首页
论坛
课程
招聘
[原创]iOS5下手工解密应用软件
2012-7-1 15:19 24710

[原创]iOS5下手工解密应用软件

2012-7-1 15:19
24710
博客地址: http://blog.claudxiao.net/2012/07/decrypt_app_in_ios5/

按以往资料解密iOS5应用软件会遇到两个问题:


  • nm出来的符号里,没有start了,因此不知道在哪里下断点,即便下到常规的0x2000处,也会断不下来;
  • 找到合适的断点后,gdb只要run就出现奇怪的错误,还是断不下来。


下面以Douban.fm.ipa的解密为例,解决这两个问题。

为了保持完整性,从头开始说明步骤。注意有的指令在Mac上运行,也有的指令在iOS上运行,根据命令提示符区分。在iOS上的默认路径是/var/mobile/Applications/79A81359-AD9D-4268-91FC-93D1E77F5208/Douban.fm.app/。

1. 查看FAT信息

claud@Mac$ otool -f Douban.fm
Fat headers
fat_magic 0xcafebabe
nfat_arch 2
architecture 0
    cputype 12
    cpusubtype 6
    capabilities 0x0
    offset 4096
    size 1114560
    align 2^12 (4096)
architecture 1
    cputype 12
    cpusubtype 9
    capabilities 0x0
    offset 1122304
    size 1121696
    align 2^12 (4096)


这里的几个信息:

1) 有两个体系结构的代码,其中cputype均为12,即ARM,但cpusubtype不同,分别为6和9,对应ARMv6和ARMv7。在iOS 5.1设备上,均采用后者,即ARMv7。

2) ARMv7代码的偏移是archoff = 1122304,大小是archsize = 1121696。

2. 把ARMv7代码提取出来
claud@Mac$ lipo -thin armv7 Douban.fm -output Douban.fm.armv7


3. 查看这部分代码的加密信息
claud@Mac$ otool -l Douban.fm.armv7 | grep CRYPT -A 4
          cmd LC_ENCRYPTION_INFO
      cmdsize 20
    cryptoff  4096
    cryptsize 876544
    cryptid   1


这里有几个信息:

1) cryptid = 1,即是加密的

2) 加密代码的偏移cryptoff = 4096 (0x1000),加密代码的大小cryptsize = 876544 (0xd6000)

4. 定位入口点
claud@Mac$ otool -l Douban.fm.armv7 | grep __TEXT -A 3 -B 1 | head -12
  cmdsize 600
  segname __TEXT
   vmaddr 0x00001000
   vmsize 0x000d7000
  fileoff 0
--
  sectname __text
   segname __TEXT
      addr 0x00002774
      size 0x000aa9ec
    offset 6004
--


这里有几个信息:

1) __TEXT的加载地址vmaddr = 0x1000,加载后大小vmsize = 0xd7000

2) __text节的加载地址entry = 0x2774(即为入口点地址)

5. 安装兼容iOS 5的gdb调试器

cydia官方源的gdb目前与iOS 5的兼容性存在问题,遇到断点是断不下来并且报错,出错信息是:
../../gdb-1518/src/gdb/macosx/macosx-nat-mutils.c:772: internal-error: assertion failure in function "mach_xfer_memory": r_end >= cur_memaddr


下列源提供了完全兼容iOS 5的gdb:

cydia.radare.org

在Cydia中添加这个源,然后更新gdb至最新的版本1708即可。

6. 进入设备,用gdb解密
iOS: root# gdb -q -e ./Douban.fm
Reading symbols for shared libraries .. done
(gdb) set sharedlibrary load-rules ".*" ".*" none
(gdb) set inferior-auto-start-dyld off
(gdb) set sharedlibrary preload-libraries off
(gdb) 


这个时候有两种方法下断点,一是:
(gdb) rb doModInitFunctions
Breakpoint 2 at 0x2fe0cece
__dyld__ZN16ImageLoaderMachO18doModInitFunctionsERKN11ImageLoader11LinkContextE;
(gdb)


二是下在前面看到的入口点地址上:
(gdb) b *0x2774
Breakpoint 1 at 0x2774
(gdb)


采用第二种,开始运行:
(gdb) r
Starting program: /private/var/mobile/Applications/79A81359-AD9D-4268-91FC-93D1E77F5208/Douban.fm.app/Douban.fm

