iOS安全和逆向系列教程 第7篇：iOS应用静态分析实战

iOS安全和逆向系列教程 第7篇：iOS应用静态分析实战

作者：自学不成才

在上一篇文章中，我们深入探讨了Mach-O文件格式的结构和分析方法。本篇文章将继续我们的iOS逆向工程之旅，重点介绍iOS应用的静态分析技术。静态分析是指在不运行程序的情况下，通过分析应用的二进制文件来理解其功能和行为。这是逆向工程过程中必不可少的一步，能够帮助我们发现应用的核心逻辑、安全机制和潜在漏洞。

静态分析的意义与目标

在开始之前，我们需要明确静态分析的意义和目标：

静态分析的意义

• 深入理解应用结构：了解应用的架构、组件和功能模块
• 发现安全漏洞：识别潜在的安全风险和脆弱点
• 分析保护机制：了解应用实现的安全控制和保护措施
• 指导动态分析：为后续的动态分析提供方向和重点
• 定位关键功能：找到验证、加密、网络通信等关键功能的实现

静态分析的目标

静态分析通常关注以下几个方面：

1. 识别核心类和方法：找到实现主要功能的代码
2. 分析算法和逻辑：理解关键算法的实现和业务逻辑
3. 发现隐藏API和功能：找出未在界面中公开的功能
4. 识别第三方库：了解应用使用的第三方组件和框架
5. 分析网络通信：理解API结构、数据格式和加密方式

静态分析工具链

成功的静态分析依赖于强大的工具链。以下是iOS应用静态分析中最常用的工具：

1. 反汇编工具

IDA Pro

IDA Pro是最强大的反汇编工具之一，特别适合iOS二进制文件分析：

• 优势：

  • 支持ARM和ARM64架构
  • 强大的交叉引用功能
  • 伪代码生成（F5功能）
  • 支持脚本扩展（Python和IDC）
  • 图形界面显示函数调用关系

• 基本使用：

  # 加载二进制文件
  1. 选择目标文件，设置处理器类型（ARM/ARM64）
  2. 等待分析完成
  3. 使用功能键（如F5生成伪代码）
  

• 关键快捷键：

  • F5: 生成伪代码
  • X: 查看交叉引用
  • N: 重命名符号
  • Ctrl+P: 创建函数
  • ;: 添加注释

Ghidra

Ghidra是NSA开发并开源的逆向工程工具，是IDA Pro的免费替代品：

• 优势：

  • 完全免费开源
  • 支持多种处理器架构
  • 具有类似IDA的功能
  • 强大的反编译引擎
  • 支持协作分析

• 基本使用：

  # 创建新项目并导入文件
  1. 创建或打开一个项目
  2. 导入二进制文件
  3. 分析选项通常保持默认
  4. 等待分析完成后打开CodeBrowser
  

Hopper Disassembler

Hopper是针对macOS和iOS二进制文件优化的反汇编工具：

• 优势：
  • 专为Apple平台设计
  • 用户界面友好
  • 生成C和伪代码
  • 深度集成Objective-C运行时
  • 价格比IDA Pro实惠

