iOS逆向分析之静态分析(二)

最新推荐文章于 2025-02-09 09:38:48 发布
原创 最新推荐文章于 2025-02-09 09:38:48 发布 · 438 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

       在逆向过程中很多时候仅仅对数据交互的分析并不能看出业务大概实现逻辑,技术方案,这个时候我们就需要静态分析这个App,今天就浅显的讲下如何静态分析目标APP的方法论。

       首先分析目标APP我们需要获取Ipa,那么怎么获取呢,上次我逆向冲顶大会后,有小伙伴问,怎么获取Ipa,其实很简单,虽然Itunes 在新版中去掉了AppStore,但我们可以通过其他渠道下载,如PP助手同步推、91等越狱市场下载。以最近很火小佛系游戏旅かえる(旅行青蛙)为例我们直接搜索如下图。

640?wx_fmt=jpeg

        我们获取Ipa,把旅かえる旅行青蛙-1.0.1.ipa 后缀名改为zip,然后解压可以看到iTunesArtwork,iTunesMetadata,META-INF,Payload四个文件,其中iTunesMetadata里边有BundleId,bundleDisplayName,VersionString等等应用相关的信息。

640?wx_fmt=jpeg

         Payload里只有一个文件tabikaeru,这个文件也是我们重点要分析的文件,我们直接右键显示,可以看到如下内容,在这里可以看到一些三方库,界面nib文件,图片资源,数据等,其中_Codesignature里边包含了这个包的签名信息,如果我们修改了ipa内部的任一文件重新压缩改为ipa然后安装就会报签名错误

最低0.47元/天 解锁文章
iOSTips
关注
iOS安全和逆向系列教程 第7篇:iOS应用静态分析实战
一个自学不成材的程序员
03-02 1050
示例:自动识别和重命名所有UIViewController子类import idc# 从交叉引用中提取可能的类名。
Android和iOS逆向分析/安全检测/渗透测试框架
哆啦安全
06-08 1475
一、移动应用安全测试环境 、移动安全框架 三、安卓应用渗透测试(逆向工程和静态分析) 四、动态和运行时分析 五、网络分析和服务器端测试 六、Android绕过根检测和SSL固定 七、安全库 八、iOS应用渗透测试(访问iDevice上的文件系统) 九、逆向工程和静态分析 十、动态和运行时分析 十一、网络分析和服务器端测试 十iOS绕过根检测和SSL固定 十三、安全库......
ios逆向工程-静态分析
weixin_33713503的博客
11-03 221
2019独角兽企业重金招聘Python工程师标准>>> ...
iOS DevCamp幻灯片分享:逆向工程技术详解:揭开IPA文件的灰沙 -- 通过静态分析工具了解IPA实现
08-02
揭开IPA文件的灰纱——通过静态分析工具了解IPA实现 话题简介:在AppStore中经常会出现各种令人耳目一新的App,他们是如何实现那些效果的?他们又是使用哪些公共组件来完成自己的功能的呢?在本次演讲中将对如何探索那些封藏在IPA文件后面的实现进行简单的分析,将会针对其中的一些工具进行具体的演示和介绍。 讲师简介:张超,资深iOS 专家,iOS创业者。2009年在深圳第一次创业,主要从事iPhone应用的开发,完成了从技术到产品设计以及团队运营管理等全流程角色的转换,积累了丰富的iOS创业经验,熟稔App store的规则及流程,了解开发者的需求,并掌握了创业项目的全程运作能力。目前在国内移动互联网统计分析平台——友盟,担任iOS Team Leader。是创新工场和友盟的早期团队成员。
IOS性能调优系列:Analyze静态分析
weixin_34407348的博客
03-02 144
目前关于IOS性能优化的教程较少,决定写一个《IOS性能调优系列》,主要关注与内存泄漏、性能优化、流量和电量分析几个方面。 XCode已经提供了非常强大的性能调优工具,结合几个第三方工具和一些技巧,进行性能优化非常简单。 第一篇先写写最简单的,Analyze静态分析。 相信IOS开发者在App进行Build或Archive时,会产生很多编译警告,这些警告是编译时产生的,静态分析的过程也类似,...
iOS - Analyze 静态分析
rstbfveradsvc
09-06 189

