下载的非越狱应用都是经过加密的，加密后可以保证一定的安全性，但是对于逆向开发的人来说，加密应用无法进行静态分析，也无法导出类信息等。加密对应着解密，也就是我们常说的应用砸壳。
应用砸壳分为两种：静态砸壳和动态砸壳。

• 静态砸壳：只有了解了应用的加密算法和逻辑才可以在不运行应用的前提下进行解密操作，这种方式操作难度大。
• 动态砸壳：运行应用程序，从内存中读取可执行文件对应的区域，这种方法简单且不需要了解应用的加密方式。

一、iOS 应用运行原理

加密应用 --> 系统内核对加密应用进行解密 --> dyld 加载解密后的 Mach-O 文件 --> 内存中某个区域存在解密后的可执行文件数据

应用运行原理.png

二、砸壳方式

这里只讨论动态砸壳，原理都是从内存中读取解密后的数据,动态砸壳有以下四种砸壳工具：

• Clutch
• dumpdecrypted
• frida-ios-dump

1、利用 Clutch 砸壳

• 首先下载 Clutch 发布版本
  Clutch.png
• 将 Clutch 文件复制到越狱手机 /usr/bin/ 文件夹下

wifi 
scp Clutch root@<your.device.ip>:/usr/bin/Clutch
usb
iproxy 2222 22
scp -P 2222 Clutch root@localhost:/usr/bin/Clutch

• 设置手机中的 Clutch 具有可执行权限
  添加可执行权限.png
• 在越狱手机上运行要砸壳的应用，然后使用 Clutch -i 命令查看可砸壳的应用列表
  可砸壳应用列表.png
• 使用 Clutch -d BundleId 或 Clutch -d 序号 命令进行砸壳
  砸壳.png
• 将砸壳后的应用保存到电脑上，手机上需要安装 Apple File Conduit，Mac 上需要安装 ** iFunBox**
  拷贝到电脑.png

2、利用 dumpdecrypted 砸壳

• 下载 dumpdecrypted,使用 make 命令生成 dylib 动态库
  image.png
• 将 dumpdecrypted.dylib 复制到手机 ~/ 目录下

scp -P 2222 dumpdecrypted.dylib root@localhost:~/dumpdecrypted.dylib

• 连接手机打开APP,查看 APP 路径
  查看 APP 路径.png
• 进入手机 ~/ 目录,对砸壳应用动态注入 dumpdecrypted.dylib，命令如下：

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib 应用路径

动态注入.png

3、利用 frida-ios-dump 砸壳

• 安装 python(MAC自带) 和 pip

sudo easy_install pip

• 安装 frida

sudo pip install frida-tools

• 手机安装 ** Frida**
  • 打开 Cydia 添加软件源 https://build.frida.re
  • 搜索安装Firda​
• 连接手机查看当前进程，在 Mac 中输入frida-ps -U 可以查看手机当前的进程
  当前进程.png
• 下载 frida-ios-dump ,修改 dump.py 文件中用户名密码端口号
  修改dump.png
• 执行 ./dump.py DisplayName 进行砸壳
  砸壳.png

三、砸壳脚本

个人比较倾向使用 frida-ios-dump 砸壳，所以这里介绍的砸壳脚本就以 frida-ios-dump 为基础。

• 首先建立一个存放脚本的文件夹，然后创建 shell 脚本 dump.sh,下面是本人的脚本内容：

/Users/sun/SunShell/frida-ios-dump/dump.py $1
// 前面路径为 dump.py 绝对路径

• 配置脚本可以全局使用，打开 ~/.bash_profile 配置全局搜索路径

export SUNSHELL=~/SunShell  #自定义脚本文件夹
export PATH=$PATH:$SUNSHELL

• 配置好后就可以在任意文件夹下使用 dump.sh DisplayName 命令进行砸壳

四、导出类信息

砸壳完了以后我们就可以导出应用中的类信息了。

• 下载 class-dump
• 使用 class-dump 命令导出头信息

Usage: class-dump [options] <mach-o-file>

  where options are:
        -a             show instance variable offsets
        -A             show implementation addresses
        --arch <arch>  choose a specific architecture from a universal binary (ppc, ppc64, i386, x86_64)
        -C <regex>     only display classes matching regular expression
        -f <str>       find string in method name
        -H             generate header files in current directory, or directory specified with -o
        -I             sort classes, categories, and protocols by inheritance (overrides -s)
        -o <dir>       output directory used for -H
        -r             recursively expand frameworks and fixed VM shared libraries
        -s             sort classes and categories by name
        -S             sort methods by name
        -t             suppress header in output, for testing
        --list-arches  list the arches in the file, then exit
        --sdk-ios      specify iOS SDK version (will look in /Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS<version>.sdk
        --sdk-mac      specify Mac OS X version (will look in /Developer/SDKs/MacOSX<version>.sdk
        --sdk-root     specify the full SDK root path (or use --sdk-ios/--sdk-mac for a shortcut)

打开命令行进入 class-dump 所在的目录下，执行 ./class-dump --arch arm64 TargetAppMach-O -H -o ./Headers 命令导出头文件到 Headers 文件夹下。
同样我也写了一个全局的导出类信息的脚本：

# 第一个参数是可执行文件名称
# 第二个参数是输出文件夹，可选
# 第三个参数是架构类型，可选，默认是arm64
outputName="./$1_Headers"
cpu_arch="arm64"

if [ $2 ]; then
    outputName=$2
fi

if [ $3 ]; then
    cpu_arch=$3
fi

/Users/sun/SunTool/class-dump --arch ${cpu_arch} $1 -H -o ${outputName}

脚本使用方式 class-dump.sh NewsLite 或 class-dump.sh NewsLite Headers 或 class-dump.sh NewsLite arm64