2. 类信息提取工具

class-dump / class-dump-z

这些工具可以从Mach-O文件中提取Objective-C类信息：

# 使用class-dump
class-dump -H /path/to/binary -o /output/directory

# 处理加密二进制（需先解密）
class-dump -H /path/to/decrypted_binary -o /output/directory

输出的头文件包含类定义、属性、方法和协议，对理解应用结构非常有价值。

SwiftDump

对于Swift应用，可以使用SwiftDump提取Swift类型信息：

# 安装SwiftDump
pip install swift-dump

# 提取Swift类型信息
swift-dump /path/to/binary

3. 二进制分析工具

otool和MachOView

这两个工具在上一篇文章中已经介绍，用于分析Mach-O文件结构。

strings命令

strings命令可以提取二进制文件中的所有可打印字符串：

# 基本用法
strings /path/to/binary

# 按最小长度过滤
strings -n 8 /path/to/binary

# 结合grep搜索特定内容
strings /path/to/binary | grep "password"

这对于发现硬编码的URL、密钥、密码和配置信息非常有用。

nm命令

nm命令显示符号表信息：

# 显示所有符号
nm -m /path/to/binary

# 仅显示外部符号
nm -g /path/to/binary

静态分析方法与步骤

下面，我们将介绍一个系统化的iOS应用静态分析流程，这些步骤将帮助您有条不紊地进行分析。

1. 准备工作

获取解密二进制

首先，我们需要获取解密后的应用二进制：

# 检查是否加密
otool -l /path/to/binary | grep -A4 LC_ENCRYPTION_INFO

# 使用frida-ios-dump解密（越狱设备）
python3 dump.py "应用名称"

创建工作目录

为了保持整洁，创建一个工作目录来存储所有分析结果：

mkdir -p AppName_Analysis/{headers,strings,symbols,resources}

2. 提取基本信息

提取头文件

使用class-dump提取Objective-C类定义：

class-dump -H /path/to/binary -o AppName_Analysis/headers

提取字符串

strings -n 8 /path/to/binary > AppName_Analysis/strings/all_strings.txt

提取符号表

nm -nm /path/to/binary > AppName_Analysis/symbols/symbols.txt

3. 初步分析

识别主要类和功能

浏览提取的头文件，重点关注以下方面：

1. 查找视图控制器（ViewController）：

   • 通常包含主要业务逻辑
   • 命名通常与功能相关，如LoginViewController

2. 查找管理器类（Manager/Service）：

   • 通常处理核心功能，如UserManager、NetworkService
   • 往往是实现关键功能的地方

3. 查找模型类（Model）：

   • 通常表示业务实体，如User、Transaction
   • 帮助理解应用的数据结构

分析关键字符串

筛选有价值的字符串信息：

# 查找URL
grep -E "https?://" AppName_Analysis/strings/all_strings.txt > AppName_Analysis/strings/urls.txt

# 查找可能的API端点
grep -E "/api/|/v[0-9]+/" AppName_Analysis/strings/all_strings.txt > AppName_Analysis/strings/api_endpoints.txt

# 查找加密相关信息
grep -E "encrypt|decrypt|password|token|secret|key" AppName_Analysis/strings/all_strings.txt > AppName_Analysis/strings/security_related.txt

分析应用依赖

查看应用使用的框架和库：

otool -L /path/to/binary > AppName_Analysis/symbols/dependencies.txt

4. 深入分析

一旦完成初步分析，我们可以进入更深入的分析阶段。

使用IDA Pro/Ghidra分析关键函数

1. 定位入口点：

   • 从UIApplicationMain或main函数开始
   • 分析AppDelegate的相关方法

2. 分析认证逻辑：

   • 查找登录/注册/验证相关的函数
   • 分析密码处理和验证算法

3. 分析网络通信：

   • 查找网络请求构建和处理的函数
   • 分析请求加密和签名逻辑

4. 分析数据存储：

   • 查找数据持久化相关函数
   • 分析数据库操作和文件读写逻辑

创建函数调用图

在IDA Pro中生成函数调用图，帮助理解函数之间的关系：

• 选中函数 → View → Graphs → Function calls

追踪敏感API使用

追踪敏感API的调用链：

• 密码学API（如CC_SHA256、CCCrypt）
• 文件操作API（如NSFileManager方法）
• 网络API（如NSURLSession、NSURLConnection）