 1、Analyze 使用 Xcode 自带的静态分析工具 Product -> Analyze(快捷键 command + shift + B)可以找出代码潜在错误,如内存泄露,未使用函数和变量等。 Analyze 主要分析以下四种问题: 1、逻辑错误:访问空指针或未初始化的变量等; 2、内存管理错误:如内存泄漏等,比如 ARC 下,内存管理不包括 c...
IOS逆向-静态分析
Tasfa的博客
07-29 549
定位技巧(静态分析) 从某个按钮触发逻辑,怎么从该链路找到具体实现的逻辑? 调试定位? ??? 字符串定位 函数名类名定位 通过监控UI事件的响应定位关键代码 ? 通过监控底层API的调用定位关键代码(如网络访问接口、文件读写接口等)? 通过观察数据的变化来定位关键代码和地址? 参考 https://www.codercto.com/a/89737.html ...
iOS 常用调试方法:静态分析
weixin_33688840的博客
03-04 256
级别: ★☆☆☆☆ 标签:「Xcode静态分析」「Analyze」「potential leak」 作者:Xs·H 审校: QiShare团队 在iOS项目开发过程中,常用到静态分析(Analyze)、断点(Breakpoint)和控制台(Console)进行代码调试。本篇文章介绍Xcode常用调试方法之“静态分析”。 一、简介 Xcode的静态分析功能是在程序未运行的情况下,对代码的上...
iOS逆向工程入门指南:从动态分析静态分析
最新发布
tslx1020的博客
02-09 1167
iOS 作为目前最受欢迎的移动操作系统之一,其应用生态繁荣且封闭。然而,对于开发者和安全研究人员来说,逆向工程 iOS 应用程序可以揭示其底层逻辑、API 调用以及数据处理方式。本文将介绍 iOS 逆向工程的基础知识、常用工具以及实际操作方法。一、iOS 逆向工程的背景与意义iOS 应用的逆向工程主要用于以下几个方面:安全研究通过逆向分析,研究人员可以发现应用中的漏洞或不安全的代码逻辑,从而帮助开发者修复问题。功能分析
iOS逆向之lldb调试分析CrackMe1.pdf
01-19
接下来几篇文章将介绍iOS逆向分析中动态调试分析。主要是使用lldb配合(ida或者Hopper Disassembler)对iOS app的关键算法进行动态调试外加静态分析,从而还原出算法流程及参数。感兴趣的朋友可以下载下来看看,学习...
iOS性能优化之静态分析
dibu3564的博客
10-26 196
使用静态分析器:【Static Analyzer】 检测可疑的代码并提出警告,指出可能会在运行时出现问题的代码。静态分析器【static analyzer】是一个不需要运行程序就可以从逻辑上检测代码的工具,它可以寻找会演变bug的错误。 1.1静态工作 它不是简单地浏览一遍源代码,而是在应用程序的代码通道中查找逻辑错误并反馈给你。你可以在构建并运行之前就对它...
解开IPA文件的灰沙-通过静态分析工具了解IPA实现
chengyakun11的专栏
01-13 9976
在7月27日的iOS/Android训练营大会上,友盟iOS Team Leader张超带来主题演讲“解开IPA文件的灰沙-通过静态分析工具了解IPA实现”。针对IPA资源文件以及图片处理,张超提出,分析网络数据最核心的就是抓包和解包,并且针对这一话题进行了阐释。 张超:现在一个IPAiOS生态系统中的生存状态是怎么样的?1.IPA被破解发到越狱市场。2.IPA被开发者简单加密,再被破解,
逆向工程技术详解:《解开IPA文件的灰沙 -- 通过静态分析工具了解IPA实现》 | iOS DevCamp | 7月27日 北京...
mmdev
06-29 489
友盟iOS开发负责人/iOS Team Leader张超确定演讲主题:揭开IPA文件的灰纱——通过静态分析工具了解IPA实现 话题简介:在AppStore中经常会出现各种令人耳目一新的App,他们是如何实现那些效果的?他们又是使用哪些公共组件来完成自己的功能的呢?在本次演讲中将对如何探索那些封藏在IPA文件后面的实现进行简单的分析,将会针对其中的一些工具进行具体的演示和介绍。 讲师...
iOS开发——Xcode Analyze静态分析
刘成利的博客
10-27 3587
Xcode Analyze  代码静态分析主要有以下作用:           内存泄漏(未释放的占内存的无用僵尸对象)       代码逻辑问题 (访问空指针或未初始化的变量等)      声明错误或无效数据及变量(从未使用过的变量等)      API调用错误(未包含使用的库和框架)       运行Xc
OCLint + Infer + Jenkins + SonarQube 搭建iOS代码静态分析系统
假装自己很用心的博客
02-27 6609
随着代码量的日益增加,以及团队的扩大,当我们为了快速迭代,往往为了让需求尽快上线,导致代码并不是很规范,时间长了就留下了一堆技术债,代码的质量也没有了保证。所以开始尝试一些代码质量相关建设,希望能够通过代码静态扫描的方式,帮助我们扫描出一些代码漏洞,然后尝试去修复漏洞和bug。
iOS Analyze静态分析工具的使用
iotjin的专栏
08-28 734
转自:https://www.jianshu.com/p/60d9afebfe30 一、简介 静态代码检测是白盒测试中很有效的发现代码问题的一种手段,通过一些工具的辅助,我们可以在进行详细的白盒测试前发现程序中一些潜在的问题。 Xcode Analyze 是苹果的开发工具 Xcode 自带的一个静态分析工具,功能强大且使用简单,主要会对代码中的几类错误加以标识: **1. 逻辑缺陷:**访问空指针或未初始化的变量等; **2. 内存管理错误:**如内存泄漏等; 3. 无用存储逻辑:(永远不会被访问的变量
iOS开发 - 内存静态分析
博客搬家啦~ https://www.oldboard.tech
08-28 784
用到的工具:Product -> Analyze 该工具使用简单,能在代码编译的过程中进行内存分析,找出代码中潜在的内存泄露隐患。而不需要实际运行。 分析结束后会在Issue navigator得到类似Warring、Error的信息: 指出了各内存泄露点。 其中: Dead store Value stored to 'xxxx' is never r
iOS静态分析举例
weixin_30547797的博客
12-26 168
XCode-> Product -> Analyze 即可进行iOS静态代码分析静态分析能发现的问题包括以下几种类型: 1.逻辑错误:访问空指针或未初始化的变量等; 2.内存管理错误:如内存泄漏等; 3.声明错误:从未使用过的变量; 4.Api调用错误:未包含使用的库和框架。 声明错误、逻辑错误、Api调用错误基本在编译时都会有警告,Analyze的主要优势在于静态分析内存...
iOS逆向--加密算法
iOS_开发
09-29 494
????????关注后回复“进群”,拉你进程序员交流群????????作者 | iOS_大书来源 |掘金https://juejin.cn/post/7010665487809904647一、加密算法分类哈...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值