#什么是壳
- 壳是应用程序加密保护的一种方式
- appstore上的应用,苹果官方为会app进行加壳
- class-dump无法作用于加密过的app
- IDA无法对加壳的文件进行分析
#查看是否加壳
- 拿到手机里的可执行文件,itools,
- 通过ssh登录到手机 ps 找到可执行文件路径,
- 然后把可执行文件copy到电脑上
- cd 到可执行文件目录
$otool -l exec | grep crypt
#砸壳工具
- dumpdecrypted
- [下载编译]
- Clutch 用这个 ,原理是 生成一个新的进程,然后暂停进程并dump内存。
- clutch下载编译
- 该项目生成的是一个运行在移动设备上的命令行工具,内部脚本会把它的可执行文件复制出来,单独签名后放在Build/Clutch下。
- 把clutch复制到设备中
$scp -P 2222 ./clutchpath root@localhost:/usr/bin //mac上 <!-- $ssh 5s --> $chmod +x /usr/bin/Clutch
- Clutch 解密
$Clutch -i //查看设备安装的应用和bundle id $Clutch -b bundlerid //砸壳
- frida-dumpy monkeydev