iOS逆向 - dumpdecrypted工具砸壳

最新推荐文章于 2024-11-13 17:00:44 发布
最新推荐文章于 2024-11-13 17:00:44 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: iOS越狱开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013705509/article/details/53184489
本文详细介绍如何使用dumpdecrypted工具破解App Store中下载的应用程序加密壳,包括工具下载、编译、定位目标文件及砸壳过程,并解释为何需放置在Document目录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Appstore下载的App是苹果加密过的, 可执行文件套上了一层保护壳. class-dump无法作用于加密过的App。所以,要想获取头文件,首先得破解加密的可执行文件,俗称”砸壳”.

dumpdecrypted 就是砸壳工具,需要自行编译。

1、下载工具
liuchendi@lovelyddtekiMacBook-Pro dumpdecrypted$ git clone https://github.com/s
tefanesser/dumpdecrypted
Cloning into 'dumpdecrypted'...
remote: Counting objects: 31, done.
remote: Total 31 (delta 0), reused 0 (delta 0), pack-reused 31
Unpacking objects: 100% (31/31), done.
Checking connectivity... done.
2、编译
liuchendi@lovelyddtekiMacBook-Pro dumpdecrypted$ cd dumpdecrypted/
liuchendi@lovelyddtekiMacBook-Pro dumpdecrypted$ make
`xcrun --sdk iphoneos --find gcc` -Os  -Wimplicit -isysroot `xcrun --sdk iphoneos --show-sdk-path` -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/Frameworks -F`xcrun --sdk iphoneos --show-sdk-path`/System/Library/PrivateFrameworks -arch armv7 -arch armv7s -arch arm64 -c -o dumpdecrypted.o dumpdecrypted.c 
2015-12-23 15:44:16.429 xcodebuild[9345:206961] [MT] DVTPlugInManager: Required plug-in compatibility UUID F41BD31E-2683-44B8-AE7F-5F09E919790E for KSImageNamed.ideplugin (com.ksuther.KSImageNamed) not present
2015-12-23 15:44:16.490 xcodebuild[9345:206961] [MT] PluginLoading: Required plug-in compatibility UUID F41BD31E-2683-44B8-AE7F-5F09E919790E for plug-in at path '~/Library/Application Support/Developer/Shared/Xcode/Plug-ins/CodePilot3.xcplugin' not present in DVTPlugInCompatibilityUUIDs
2015-12-23 15:44:16.490 xcodebuild[9345:206961] [MT] PluginLoading: Required plug-in compatibility UUID F41BD31E-2683-44B8-AE7F-5F09E919790E for plug-in at path '~/Library/Application Support/Developer/Shared/Xcode/Plug-ins/ClangFormat.xcplugin' not present in DVTPlugInCompatibilityUUID
..........省略大部分log

liuchendi@lovelyddtekiMacBook-Pro dumpdecrypted$ ls
Makefile            dumpdecrypted.c     dumpdecrypted.o
README              dumpdecrypted.dylib

最后生成了 dumpdecrypted.dylib 文件. 这个就是等会需要用到的砸壳文件。 以后都能重复使用了,无须重新编译。

3、定位需要砸壳的可执行文件。

appstore里面的App一般位于/var/mobile/Containers/Bundle/Application/xxx 下面

这里有一个小技巧:就是用 ps -e 命令找到所有进程,手机只开一个App,所以含有 /var/mobile 路径的就是可执行文件的路径. 这里拿肯德基的官方app做例子,可以看到 KFC 关键字,所以这个路径是正确的。

didi:~ root# ps -e | grep var
 2351 ??         0:20.04 /var/mobile/Applications/F2842AA9-F082-4EA1-8FAD-97BBAAA84D8F/KFC_BRAND.app/KFC_BRAND
 2360 ttys000    0:00.01 grep var
4、找到Doucument目录位置

