@[toc]
前言
- ldid工具:ldid是mac上的命令行工具,可以用于导出的签名文件、对文件进行重签名等操作
I 、流程步骤
对于越狱设备来讲,那就很简单了,只需要使用 ldid 命令就可以了。
- 将应用程序从设备上拷贝到本地
devzkndeMacBook-Pro:Resources devzkn$ scp iphone150:/private/var/mobile/Containers/Bundle/Application/A612F542-81EF-456A-A6A0-B23046EF57BA/AlipayWallet.app/AlipayWallet /Users/devzkn/decrypted/AlipayWallet10.1.8 - 利用 ldid 将应用程序的 code sign 导出:
devzkndeMacBook-Pro:AlipayWallet10.1.8 devzkn$ ldid -e AlipayWallet >> AlipayWallet.xml
- 在 AlipayWallet.xml 文件中添加 get-task-allow 权限
<key>get-task-allow</key>
<true/>- 利用 ldid 对应用进行重签名
devzkndeMacBook-Pro:AlipayWallet10.1.8 devzkn$ ldid -s AlipayWallet.xml ./AlipayWallet
ldid.cpp(443): _assert(false); errno=0S后不需要加空格
devzkndeMacBook-Pro:AlipayWallet10.1.8 devzkn$ ldid -sAlipayWallet.xml ./AlipayWallet
devzkndeMacBook-Pro:AlipayWallet10.1.8 devzkn$ - 将应用拷回设备,
devzkndeMacBook-Pro:AlipayWallet10.1.8 devzkn$ scp ./AlipayWallet iphone150:/private/var/mobile/Containers/Bundle/Application/A612F542-81EF-456A-A6A0-B23046EF57BA/AlipayWallet.app/AlipayWallet
- 将设置可执行权限
chmod 755 AlipayWallet
完成
II、提高APP的被逆向难度,以过滤一大部分的中低级攻击者
- 减少OC函数的使用
尽量少用Objective-C代码,直接使用Objective-C代码,会将OC代码的函数名,类名等信息记录在二进制文件中,极易被通过函数类名来进行分析逆向。
解决方法就是尽量把代码写成C或者C++的代码,且使用static声明 ,
2.1 iOS敏感逻辑的保护方案:【把函数名隐藏在结构体里,以函数指针成员的形式存储】
2.2 越狱检测
- 越狱检测有很多种, 如检测cydia是否存在 :
struct stat stat_info;
BOOL jailCheck1 = 0 == stat("/Applications/Cydia.app", &stat_info);- 或者通过URLScheme来访问Cydia:
BOOL jailCheck2 = [[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@"cydia://"]];但是攻击者可能会篡改函数,所以我们尽量使用C函数来进行检测,提高篡改难度,
2.3 反调试
一般使用
ptrace(PT_DENY_ATTACH, 0, 0, 0);来反调试。
PT_DENY_ATTACH是一个苹果专门声明的常量,在内核级别去阻止调试器。 一般开发者所编写的反调试函数如下 :
typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);
#if !defined(PT_DENY_ATTACH)
#define PT_DENY_ATTACH 31
#endif // !defined(PT_DENY_ATTACH)
void disable_gdb() {
void* handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW);
ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace");
ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);
dlclose(handle);
}2.3.1 ptrace这个函数很容易修改,几种破解方式
- 运行时期,断点ptrace,直接返回 :
(lldb) br set -n ptrace
Breakpoint 2: where = libsystem_kernel.dylib`__ptrace, address = 0x00000001966af2d4
(lldb) br command add 2
Enter your debugger command(s). Type 'DONE' to end.
> thread return
> c
> DONE- 通过tweak,替换disable_gdb函数
- 在二进制文件中 ,修改 PT_DENY_ATTACH的31,改成 任意一个值,如PT_ATTACH 0.
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。