应用砸壳

#什么是壳

  • 壳是应用程序加密保护的一种方式
  • appstore上的应用,苹果官方为会app进行加壳
  • class-dump无法作用于加密过的app
  • IDA无法对加壳的文件进行分析

#查看是否加壳

  1. 拿到手机里的可执行文件,itools,
    • 通过ssh登录到手机 ps 找到可执行文件路径,
    • 然后把可执行文件copy到电脑上
  2. cd 到可执行文件目录
$otool -l exec | grep crypt

#砸壳工具

  1. dumpdecrypted
    • [下载编译]
  2. Clutch 用这个 ,原理是 生成一个新的进程,然后暂停进程并dump内存。
    • clutch下载编译
    • 该项目生成的是一个运行在移动设备上的命令行工具,内部脚本会把它的可执行文件复制出来,单独签名后放在Build/Clutch下。
    • 把clutch复制到设备中
    $scp -P 2222 ./clutchpath root@localhost:/usr/bin //mac上
    <!-- $ssh 5s -->
    $chmod +x /usr/bin/Clutch
    
    • Clutch 解密
    $Clutch -i  //查看设备安装的应用和bundle id
    $Clutch -b bundlerid //砸壳
    
  3. frida-dumpy monkeydev