iOS逆向之工具使用

weixin_34234823發表於2017-11-13
iOS

上一篇已經大體給大家介紹了幾款工具,相信大家都有所瞭解了。如果不瞭解可以再去看看。哈哈。言歸正傳,接下來就是通過一個案例展示一下Hopper、ios-deploy等這些工具的結合使用;另一方面就是讓大家體驗下lldb中break等除錯語句的使用(大家可以關注我的部落格,有的文章還沒來得及移過來的flyoceanfish部落格傳送門)

這次給大家演示的是通過這些工具獲取當前應用對應的檢視控制器(接下來整個流程看著很複雜,其實這個過程只是展示工具的使用,如果真想實現這個功能有個更簡單的方法,大家有可能想到了,沒想到也沒關係,我在文章的最後邊給大家揭露)

獲取當前可見檢視對應的控制器

  • 真機連線,開始lldb遠端除錯

注意執行下列語句要保證終端已經cd到WeiXin.app目錄下

ios-deploy --debug --bundle WeiXin.app

執行完這個語句要等一會APP安裝到手機並且啟動之後,終端出現如下以(lldb)開頭了代表啟動成功,可以遠端除錯了。

2ADCF3E1-88BC-4F98-9F72-693A56F113CB.png
2ADCF3E1-88BC-4F98-9F72-693A56F113CB.png

  • 打全域性斷點

br set -n viewWillAppear:

這個時候只要進入任何介面都會停住同時終端會如下顯示(關於lldb中break等語句的使用推薦大家看這篇文章lldb使用技巧)

0653D621-991E-4DF4-B916-7952B0C343EE.png
0653D621-991E-4DF4-B916-7952B0C343EE.png

圖中我標出的1代表斷點的名稱,刪除等操作用的到

操作APP,這時候會停住,終端如下圖:

4DE7AB92-DD65-440B-A8EB-B40E0C21A634.png
4DE7AB92-DD65-440B-A8EB-B40E0C21A634.png

這個時候我們就拿到了當前檢視對應的控制器的名字了。然後輸入br dis回車,再輸入c就可以讓程式碼繼續了。

  • 獲取當前檢視名稱

(lldb) po $x0

(lldb) po [(MMUINavigationController*)0x11c1a3c00 viewControllers]

大家看有的教程是po $r0 這是命令是對應32位機器操作的;po $x0是對應64位的命令

1DB7FB69-8138-4231-BB7F-5461BCC2E14F.png
1DB7FB69-8138-4231-BB7F-5461BCC2E14F.png

上邊是通過斷點的方式獲取到了當前檢視控制器的名字,接下來給大家展示另一種方式

第二種:

(lldb) e UIApplication *$app = [UIApplication sharedApplication]
(lldb) e UIWindow *$keyWindow = $app.keyWindow

(lldb) po $keyWindow.rootViewController
<MMTabBarController: 0x138947000>

(lldb) e MMTabBarController *$tab = $keyWindow.rootViewController

(lldb) po $tab.viewControllers
<__NSArrayM 0x139775c50>(
<MMUINavigationController: 0x1380a2a00>,
<MMUINavigationController: 0x138938a00>,
<MMUINavigationController: 0x13893d600>,
<MMUINavigationController: 0x138943600>
)

(lldb)e MMUINavigationController *$navi2 = $tab.viewControllers[2]

(lldb) po $navi2.visibleViewController

(SeePeopleNearbyViewController *) $8 = 0x00000001398f55c0複製程式碼

這種方式其實就是通過lldb遠端除錯中的e語法能夠執行任何oc語句的特性與Cycript類似

第三種:

直接開啟Xcode的View Debug Hierarchy即可。??

通過記憶體地址打斷點除錯

首先要給大家普及幾個知識,接下來做起來可能就得心應手了。

模組偏移後的基地址 = ASLR偏移量+ 模組偏移前基地址

  • 模組偏移後的基地址:這個地址才是物件真正的地址,我們除錯過程中使用的地址都是此地址。

  • 模組偏移前基地址:這個其實就是Hopper解析我們應用中的所顯示的地址

  • ASLR(Address Space Layout Randomization,地址空間格局的隨機化)偏移量:這是ASLR所隨機產生的一個記憶體地址.其實就是一個安全措施,模組偏移前基地址通過任何彙編工具都很容易能夠拿到,不過要想拿到ASLR偏移量就沒那麼簡單。

ASLR偏移量

image list -o -f "WeChat"

A612F9FE-E91D-479F-A6F1-E48CD50E7E0F.png
A612F9FE-E91D-479F-A6F1-E48CD50E7E0F.png

其中0x0000000000300000就是ASLR偏移量偏移量

獲取模組偏移前基地址

將.app檔案拖到Hopper應用中,注意選擇64位的要不計算的地址不對,要與你手機的位數匹配起來。過程可能比較忙耐心等待一下

我們拿攔截訊息為例:在Hopper中搜尋函式的名稱

A97E9160-D079-4330-8E8F-14710F764DC3.png
A97E9160-D079-4330-8E8F-14710F764DC3.png

0x00000001029c2964就是我們要獲取的模組偏移前基地址

大家找一個計算器這是16進位制的加起來即可。

0x102cc2964

打斷點

br a -s 0x102cc2964

接下來各位可以找一個美女發個訊息看看啦。哈哈

5DF1BE04-2972-450B-BA6B-BF58DA855679.png
5DF1BE04-2972-450B-BA6B-BF58DA855679.png

ni

(lldb) po $x0

相關文章