实战案例：分析一个支付应用

让我们通过一个实战案例，演示如何对一个假设的支付应用进行静态分析。

步骤1：提取并分析头文件

# 提取头文件
class-dump -H PaymentApp.decrypted -o headers/

# 查看关键类
grep -r "ViewController" headers/
grep -r "Service\|Manager" headers/
grep -r "Payment\|Transaction" headers/

通过查看头文件，我们发现了几个关键类：

// PaymentViewController.h
@interface PaymentViewController : UIViewController
- (void)processPayment:(id)sender;
- (BOOL)validatePaymentInfo;
- (void)encryptAndSendPaymentData:(PaymentInfo *)info;
@end

// PaymentManager.h
@interface PaymentManager : NSObject
+ (instancetype)sharedInstance;
- (BOOL)processPaymentWithAmount:(double)amount cardInfo:(CardInfo *)cardInfo;
- (NSString *)generateTransactionToken;
- (BOOL)verifyServerResponse:(NSDictionary *)response;
@end

// SecurityService.h
@interface SecurityService : NSObject
+ (instancetype)sharedInstance;
- (NSString *)encryptString:(NSString *)string withKey:(NSString *)key;
- (NSString *)decryptString:(NSString *)string withKey:(NSString *)key;
- (NSString *)hmacForData:(NSData *)data;
@end

步骤2：分析关键字符串

# 提取所有字符串
strings PaymentApp.decrypted > strings.txt

# 查找API端点
grep -E "/api/" strings.txt

我们找到了几个关键端点：

/api/v2/payments/process
/api/v2/payments/verify
/api/v2/tokens/generate

步骤3：使用IDA Pro分析加密逻辑

通过IDA Pro分析SecurityService类的encryptString:withKey:方法，我们发现：

// 伪代码示例（通过IDA的F5功能生成）
NSString *__cdecl -[SecurityService encryptString:withKey:](SecurityService *self, SEL a2, NSString *string, NSString *key) {
  NSData *data;
  NSData *keyData;
  NSData *encryptedData;
  NSString *result;
  
  data = [string dataUsingEncoding:4]; // NSUTF8StringEncoding = 4
  keyData = [key dataUsingEncoding:4];
  
  // 使用AES-256加密
  encryptedData = [self AES256EncryptData:data withKey:keyData];
  
  // Base64编码结果
  result = [encryptedData base64EncodedStringWithOptions:0];
  return result;
}

步骤4：分析支付流程

通过追踪processPayment:方法的调用链，我们发现完整的支付流程：

1. 用户点击"支付"按钮，调用processPayment:
2. 验证支付信息，调用validatePaymentInfo
3. 生成交易令牌，调用[PaymentManager generateTransactionToken]
4. 加密卡信息，调用[SecurityService encryptString:withKey:]
5. 发送请求到/api/v2/payments/process
6. 验证服务器响应，调用verifyServerResponse:

步骤5：发现安全漏洞

通过分析，我们发现一些潜在的安全问题：

1. 硬编码密钥：在SecurityService类中发现硬编码的加密密钥

   static NSString *const kEncryptionKey = @"A3B58763D2F1E4C9";
   

2. 弱加密方式：使用可预测的IV（初始化向量）进行AES加密

3. 未校验证书链：网络请求代码中禁用了SSL证书验证

   [NSURLRequest setAllowsAnyHTTPSCertificate:YES forHost:host];
   

