非越狱下IOS hook方式
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了非越狱下IOS hook方式相关的知识,希望对你有一定的参考价值。
参考技术A 工具名称用途区别备注theos、iosOpenDev生成dylib
insert_dylib、optool、yololib向二进制文件插入dylib
install_name_tool
修改dylib引用路径
iResign、sigh resign、codesign等重签名工具修改后的二进制文件是需要重签名的
二、过程
1、生成dylib
dylib的生成 可采用theos,也可采用iosOpenDev。
theos是越狱专门开发用的工具,生成的dylib可直接作用于越狱机器上。
但theos并不是apple源生支持的工具,它在Mac端编译生成deb包,安装进IOS系统,由IOS系统dpkg安装成插件模式 并随之生成dylib。theos在Mac端需要调用IOS开发SDK,目前无法调用9.3以上的SDK,theos工具没有更新。
iosOpenDev则是apple官方支持的插件生成工具,可直接由Xcode生成。
这种dylib由两种 CaptainHookTweak、Logos Tweak.
不过这两种没什么区别:Logos Tweak的语法较为简单 同theos的一致,CaptainHookTweak较为复杂。
2、插入dylib
这三种工具 均可向二进制文件插入dylib 不过各有千秋
yololib仅能对64位的二进制文件 插入 32位插入也能成功 但是 出现如下
insert_dylib既可以对64位 也可以对32位进行插入 同时 还会供选择 是否删除掉二进制文件原有的签名 即 LC_CODE_SIGNATURE
optool 则功能更强大 可供选择 是插入哪种LC LIB。本例暂用不上。
3、修改dylib引用
插入dylib后 需要对它添加cydiaSubstrate dylib的引用。即使用install_name_tool这个工具
之前就是这个地方没有做 导致签名后的文件 一直安装出现闪退 dylib也没有调用
由于目前手头没有越狱手机 之前没有调出过cydiaSubstrate dylib 所以这个步骤暂时中断(最主要 每个越狱版本系统的cydiaSubstrate dylib都是不一样的 目前没有可越狱的系统 也就没有对应的dylib)
不过 可细想 因为越狱手机上 是自己存在这个cydiaSubstrate dylib的 所以 theos插件本身不必再导入这个dylib,直接对其添加引用即可。
然而 在非越狱手机上 就需要自己把这个cydiaSubstrate dylib放进app包里 并手头添加它的引用路径了
既然这样 那apple 源生的iosOpenDev为什么还要出开发dylib的工具呢
那是因为apple 推出iosOpenDev生成dylib 根本不是让你这样玩的 apple是让你把这个dylib添加进IOS工程里 在工程里对其添加引用 如果以后该app有少量的更新 只需要更新这个dylib即可 而不必更新整个app。这个在IOS开发中 叫做 增量更新。
在完全不使用cydia提供的hook接口的基础上 也可以使用openDev使用的hook接口
操作如下:
a:将 dylib(如需要调用cydia substrate 的 MSHOOK函数 则 还需要添加cydia substrate dylib)到app包里;
b:insert工具插入。注意这里有一个坑 就是凡是复制到dylib里的包 除了使用install_name_tool对其添加引用外 插入到Mach-O LOAD COMMANDS里的dylib还需要添加可执行路径
首先需要cd进app包里
然后/Users/danchen/desktop/diff_hook/insert_dylib@executable_path/ios_hook.dylibhook_demo hook_demo
c:之后重签名
对app包里每一个修改的添加的文件进行签名
codesign -f -s "iPhone Developer: 694708086@qq.com (T4MM3JZDL2)" hook_demo
codesign -f -s "iPhone Developer: 694708086@qq.com (T4MM3JZDL2)" ios_hook.dylib
再对整个app包添加签名权限
codesign -f -s "iPhone Developer: 694708086@qq.com (T4MM3JZDL2)" --entitlements entitlements.plist hook_demo.app
直接安装app包即可,也可以使用xcrun将其打包成ipa 安装即可
dylib里的内容
4、重签名
完成这些步骤后
首先 要对 修改过的二进制文件、dylib、cydiaSubstrate dylib进行重签名 即把iPhone Developer: 694708086@qq.com (T4MM3JZDL2) 写入进去
然后 使用xcrun将app文件 打包成ipa 使用iResign、sigh resign等工具 对ipa包重签名 再安装进系统
重签名权限文件entitlements.plist
可使用ldid -e 二进制文件查看entitlements文件内容生成
三、区别
theos与iosOpenDev
区别theosiosOpenDev备注
来源越狱开发作者appletheos来自第三方开发,iosOpenDev则是apple官方Xcode支持的
UI无Xcodetheos没有开发UI界面,iosOpenDev的开发界面是Xcode
版本支持目前theos仅支持SDK IOS9.3以下都支持两者调用SDK,theos仅支持SDK9.3以下,目前theos作者尚未更新工具
hook 语言方式Logos TweakLogos Tweak、CaptainHookTweak
insert_dylib、optool、yololib工具差别
区别insert_dyliboptoolyololib备注
支持结构64、32位都支持64、32位都支持仅支持64位
四、总结
这种方式仅能hook app自身进程里所调用的函数 无法hook系统级别的进程
由于非越狱上的沙盒机制,本地app仅能访问本app数据,无法访问别的app的数据,访问系统数据(相册、地理位置等)也需要向用户请求权限。更别说去hook系统级别的进程。
当然 存在非越狱下 绕过沙盒机制的技术: http://chuansong.me/n/2248208
比如这个人 非越狱下一个app卸载另一个app、一个app获取领一个app里的文件内容。但这种漏洞技术没有公开 仅存在于越狱团队内部。而且这种漏洞技术也没能hook系统级进程。
理论上来讲 非越狱下hook系统级别的进程 是有可能的 只不过难度相当大(换言之 如果真有这种非越狱下就能hook系统级别的漏洞和技术的话 越狱团队干嘛还费那大力气去越狱呢)
iOS逆向之利用Xcode重签名
iOS逆向之利用Xcode重签名
准备工作
- 非越狱的iPhone手机
- 用PP助手下载: 微信6.6.5(越狱应用)
步骤
- 新建工程"Xocde重签名",选择开发证书,在真机上运行
- 解压微信6.6.5(越狱应用).ipa,在微信-6.6.5(越狱应用)->Payload下,将WeChat.app改名为Xocde重签名.app
- 在Products->Xcode重签名上右击show in finder
将第2步的Xocde重签名.app拷贝过来,替换。
*以下几个步骤可以参考上一篇文章:https://www.jianshu.com/p/ad264025d7f9*
- 更改info.plist的Bundle ID
com.tencent.xin 改为新建工程中的Bundle ID: com.liefeng.resign
Frameworks重签名(每个framework都要签)
$codesign -fs "iPhone Developer: Jiarui Peng (6SUT3FNTPD)" mars.framework
- 给可执行文件执行权限: chmod +x WeChat
- Plugins文件夹里和Watch文件不能签名,直接删除
直接在Xcode中运行,就可以将微信安装到手机上了。
以上是关于非越狱下IOS hook方式的主要内容,如果未能解决你的问题,请参考以下文章