转载

iOS 逆向工程 [二]

学习是一个循序渐进的过程，其实这句话是有道理的，O(∩_∩)O哈哈~，本文是上一篇文章的续，上篇文章主要是一些基本的工具安装，以及使用，本篇文章做进一步的App调试。

端口映射

在前面我们说到，如何将iphone的22端口（SSH端口）映射到Mac本地的10010端口，那么登录电脑上的10010就相当于链接到手机的22端口了，如果在 usb.sh脚本中后面加上一组映射，如下：

cd /Users/cuilinhao/Desktop/usbmuxd-1.0.8
python tcprelay.py -t 22:10010 10011:10011

则此时，端口会做两次映射，访问电脑10011 就是访问手机的10011，当然你也可以写成不同的，这里为了方便映射，才设置手机端和电脑端为同一个端口10011

bebugServer 签名

debugserver是运行在ios上，作为服务端，实际上执行LLDB（作为客户端）传过来的没命令，再把执行结果反馈给LLDB,显示给用户，即所谓的”远程调试”。在默认情况下，ios上并没有安装debugserver。需要设备连接Xcode，在window-->Devices菜单中增加此设备后，debugserver才会被Xcode安装到IOS设备的/Developer/usr/bin/目录下。注意：由于缺少task_for_pid权限，通过Xcode安装的debugserver只能调试自己的APP。为了逆向，我们需要对debugserver进行相关配置，使我们可以调试别人的APP。

通过iFunBox找到Devicce/Developer/usr/bin 先找到debugserver, 并拷贝到桌面，由于debugserver 权限是不足的，故需要签名，先把debugserver拿到桌面，重新签名，如果希望调试其他App，则需要对debugserver重新签名，签上2个调试相关的权限

get-task-allow
task_for_pid_allow

签名要三步,具体操作如下：

1. 使用命令 -e 将debugserver 导出为debugserver.entitlements

ldid -e debugserver > debugserver.entitlements

2. 双击打开debugserver.entitlements 添加权限

iOS 逆向工程 [二]

3. 使用命令-S 签名

cuilinhao$ ldid -Sdebugserver.entitlements debugserver

4. 将签名后的文件放到 usr/bin目录下即可。

测试：

Zhanghua123:~ root# debugserver
-sh: /usr/bin/debugserver: Permission denied
Zhanghua123:~ root#
//权限不够 使用chmod +x
Zhanghua123:~ root# chmod +x /usr/bin/debugserver

5. debugserver链接WiFi伴侣App，如果出现Failed to get connection from a remote gdb process.连接失败，则可以试着重启手机(reboot)或者killall SpringBoard，在下面debugserver进行连接时，*为主机地址，就是手机，：是端口号

Zhanghua123:~ root# debugserver *:10011 -a wifibanlv
debugserver-@(#)PROGRAM:debugserver  PROJECT:debugserver-360.0.26.1
 for arm64.
Attaching to process wifibanlv...
Listening to port 10011 for a connection from *...

LLDB命令调试

1)启动LLDB

$lldb 
(lldb)

2）连接debugserver服务

(lldb) process connect connect:// 手机IP地址：debugserver 服务的端口号

3）使用LLDB的c命令让程序先继续运行

(lldb) c

如下图：

iOS 逆向工程 [二]

4）LLDB 指令

iOS 逆向工程 [二]

补充：

breakpoint list 查看断点编号
register read 读出地址
po $x0: 打印方法调用者
x/s $x1: 打印方法名
po $x2: 打印参数（以此类推，x3, x4也可能是参数）
如果是非arm64，寄存器就是r0, r1, r2

Hopper + LLDB 调试

在之前是有介绍过Hopper的，LLDB连接上debugserver后，我们首先使用下方的命令来查看当前进程中的所有模块，从这些输出信息中我们能找到“WeChat”这个进程在虚拟内存相对于模块基地址的偏移量

执行 image list -o -f 命令可以看到如下结果

iOS 逆向工程 [二]

左边红框就是ASLR偏移量（随机偏移量），ASLR偏移量其实就是虚拟内存的地址相对于模块基地址的偏移量

右边红框中的地址就是偏移后的地址

模块在内存中的起始地址----模块基地址
ASLR偏移 ---- 虚拟内存起始地址与模块基地址的偏移量

从下方的输出结果我们可以知道:

ASLR偏移量 = 0x5b000, 模块偏移后基地址 = 0x5f000

=====

下方是使用Hopper打开的解密后的微信的安装包

iOS 逆向工程 [二]

其起始地址从下图中我们可以看出是0x4000, 这个地址就是模块偏移前的地址，也就是模块在虚拟内存中的起始地址。从Hopper中我们可以知道：模块偏移前的基地址=0x4000

从上面两组数据我们可以得出：

模块偏移后的基地址（0x5f000）= ASLR偏移量（0x5b000）+ 模块偏移前基地址（0x4000）

因为Hopper中显示的都是“ 模块偏移前基地址”，而LLDB要操作的都是“模块偏移后的基地址”