进入目录下面,使用上一节介绍的cycript工具

didi:/var/mobile/Applications/F2842AA9-F082-4EA1-8FAD-97BBAAA84D8F/KFC_BRAND.app root# cycript -p KFC_BRAND 
cy#     [[NSFileManager defaultManager] URLsForDirectory:NSDocumentDirectory inDomains:NSUserDomainMask][0]
#"file:///var/mobile/Applications/F2842AA9-F082-4EA1-8FAD-97BBAAA84D8F/Documents/"
5、将dumpdecrypted.dylib拷贝到Document目录下面
liuchendi@lovelyddtekiMacBook-Pro dumpdecrypted$ scp dumpdecrypted.dylib root@192.168.31.209:/var/mobile/Applications/F2842AA9-F
082-4EA1-8FAD-97BBAAA84D8F/Documents/dumpdecrypted.dylib
dumpdecrypted.dylib                                                                            100%  193KB 192.9KB/s   00:00
6、开始砸壳

进入Document目录下面,执行 DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib相关的命令.

liuchendi@lovelyddtekiMacBook-Pro dumpdecrypted$ ssh root@192.168.31.209
didi:~ root# cd /var/mobile/Applications/F2842AA9-F082-4EA1-8FAD-97BBAAA84D8F/Documents/
didi:/var/mobile/Applications/F2842AA9-F082-4EA1-8FAD-97BBAAA84D8F/Documents root# ls
BIStorage  Backups  IDatabaseHelper  TCSdkConfig.plist	dumpdecrypted.dylib  imageFileCache.dat  tencent_analysis_qc.db
didi:/var/mobile/Applications/F2842AA9-F082-4EA1-8FAD-97BBAAA84D8F/Documents root# DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /va
r/mobile/Applications/F2842AA9-F082-4EA1-8FAD-97BBAAA84D8F/KFC_BRAND.app/KFC_BRAND 
mach-o decryption dumper

DISCLAIMER: This tool is only meant for security research purposes, not for application crackers.

[+] detected 32bit ARM binary in memory.
[+] offset to cryptid found: @0x68a08(from 0x68000) = a08
[+] Found encrypted data at address 00004000 of length 4620288 bytes - type 1.
[+] Opening /private/var/mobile/Applications/F2842AA9-F082-4EA1-8FAD-97BBAAA84D8F/KFC_BRAND.app/KFC_BRAND for reading.
[+] Reading header
[+] Detecting header type
[+] Executable is a FAT image - searching for right architecture
[+] Correct arch is at offset 16384 in the file
[+] Opening KFC_BRAND.decrypted for writing.
[+] Copying the not encrypted start of the file
[+] Dumping the decrypted data into the file
[+] Copying the not encrypted remainder of the file
[+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset 4a08
[+] Closing original file
[+] Closing dump file

会生成app砸壳后的文件xx.decrypted. 这里就是 KFC_BRAND.decrypted

didi:/var/mobile/Applications/F2842AA9-F082-4EA1-8FAD-97BBAAA84D8F/Documents root# ls
BIStorage  IDatabaseHelper	TCSdkConfig.plist    imageFileCache.dat
Backups    KFC_BRAND.decrypted	dumpdecrypted.dylib  tencent_analysis_qc.db

然后就能用 class-dump 、 IDA 工具了.

流程还是比较简单的、跟着步骤一步步来。

为什么要放在Document目录下面?

沙盒意外的大多数文件没有写权限, dumpdecrypted.dylib 要写一个decrypted文件, 它是运行在跟商店app中的,需要与商店里面的app权限相同,所以写操作必须发生在有写权限的路径下才能成功。

