iOS 逆向工程（工具介紹）- 學習整理

繼續上一篇文章的內容，工具介紹篇：

---

一、class-dump

簡介：顧名思義，就是用來匯出目標物件的class資訊的工具,私有方法宣告也能匯出來。

原理：利用 Objective-C語言的 runtime 特性,將存 在Mach-O 檔案中的標頭檔案資訊提 出來,並生成對應的 .h 檔案。

使用方法：
1，下載然後將class-dump 複製到“ /usr/bin”目錄下。
2，執行sudo chmod 777 /usr/bin/class-dump”命令賦予其執行許可權。
3，class-dump執行：

4，上面一段程式碼就是匯出Mac下計算器app的標頭檔案，到桌面test資料夾，並且排序，class-dump的一些引數，大家可以自己在命令列輸入class-dump然後回車就有相關說明。

使用注意
從 AppStore 下 的 App 都是經過加密的,可執行檔案被加上了一層”殼”。
class-dump 應付不了這樣的檔案，此時使用 class-dump 看上去會“失效”。還得先用別的工具把殼砸開才行，這個後面會說到。

class-dump下載地址：http://stevenygard.com/projects/class-dump

---

二、Theos越獄開發工具包

簡介
Theos：是一個越獄開發工具包,由iOS越獄界知名人士Dustin Howett(@DHowett)開發並分享到 GitHub 上。

iOSOpenDev：是整合在 Xcode裡的越獄開發工具, 熟悉Xcode 的朋友可能會對它更感興趣。但逆向工程接觸底層知識較多,很多東西無法自動化,因此推薦使用整合度並不算高的 Theos,當你手動完成一個又一個練習時,對逆向工程的理解一定會更深。

(1) Theos的安裝：
1，設定xcode
假設安裝了3 個 Xcode,並將它們分別命名為 Xcode1.app、Xcode2.app 和 Xcode3.app, 要指定 Xcode3 為活動 Xcode,則執行如下命令 :

2， Theos下載
從 GitHub 上下 Theos, 操作如下:（在終端中執行）

export THEOS=/opt/theos
這句話是設定環境變數，上面兩句話指的就是git克隆theos到系統的/opt/theos目錄下.

小問題：git 克隆下來的theos由於缺少檔案，在後面make packget install 會提示缺少 _Prefix/NullabilityCompat.h 等檔案，需要我們去https://github.com/theos/headers 把這個標頭檔案放到/opt/theos/include目錄中就行了。（可直接克隆到目錄中去）

Objective-C

sudo git clone <span class="hljs-symbol">https:</span>/<span class="hljs-regexp">/github.com/theos</span><span class="hljs-regexp">/headers /opt</span><span class="hljs-regexp">/theos/includ</span>

1	sudo git clone <span class="hljs-symbol">https:</span>/<span class="hljs-regexp">/github.com/theos</span><span class="hljs-regexp">/headers /opt</span><span class="hljs-regexp">/theos/includ</span>

不過我這邊已經有一個封好的theos，下面會提到。

3，配置ldid
ldid 是專門用來 名 iOS 可執行檔案的工具,用以在越獄 iOS 中 代 Xcode 自帶的codesign。從 http://joedj.net/ldid 下 ldid,把它放在“ /opt/theos/bin/ ”下,然後用以下命令賦予它可執行許可權:

4，配置CydiaSubstrate
因為Theos 的一個 bug,它無法自動生成一個有效的 libsubstrate.dylib 檔案,需要手動操作。
在 Cydia 中搜尋安裝“CydiaSubstrate”,然後用 iFunBox 或 scp 等方式將 iOS 上的“/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate” 到 OSX 中,將其重新命名為 libsubstrate.dylib 後放到
“ /opt/theos/vendor/lib/libsubstrate.dylib”中, 替換掉無效的檔案即可。

5，dpkg-deb
deb 是越獄開發安裝包的標準格式,dpkg-deb 是一個用於操作 deb 檔案的工具,有了這個工具,Theos 才能正確地把工程打包成為 deb 檔案。
從 https://raw.githubusercontent.com/DHowett/dm.pl/master/dm.pl 下 dm.pl,將其重新命名為 dpkg-deb 後,放到“/opt/theos/bin/”目錄下,然後用以下命令賦予其可執行許可權:

Theos操作這些移動檔案設定許可權這些步驟很囉嗦。
鑑於這些，我自己這邊已經封裝了一個整合好的Theos，附帶一個自動下載的小指令碼TheosScript.sh,不需要手動新增ldid、libsubstrate、dpkg-deb等。
指令碼下載地址：https://github.com/DaSens/Theos-Script

● %ctor
tweak的constructor,完成初始化工作;如果不顯式定義,Theos會自動生成一個%ctor,並在其中呼叫 %init(_ungrouped)。因此,
%hook SpringBoard – (void)reboot {
NSLog(@”If rebooting doesn’t work then I’m screwed.”);
%orig;
}
%end
可以成功生效,因為 Theos 隱式定義瞭如下內容:%ctor

而

裡的 %hook無法生效,因為這裡顯式定義了%ctor,卻沒有顯式呼叫 %init,
%group(_ungrouped) 不起作用。
%ctor 一般可以用來初始化 %group,以及進行 MSHookFunction 等操作,如下:

注意,%ctor 不需要以 %end 結 。

● %c
該指 的作用等同於 objc_getClass 或 NSClassFromString,即動態獲 一個類的定義,在 %hook 或 %ctor 內使用。

(3) control檔案
control檔案 錄了deb包管理系統所需的基本資訊,會被打包進deb包裡。
iOSREProject 裡 control 檔案的內容如下:

control 檔案中可以自定義的欄位還有很多,但上面這些資訊就已經足夠了。更全面的
說明可以參閱 debian 的官方網站(http://www.debian.org/doc/debian-policy/ch-controlfields.html)

(3)iOSREProject.plist檔案
簡單來說就是裡面描述了tweak 的作用範圍，也就是需要作用的APP的bundle identifier。
也就是在建立專案的時候填寫的這個地方：

待續。。。。。。

---

下個文章繼續更新內容 —- 手動HOOK一個自己的APP，和剩餘越獄開發工具簡單介紹。

由於本書筆者還沒看完呢，所以更新會比較慢，或者有段時間不更新，再次說明，整理這些內容只是為了自己方便查閱筆記，順便分享給大家，沒有它意，希望大家支援原版書籍。

iOS逆向知識，千變萬化，無窮無盡，需要學習的太多了，國內文章知識還是比較少，逆向的書籍也是比較少，逆向開發方面的進步也需要我們國人也要努力。

參考書籍: <iOS應用逆向工程-第2版> 沙梓社 吳航 * 著
感謝作者。