前言
2020年4月1日愚人节,自己开始了iOS应用逆向与安全的学习路程。之所以学习 iOS 应用逆向,一来是手头只有一台越狱的 iPhone 7,没有 Google 的 Pixel 手机;二来是iOS 有着一种神秘感,想窥探运行在 iOS上的应用运行机制,学习下相关的开发技巧。
说一下自己的情况吧,没有任何 iOS 正向开发经验,对 Objective-C 和 Swift 也不了解,只有一腔热血,不知道能坚持多久,学习的材料就是猴神的《iOS应用逆向安全》,学习的顺序就是书中章节的顺序,每学完一部分都坚持做下笔记。
第一章
第一章和第二章内容不多,第一章是概述性的内容,因为自己也从事移动安全相关的工作,所以对其中的概念还是有一定的了解,所以这部分看的比较快。
1.1 应用面临的风险主要有以下几点:
- 静态修改文件,反汇编后直接修改汇编文件,对汇编语言要求比较高,这种实际操作会比较困难,所以用的人相对较少。
- 动态篡改逻辑,hook 相关方法并将相关代码注入到指定程序,从而篡改程序功能。这些能力越狱后通过 Cydia Substrate获得。非越狱设备可以静态注入动态库,使用 fishbook 或者 Method Swizzle 达到修改或增加功能的效果。
- 协议分析,分析应用程序完整的请求协议,通过其他程序模拟,实现脱机运行,常用于刷榜、恶意注册等。
1.2 应用的防护手段
- 静态防护:数据加密、程序混淆(修改LLVM 中简代码,如控制流平坦化、插花乱序、控制流混淆)。
- 动态防护:反调试、hook 检测、签名检测、完整性校验等。
1.3 用到的工具:
主要记录下逆向工具,像效率工具和实用工具安装后便一劳永逸,很少再去改动它们,这里就不做记录了,需要时查阅书籍即可。
逆向工具:
- jtool:查看文件结构、代码签名
- capstone:多平台、多架构支持的反汇编框架
- keystone:将汇编指令转换为 Hex 机器码
- radare2:一款开放源代码的逆向工程平台
- mobiledevice:安装 app 或 ipa 包
第二章笔记
第二章主要讲了越狱设备。
2.1 越狱主要分为三种:
- 引导式越狱
- 不完美越狱
- 完美越狱
通过重启后的状态可以区分这三种越狱,重启后直接不能使用,需要引导才能开机的就是引导式越狱;重启后失去越狱状态,但是能够正常使用的是不完美越狱;重启后依然是越狱状态的是完美越狱。
2.2 电脑连接越狱手机的几种方式
- OpenSSH
- Dropbear
- USB 端口转发
其中前两种是 WiFi 连接,第三种是有线连接。
无论哪种连接,默认密码是 alpine,为了降低手机被攻击的风险,建议连接后通过passwd修改登录密码。
为了避免每次登录时输入密码,用户可以将自己的公钥文件通过ssh-copy-id命令拷贝到手机上。
ssh-copy-id $HOME/.ssh/id_rsa.pub root@192.168.2.202
2.3 iOS 系统结构
iOS 系统是基于 Darwin Kernel的,Darwin Kernel 是一种 UNIX-like 操作系统。
2.3.1 文件目录
我们主要记录几个比较重要的目录
Application:存放 Cydia 中的 App
Library: 系统资源,用户设置。 Launch Daemon 是启动 daemon 程序。/Library/MobileSubstrate存放基于 Cydia Substrate 的插件
System:系统的重要组成部分
- /System/Library/Carrier Bundles 运营商配置
- /System/Library/Frameworks 和 /System/Library/PrivateFrameworks : 公开的以及未公开的 framework
- /System/Library/CoreServices/SpringBoard.app 桌面管理器,与用户和系统直接打交道的部分
2.3.2 文件权限
与普通的 Linux 一致,不再赘述。
2.4 Cydia Substrate
是一个 iOS 上的 hook 框架,可以类比 Android 上的 Xposed。
Cydia Substrate分为以下三个模块:
- MobileHooker: hook 函数 C or OC 函数
- MobileLoader:加载第三方动态库到目标程序
- SafeMode:加载插件导致SpringBoard崩溃,就会进入 MobileSafety 会捕获这个异常并让设备进入 SafeMode,此时所有插件都不会加载。
3. 感想
这两部分看的比较快,内容其实也不多,主要还是搭建学习环境,了解基本概念,对 iOS 应用程序逆向有一个大概的认识。