Breakpoint 1, 0x00002774 in ?? ()
(gdb)


已经断下了,可以看一下这时候入口点的代码:
(gdb) x /10i 0x2774
0x2774: 00 00 9d e5 ldr r0, [sp]
0x2778: 04 10 8d e2 add r1, sp, #4 ; 0x4
0x277c: 01 40 80 e2 add r4, r0, #1 ; 0x1
0x2780: 04 21 81 e0 add r2, r1, r4, lsl #2
0x2784: 07 d0 cd e3 bic sp, sp, #7 ; 0x7
0x2788: 02 30 a0 e1 mov r3, r2
0x278c: 04 40 93 e4 ldr r4, [r3], #4
0x2790: 00 00 54 e3 cmp r4, #0 ; 0x0
0x2794: fc ff ff 1a bne 0x278c
0x2798: 18 c0 9f e5 ldr r12, [pc, #24] ; 0x27b8
(gdb)


即已经在内存中顺利解密。

7. 将解密的数据dump下来

首先要计算dump的地址。回过头去看一下,__TEXT的加载地址vmaddr = 0x1000,加密代码的偏移cryptoff = 0x1000,因此加密代码的起始地址为两者的和,即0x2000。又因为加密代码的大小cryptsize = 0xd6000,所以加密代码的结束地址为0x2000 + 0xd6000 = 0xd8000。所以这样dump:
(gdb) dump memory Douban.fm.bin 0x2000 0xd8000
(gdb)


dump完毕以后就可以kill并quit gdb了。看一下我们dump下来的文件:
iOS: root# ls -l Douban.fm*
-rwxr-xr-x 1 mobile mobile 2244000 Jun 1 20:06 Douban.fm*
-rw-r--r-- 1 root mobile 876544 Jul 1 12:06 Douban.fm.bin


8. 拼凑解密文件
我们来计算一下Douban.fm的文件布局,从而规划出应该怎么拼凑出解密后的文件Douban.fm.dec。

第二个体系结构ARMv7代码的偏移是archoff = 1122304,大小是archsize = 1121696,加起来正好是2244000即Douban.fm的大小。其中,archoff之前的数据可以不管,照抄。

在archoff之后,有cryptoff = 0x1000的数据是不加密的,这一部分也照抄。注意在这里vmaddr已经不用了,那个值只用于动态加载。

接下来,有cryptsize = 0xd6000的代码是加密的,我们改用刚才dump下来的已解密数据。最后,还有一部分不加密的数据,大小是:archsize - cryptoff - cryptsize = 241056字节,这一部分也照抄原文件的。

最后总结来看,即将dump出来的Douban.fm.bin,覆盖掉源文件偏移为1122304+0x1000 = 1126400开始的0xd6000 = 876544个字节即可,因此命令是:
iOS: root# cp Douban.fm Douban.fm.dec
iOS: root# dd bs=1 conv=notrunc if=Douban.fm.bin of=Douban.fm.dec skip=0 seek=1126400 count=876544


这样,得到的Douban.fm.dec就是包含了解密代码的文件了。

9. 修改加密标志位
接下来需要修改ARMv7部分的cryptid位,使其为0。

为此,我们需要搜索LC_ENCRYPTION_INFO这条load command指令的地址,用它的特征串即可,即搜索十六进制的2100000014000000。

在整个Douban.fm.dec中可以找到两个,分别位于偏移6508和偏移1124716处,显然分别对应ARMv6和ARMv7两个代码,只考虑后面这个偏移,给它加上16,即在1124732处,是一个01,这就是cryptid的值,修改为00即可。

后面用常规的去掉SC_Info和重新签名即可。

博客地址: http://blog.claudxiao.net/2012/07/decrypt_app_in_ios5/

【公告】欢迎大家踊跃尝试高研班11月试题,挑战自己的极限!

