设备上进行逆向分析。具体使用参考

Frida 实战应用

Frida 是一款跨平台的注入工具,通过注入 JS 与 Native 的 JS 引擎进行交互,从而执行 Native 的代码进行 hook 和动态调用。这个工具可以用于 Android 和 iOS,它可以通过一段 JS 来调试应用。

第八章 安全保护

前面讲了这么多可以调试别人的 App 如同调试自己的一样,这就需要在开发的过程中来保护我们自己的 App 免受攻击,重要的数据需要进行加密处理。而本章主要讲有哪些手段可以保护我们的 App 尽可能的不被破解。主要采用的手段有:

- 数据加密:静态字符串、本地存储及网络传输加密

不管是本地的数据还是网络中传输的数据,对敏感数据需要采用加密算法进行加密处理,而常用的加密算法有 AES,RSA。对于网络传输的数据可以使用 AES+RSA 的方式对数据进行加密,如果使用 Https 的方式需要对证书进行校验。而对于一些常量字符串有时候也需要加密处理,以防止被静态分析。这里作者提使用 libclang 方式,具体 源码

- 静态混淆:类名、方法名、属性的混淆;

使用 class-dump 导出的头文件很容易根据名字知道某个类,方法的作用,这时候需要对类名,方法名进行混淆。第一种方法:通过宏定义混淆,在 pch 文件中比如这样写 #define MyClass 89s343ss。网上有一个开源的库 ios-class-guard。第二种方法:二进制修改,修改可执行文件的 __obj_classname 和 objc_methname。

- 动态保护:反调试、注入检测、hook 检测,越狱检测、签名检测等;

虽然静态混淆后不能猜到类名方法名的作用,但是如果采用动态的方式还是能知道某些方法的参数、以及加密后的数据等。这就是要防动态调试。

  • 反调试:主要通过阻止调试去附加和检测调试器是否存在。主要有 ptrace、sysctl、syscall、ARM 等方式;

  • 反反调试:过滤掉反调试机制;

  • 反注入:检测当前有没有其它模块注入;

  • hook 检测:检测是否被恶意的 hook 掉了;

  • 完整性校验:load command、代码校验、重签名校验;

- 代码混淆:提高分析难度

未混淆的代码可以通过 Hopper 和 IDA 等汇编工具得到汇编代码,甚至可以得到对应的伪代码。为了提高分析难度,需要对代码进行混淆。混淆主要通过 LLVM。

作者:知识小集链接:https://juejin.cn/post/6844903625244819470来源:掘金著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

 

用户头像

Thrash

关注

还未添加个人签名 2021.04.06 加入

还未添加个人简介

评论

发布
暂无评论
《iOS应用逆向与安全》