获取头文件

检查一下砸壳后的文件是否能获取到头文件。

liuchendi@lovelyddtekiMacBook-Pro dumpdecrypted$ /Users/liuchendi/Desktop/class-dump -H /Users/liuchendi/Desktop/逆向/KFC_BRAND.
decrypted -o head
liuchendi@lovelyddtekiMacBook-Pro dumpdecrypted$ cd head/
liuchendi@lovelyddtekiMacBook-Pro head$ ls
ABNewPersonViewControllerDelegate-Protocol.h             MTAWXOPasteboard.h
ABPeoplePickerNavigationControllerDelegate-Protocol.h    MTAWXOReachability.h
ABPersonViewControllerDelegate-Protocol.h                MTAWXOSessionEnv.h
AMapViewController.h                                     MTAWXOStore.h
APAutoRotateImageView.h                                  MTAWXOStoreEvent.h
APHTTPRequestOperation.h                                 MTAWXOTestSpeedEvent.h
APIBase.h                                                MTAWXOUser.h
...........省略大部分
iOS小技能:(利用dumpdecrypted进行app脱
专注于计算机研发知识和资讯分享
09-14 1万+
前言先用dumpdecrypted工具先对加过密的ipa包进行,然后再用class-dump工具去导出它的头文件。的步骤:1、找到app二进制文件对应的目录; 2、找到app document对应的目录; 3、将工具dumpdecrypt.dylib拷贝到ducument目录下; 4、;接下来要正式的dump可执行文件。正文用ssh进入连上的iPhone(确保iPhone
iOS逆向与安全 - 1. dumpdecrypted
NULLGIRL
03-02 4243
开始 App Store上的应用都是加密的。 获取可执行文件 下载了的app(这里以TIM为例) 通过iTools 保存在电脑本地得到TIM.ipa文件 通过解压得到TIM文件夹 进入Payload文件夹 右键点击文件显示包内容 找到可执行文件TIM 之后打开终端查看该可执行文件是否已经被加了密 命令行 otool -l 可执行文件 | grep cryptid 结果如图:...
DumpDecrypter插件_1.2-9.4.deb
03-28
DumpDecrypter插件_1.2-9.4.deb
dumpdecrypted_8.dylib插件
01-17
dumpdecrypted_8.dylib插件,亲测使用iso8可用,需要的请下载
ios工具dumpdecrypted安装和使用教程
小手琴师的博客
02-02 5379
文章目录安装方法查看app的路径脱 安装方法 github下载地址:dumpdecrypted 下载好以后里面只有3个文件 d dumpdecrypted.c Makefile README 进入到这个目录下面,然后在终端执行指令 make ,会自动执行Makefile的内容 make 然后会生成2个文件: dumpdecrypted.dylib dumpdecrypted.o 然后用ifunbox链接越狱手机,把dumpdecrypted.dylib文件复制到var/root文件夹下 然后ssh登
工具dumpdecrypted使用(动态
yahibo的博客
06-26 2814
Dumped文件下载到Mac中下载dumpdecrypted: https://github.com/stefanesser/dumpdecrypted 下载后进入文件执行make获得dumpdecrypted.dylib文件(动态库) 1、上传文件到越狱手机 scp dumpdecrypted.dylib root@192.168.1.168:/var/root/ 2、在越狱手机上找到应用路径...
iOS逆向工程使用dumpdecrypted工具给App脱
01-20
”在iOS逆向工程中是经常做的一件事情,,因为从AppStore直接下载安装的App是加的,其实就是经过加密的,这个“”的过程就是一个解密的过程。未的App是无法在Class-dump、Hopper等工具中使用的。...
Android ios 逆向教程,iOS逆向的三种方法--frida、clutch、dumpdecrypted
weixin_30236323的博客
05-28 1257
