前言

學習和了解逆向工程，可以幫助我們分析競品和自己喜歡的APP的開發架構和某些功能的大體實現思路，也可以自己手動對其它APP大刀闊斧進行二次加工，滿足自己的需求。 學習iOS逆向一段時間了，這裏簡單做個總結，揭開iOS逆向的神祕面紗。

Mac遠程登錄iPhone

iOS和Mac OS X都是基於Darwin（蘋果的一個基於Unix的開源系統內核），所以iOS中同樣支持終端的命令行操作。

在逆向工程中，我們經常會通過命令行來操縱iPhone。爲了能夠讓Mac終端中的命令行能作用在iPhone上，我們得讓Mac和iPhone建立連接。連接有兩種方式：wifi連接和usb連接。

先在越獄軟件上安裝ssh插件OpenSSH ,命令行下和應用交互的插件Cycript

讓越獄手機和mac電腦在同一個局域網下(爲了能夠通過ssh服務從mac電腦訪問手機)

在mac的命令行終端 通過ssh服務登錄手機 輸入ssh root@手機ip。默認情況下的root密碼是alpine。root密碼可以自己修改。

然後在手機上運行程序，在mac終端上利用ps -A 查看手機當前運行的進程，找到進程id後便可以利用cycript進行一些列操作。例如：進入當前運行着的微信進程的cycript狀態cycript -p WeChat

採用wifi連接有時候會出現卡頓延遲的現象，所以我通常採用usb連接。

Mac上有個服務程序usbmuxd（它會開機自動啓動），可以將Mac的數據通過USB傳輸到iPhone

我使用了兩個腳本進行登錄：

python ~/iOS/tcprelay.py -t 22:10010進行端口的映射

ssh -p 10010 root@localhost usb的登錄

Cycript的使用

Cycript是Objective-C++、ES6（JavaScript）、Java等語法的混合物，可以用來探索、修改、調試正在運行的Mac\iOS APP。官網：http://www.cycript.org

比如一些簡單的使用：

// 微信進程cycript -p WeChat// 獲得沙盒路徑NSSearchPathForDirectoriesInDomains(NSDocumentDirectory,NSUserDomainMask,YES)[0]// 打印當前頁面view的層級UIApp.keyWindow.recursiveDescription().toString()

主要搭配Reveal使用，從Reveal中獲得某個界面或者view所屬的類或控制器，然後拿到該類或控制器利用cycript進行調試。比如，知道了一個view對應的類爲testView,想把該view從當前界面移除，達到不顯示的效果：

[testView removeFromSuperview];

代碼Hook分析

如果要逆向App的某個功能少不了代碼的分析。

1.通過上面的分析，找到某個view對應的類後，就需要導出該類對應的頭文件進行具體的分析了。

2.首先找到App的二進制文件（Mach-O類型），（使用iFunBox把該文件導出到Mac上）然後使用class-dump工具導出其中的所有頭文件，這些頭文件中可以看到其中的屬性和方法。class-dump -H Mach-O文件路徑 -o 頭文件存放目錄

3.如果要查看Mach-O文件完整信息，建議用MachOView。otool -l打印所有的 Load Commands，建議搭配grep進行正則過濾。otool -L 可以查看使用的庫文件。

4.頭文件分析完畢後，就可以利用theos進行越越代碼的開發了，編譯生成Tweak插件(deb格式)。

利用nic.pl指令，選擇iphone/tweak，創建一個tweak工程。

在這個tweak工程中編輯Tweak.xm文件，編寫自己的越獄代碼。

開發完成後利用make package打包和make install安裝到手機。重啓應用，你會發現對應的功能已經根據hook的代碼改變了。

原理：iOS在越獄後，會默認安裝一個名叫mobilesubstrate的動態庫，它的作用是提供一個系統級的入侵管道，所有的tweak都可以依賴它來進行開發。在目標程序啓動時根據規則把指定目錄的第三方的動態庫加載進去，第三方的動態庫也就是我們寫的破解程序，從而達到修改內存中代碼邏輯的目的。

5.有時候想看某個類中的某個方法的實現以及調用邏輯，就需要用到Hopper Disassembler工具。

theos的常用語法

%hook ,%end : hook一個類的開始和結束%log：打印方法調用詳情HBDebugLog：跟NSLog類似%new：添加一個新的方法的時候使用%orig：函數原來的代碼邏輯%ctor：在加載動態庫時調用logify.pl：可以將一個頭文件快速轉換成已經包含打印信息的xm文件如果有額外的資源文件（比如圖片），放到項目的layout文件夾中，對應着手機的根路徑/

砸殼(脫殼)

如果使用越獄手機直接從pp助手下載下來的部分應用免去了我們自己脫殼的過程。但是如果是從App Store下載下來的應用，App Store已經爲該應用進行了加密，再使用class-dump是無法導出頭文件的，這是時候就需要對APP進行脫殼操作了。

脫殼工具有兩種，Clutch 和 dumpdecrypted

Clutch :

在Mac終端登陸到iPhone後，利用Clutch脫殼

Clutch -i 列舉手機中已安裝的應用中加密的應用。

Clutch -d 應用bundleid 對加密的應用脫殼，脫殼成功後會生產新的Match-O文件。對這個新的文件進行class-dump操作即可。

有時候使用Clutch脫殼，會出現失敗的情況，比如脫殼微信的時候就會出現錯誤。這個時候就需要使用dumpdecrypted：

終端進入dumpdecrypted.dylib所在的目錄 var/root

使用環境變量 DYLD_INSERT_LIBRARIES 將 dylib 注入到需要脫殼的可執行文件（可執行文件路徑可以通過ps -A查看獲取）

執行命令 DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 可執行文件路徑 即可完成脫殼操作。

結語

瞭解以上逆向的流程後，你可以實現一些有趣的功能，比如:視頻客戶端去廣告，修改微信運動步數，防止微信消息測回，微信自動搶紅包等功能。同時，也會在自己客戶端的開發過程中更注重信息的安全保護。研究逆向，一定要善於利用各種工具，並且做好不斷失敗的準備，愈挫愈勇，終會成功。

好了，以上就是這篇文章的全部內容了，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，如果有想深入瞭解逆向技術，大家可以轉發，留言，私信回覆001，,即可獲取逆向學習視頻，謝謝大家的支持。