静态分析的挑战与对策

静态分析也面临着一些挑战，下面介绍这些挑战和对应的应对策略。

1. 代码混淆

许多应用使用代码混淆来增加分析难度：

• 常见混淆方式：

  • 符号重命名（将方法名替换为无意义字符）
  • 字符串加密
  • 控制流平坦化
  • 无用代码注入

• 对策：

  • 关注程序的行为而非名称
  • 使用动态分析结合静态分析
  • 自定义脚本还原混淆
  • 通过交叉引用追踪功能

2. Swift代码分析

Swift应用的分析比Objective-C更具挑战性：

• 挑战：

  • Swfit运行时信息较少
  • 类型系统复杂
  • 名称修饰（Name Mangling）

• 对策：

  • 使用Swift专用工具（如SwiftDump）
  • 综合使用静态和动态方法
  • 分析Swift与Objective-C的交互点

3. 加密二进制

App Store下载的应用通常是加密的：

• 对策：
  • 越狱设备上使用dumpdecrypted或frida-ios-dump
  • 使用企业证书重签名
  • 分析未加密的缓存应用

高级静态分析技巧

以下是一些高级技巧，可以提升静态分析的效果。

1. 自定义IDA脚本

使用IDA Python编写自动化分析脚本：

# 示例：自动识别和重命名所有UIViewController子类
import idaapi
import idautils
import idc

def rename_viewcontrollers():
    for segm in idautils.Segments():
        for func_ea in idautils.Functions(segm, idc.SegEnd(segm)):
            func_name = idc.GetFunctionName(func_ea)
            if "ViewController" in func_name and func_name.startswith("sub_"):
                # 从交叉引用中提取可能的类名
                for xref in idautils.XrefsTo(func_ea):
                    xref_name = idc.GetDisasm(xref.frm)
                    if "viewDidLoad" in xref_name:
                        class_name = xref_name.split("[")[1].split(" ")[0]
                        if class_name:
                            idc.MakeName(func_ea, class_name + "_" + func_name)
                            print(f"Renamed {func_name} to {class_name}_{func_name}")

rename_viewcontrollers()

2. 符号还原

针对缺失符号的二进制文件，可以使用以下技巧：

• 利用相似应用：使用相同框架的开源应用进行符号匹配
• 模式识别：根据函数特征（如字符串使用、API调用）识别功能
• 基于启发式的重命名：根据调用关系自动命名函数

3. 二进制差异分析

比较应用不同版本之间的差异，快速定位新功能和修复的漏洞：

# 使用BinDiff（IDA Pro插件）进行二进制差异分析
# 或使用Diaphora（开源替代品）

静态分析中的实用技巧

1. 关注关键点

以下是逆向分析中常见的关注点：

• 敏感操作的实现：如登录、支付、验证
• 数据加密和混淆：加密算法和密钥管理
• 网络通信：请求构建、响应处理、证书验证
• 数据存储：本地存储、安全存储、数据库操作
• 防护机制：越狱检测、调试检测、完整性校验

2. 注释和文档习惯

良好的文档习惯对长期分析至关重要：

• 为重要函数添加详细注释
• 记录分析思路和发现
• 创建类和方法的调用关系图
• 记录特定算法和协议的分析结果

3. 模拟实现

对关键算法进行模拟实现，验证分析结果：

// 模拟实现分析发现的加密算法
NSString *simulateEncryption(NSString *input, NSString *key) {
    // 基于静态分析的结果实现算法
    NSData *inputData = [input dataUsingEncoding:NSUTF8StringEncoding];
    NSData *keyData = [key dataUsingEncoding:NSUTF8StringEncoding];
    
    // ... 实现加密逻辑 ...
    
    return result;
}

总结

静态分析是iOS应用逆向工程中不可或缺的一环。通过这种方法，我们可以深入了解应用的内部结构、安全措施和潜在漏洞，为后续的动态分析和功能修改奠定基础。

在本文中，我们详细介绍了：

• 静态分析的工具链和方法
• 系统化的分析流程和步骤
• 真实案例分析和发现
• 常见挑战和应对策略
• 高级分析技巧和最佳实践

熟练掌握静态分析技能需要大量的实践和经验积累。建议读者从简单的应用开始，逐步挑战更复杂的目标，同时不断更新知识和工具，以应对不断发展的iOS安全机制。

在下一篇文章中，我们将深入探讨iOS应用的动态分析技术，包括运行时调试、方法跟踪和状态监视等内容，它们将与静态分析形成互补，帮助我们获得更全面的应用理解。

---

作者：自学不成才
本文为iOS逆向工程专栏的第7篇文章，版权所有，未经许可请勿转载。