收藏
点赞0
打赏
分享
最新回复 (19)
雪    币: 534
活跃值: 活跃值 (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chainbaby 活跃值 2012-7-1 19:12
2
0
支持一个,还没进军ios哎,膜拜下
雪    币: 1644
活跃值: 活跃值 (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yodamaster 活跃值 2012-7-10 11:04
3
0
thanks for sharing...
雪    币: 14833
活跃值: 活跃值 (2512)
能力值: ( LV15,RANK:880 )
在线值:
发帖
回帖
粉丝
obaby 活跃值 20 2012-7-10 14:27
4
0
这篇文章写的不错,很详细。
雪    币: 166
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zphdt 活跃值 2012-7-20 11:46
5
0
感觉太深奥了。
雪    币: 230
活跃值: 活跃值 (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
lonkil 活跃值 1 2012-8-21 21:51
6
0
不错,感谢分享。新的领域,这块应该很有搞头。
雪    币: 204
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
?漪 活跃值 2012-8-22 01:43
7
0
我也这样认为
雪    币: 106
活跃值: 活跃值 (218)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Fido 活跃值 2012-8-22 04:54
8
0
哇塞这个要收藏啊.......................................
雪    币: 122
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wawt 活跃值 2012-11-3 00:30
9
0
这个得收藏下!!!!谢谢楼主!
雪    币: 209
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
李忠才 活跃值 2013-1-7 13:35
10
0
IOS是一个比较新的方向,可以努力
雪    币: 304
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dbcoo 活跃值 2013-2-8 11:12
11
0
领先大半年啊,hard wording!
雪    币: 254
活跃值: 活跃值 (78)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
hacker一疒亻 活跃值 2013-2-13 17:18
12
0
我的电脑是linux平台的,因为没有用过mac平台,只知道它是类unix的,所以不知道你这些指令是否能在linux平台上通用 ???   
或者说如果我用linux来做这些事情的话,会不会受到影响?
雪    币: 254
活跃值: 活跃值 (78)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
hacker一疒亻 活跃值 2013-2-28 15:16
13
0
1、如今的破解游戏或者是应用软件是否都是这样的?
2、ios 6.1.x的系统上安装了那个源后,GDB是否可以正常运行?
3、关于mac上的命令——我只有linux系统 ,并没有MAC的电脑,这样的话涉及到的命令就有运行不了的情况了,如otool命令等 ,可否有替代命令?或者是在纯linux系统上如何实现?
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
okyuyu 活跃值 2013-3-10 17:43
14
0
非常好的文章.
雪    币: 205
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
thorhua 活跃值 2013-7-19 17:42
15
0
初学请教: 入口断点不成功

(gdb) set sharedlibrary load-rules ".*" ".*" none
(gdb) set inferior-auto-start-dyld off
(gdb) set sharedlibrary preload-libraries off
(gdb) b *0x3948
Breakpoint 1 at 0x3948
(gdb) r
Starting program: /private/var/mobile/Applications/B19BE2A1-1BF4-4DED-863B-2A335C9AAA52/iRead.app/iRead
---无法中断

附: Load command 1
      cmd LC_SEGMENT
  cmdsize 736
  segname __TEXT
   vmaddr 0x00001000
   vmsize 0x007f4000
  fileoff 0
filesize 8339456
  maxprot 0x00000005
initprot 0x00000005
   nsects 10
    flags 0x0
Section
  sectname __text
   segname __TEXT
      addr 0x00003948
      size 0x0026f670
    offset 10568
     align 2^3 (8)
    reloff 0
    nreloc 0crypt
     flags 0x80000400
reserved1 0
reserved2 0
雪    币: 5
活跃值: 活跃值 (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
grdxyxy 活跃值 2013-7-23 11:11
16
0
没有基础,不知从何学起。这个版块人气不旺,需要楼主这样的大虾多发好贴才行
雪    币: 86
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
threewind 活跃值 2013-7-25 20:24
17
0
请问一下,指令的特征码是怎么回事,刚入手,不是很清楚,能给个链接什么的学习地址么?
雪    币: 86
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
threewind 活跃值 2013-7-26 11:25
18
0
“为此,我们需要搜索LC_ENCRYPTION_INFO这条load command指令的地址,用它的特征串即可,即搜索十六进制的2100000014000000。”

这个能不能再仔细讲讲呢?如何搜索,又怎么转换为特征串呢?
雪    币: 86
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
threewind 活跃值 2013-9-17 19:38
19
0
哎,没有人回答么,我只能记住这个了:2100000014000000。
雪    币: 28
活跃值: 活跃值 (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
蓝道子 活跃值 2014-4-13 23:51
20
0
用ue等二进制工具 搜索这个16进制的特征码即可
游客
登录 | 注册 方可回帖
返回