很久没有发文章了,最近沉迷逆向无法自拔,开始写点东西做个小总结吧,后续慢慢更新吧,全当记录,共同学习。方法一、fridafrida是一个利器,除了还有很多作用,不仅在iOS上用处很大,在Android上更加厉害,想进一步了解的可以自行搜索研究。步骤1、终端执行命令安装fridasudo pip install frida 【这里是Python API binding】sudo pip ...
IPA的工具-dumpdecrypted源代码及二进制
12-24
dumpdecrypted_5.dylib dumpdecrypted_6.dylib dumpdecrypted_7_0.dylib dumpdecrypted_8_2.dylib Usage: iPod:~ root# DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Applications/xxxxxxxx-xxxx-xxxx-...
iOS逆向工程-dumpdecrypted
u013712343的博客
06-06 1092
iOS逆向工程-dumpdecrypted
iOS安全】iOS | 安装Filza | Flexdecrypt | Dumpdecrypted | FoulDecrypt | Frida-ios-dump
热门推荐
Juruo@Security
08-04 1万+
iOS安全】iOS | 安装Filza | Flexdecrypt | Dumpdecrypted | FoulDecrypt | Frida-ios-dump
万能dumpdecrypted
weixin_43357513的博客
12-30 529
相比frida和clutch,dumpdecrypted应该是较为万能的一种方式
ios-dumpdecrypted
最新发布
2403_87731058的博客
11-13 452
这样一般是由于 dumpdecrypted.dylib 没有进行签名导致的,我们需要对它进行签名。查 otool -l 二进制文件 | grep crypt 结果为 0 成功脱成功输出目录为命令执行当前目录 生成 目标二进制文件.decrypted。删除后缀名.decrypted 命令 chmod -R 777 二进制文件。复制到iPhone /var/mobile/ 目录下。我直接使用了 Terminal 手机命令工具。可以使用ssh连接到手机。
IOS逆向dumpdecrypted
HWHXY的博客
02-18 1527
前面简单尝试了下frida-trace,发现可以追踪对应pid动态运行时的各种函数,但是对于一个完整APP应用,我们如何得到关键的运行函数,这里就需要对IPA进行一个逆向拆解,找代码逻辑,然后结合frida动态去看了。
iOS技术(二):深入探讨dumpdecrypted工具的高级使用方法
08-25 1894
应用程序脱是指从iOS应用程序中提取其未加密的二进制可执行文件,通常是Mach-O格式。这可以帮助我们深入研究应用程序的底层代码、算法、逻辑以及数据结构。这在逆向工程、性能优化、安全性分析等方面都有着重要的应用。在上一篇内容中我们已经介绍了Clutch的脱技术,本文将探讨一种高级技术——使用dumpdecrypted工具来脱(Dump)iOS应用程序,进一步深入了解其内部机制。
麦当劳app之sign逆向分析
weixin_57775169的博客
09-14 1671
摘要:本文分析了麦当劳APP请求参数sign的逆向过程。通过抓包发现32位sign参数疑似MD5加密,使用frida-trace工具跟踪CC_MD5函数验证其为标准MD5算法。加密参数包含时间戳、token、版本号等固定和动态字段,拼接后经MD5加密生成sign。文章提供了JS和Python两种实现方案,包含完整的请求头参数和加密逻辑,最终成功获取API响应数据。该研究仅用于逆向技术学习,展示了移动应用常见加密参数的逆向分析方法。
iOS dumpdecrypted(解密AppStore下载的应用程序)
骑着蜗牛找马儿
03-06 2650
这篇文章的目标为: 得到解密的二进制文件
iOS 越狱-工具的使用
OSminCao的博客
11-27 1万+
1.越狱概述 1.1 通过iOS系统安全启动链漏洞,从而禁止掉信任链中负责验证的组件。拿到iOS系统最大权限ROOT权限. 1.2 当启动一台iOS设备时,系统首先会从只读的ROM中读取初始化指令,也就是系统的引导程序(事实上所有的操作系统启动时都要经过这一步,只是过程略有不同)。这个引导ROM包含苹果官方权威认证的公钥,他会验证底层启动加载器(LLB)的签名,一旦通过验证后就启动系统。LLB会所一些基础工作,然后验证第二级引导程序iBoot。iBoot启动后,设备就可以进入恢复模式或启动内核。在iB
iOS逆向 dumpdecrypted
xhzth70911的博客
06-20 1032
1.把app用iTools倒到电脑桌面,生成api的包,用归档实用工具打开 2.然后打开显示包内容,找到可执行文件,用Go2shell打开,在终端输入otool -lWeChat| grep crypt,查看文件加密还是不加密,cryptid 1为加密,cryptid 0为不加密 3.在终端输入: lipo -info WeChat, 结果Architectures in the fat fil...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值