所以从Hopper到LLDB，我们要做一个地址偏移量的转换

当然，有一点需要注意的是Hopper与LLDB所选择的AMR架构的位数得一致，要么是32位，要么都是64位，如果位数不匹配的话，那么计算出来的内存地址肯定是不对的。

以上是用到的基本知识，然后我们就来操作一波

我们以WiFi伴侣为例，来查看WiFi伴侣获取的mac地址的相关方法。

PS：在进行断点调试时，如果有对要提示的App进行Tweak文件，请删除，如果不删除，断点会添加不上。

操作如下：

1. usb登录

cd /Users/cuilinhao/Desktop/usbmuxd-1.0.8
python tcprelay.py -t 22:10010 10011:10011

另开一个终端

ssh root@localhost -p 10010

2. debugServer 连接

Zhanghua123:~ root# debugserver *:10011 -a wifibanlv
debugserver-@(#)PROGRAM:debugserver  PROJECT:debugserver-360.0.26.1
 for arm64.
Attaching to process wifibanlv...
Listening to port 10011 for a connection from *...
Waiting for debugger instructions for process 0.

3. lldb 断点调试

(lldb) process connect connect://localhost:10011
Process 3667 stopped
* thread #1, queue = 'com.apple.main-thread', stop reason = signal SIGSTOP
    frame #0: 0x000000018addef88 libobjc.A.dylib`objc_msgSend + 40
libobjc.A.dylib`objc_msgSend:
->  0x18addef88 <+40>: br     x17
    0x18addef8c <+44>: cbz    x9, 0x18addf260           ; _objc_msgSend_uncached
    0x18addef90 <+48>: cmp    x12, x10
    0x18addef94 <+52>: b.eq   0x18addefa0               ; <+64>
Target 0: (wifibanlv) stopped.
(lldb) c
Process 3667 resuming
(lldb)

4. 通过Reveal 找到控制器

iOS 逆向工程 [二]

通过Reveal 可以看到要找的类是WBNetDetectViewController，头文件如下

#import "WBBaseViewController.h"

@class IPUserModel, NSMutableArray, NetDetectTool, WBNetDetectView, WBTableViewModel;

@interface WBNetDetectViewController : WBBaseViewController
{
    NSMutableArray *_foundDevicesList;
    WBNetDetectView *_selfView;
    WBTableViewModel *_tableModel;
    NetDetectTool *_detectTool;
    IPUserModel *_selectModel;
}

@property(retain, nonatomic) IPUserModel *selectModel; // @synthesize selectModel=_selectModel;
@property(retain, nonatomic) NetDetectTool *detectTool; // @synthesize detectTool=_detectTool;
@property(retain, nonatomic) WBTableViewModel *tableModel; // @synthesize tableModel=_tableModel;
@property(retain, nonatomic) WBNetDetectView *selfView; // @synthesize selfView=_selfView;
@property(retain, nonatomic) NSMutableArray *foundDevicesList; // @synthesize foundDevicesList=_foundDevicesList;
- (void).cxx_destruct;
- (void)handleMacNameResult:(id)arg1;
- (void)completeNetDetectResult;
- (void)openAntiRubNetworkGuide;
- (id)resultSection;
- (void)loadTableView;
- (void)startNetDetect;
- (void)backToPreViewController;
- (void)triggerRefreshNetDetect;
- (void)setupTableHeader;
- (void)didReceiveMemoryWarning;
- (void)viewWillAppear:(_Bool)arg1;
- (void)viewDidLoad;
- (_Bool)fd_prefersNavigationBarHidden;
- (void)loadView;

@end

因为逆向我们只能导出一些类的头文件，所以在想找到自己想要的数据时，也需要猜测，此时在WBNetDetectViewController中，看到handleMacNameResult这个方法，很可能是有我们要的mac地址的数据，so，我们可以先tweak找个类中的handleMacNameResult，打印一下arg参数看到确实是我们要找的

%hook WBNetDetectViewController

- (void)handleMacNameResult:(id)arg1
{
    NSLog(@"---mac------%@", arg1);

    打印结果
    ---mac------(
    "{/n    mac = /"C0:CE:CD:22:91:3C/";/n    macname = /"Apple, Inc./";/n    macname_zh = /"Apple/U82f9/U679c/";/n    nickname =;/n    pic = /"http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png/"/n}",
    "{/n    mac = /"C8:1E:E7:51:52:B3/";/n    macname = /"Apple, Inc./";/n    macname_zh = /"Apple/U82f9/U679c/";/n    nickname =;/n    pic = /"http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png/"/n}",
    "{/n    mac = /"B8:BC:1B:5B:58:AB/";/n    macname = /"HUAWEI TECHNOLOGIES CO.,LTD/";/n    macname_zh = /"Huawei/U534e/U4e3a/";/n    nickname =;/n    pic = /"http://static.wlanbanlv.com/06ab4e63498a29ac8b5a2d9c9e869dc22ad74697.png/"/n}"
)

}

%end

5. 通过Hopper找到handleMacNameResult这个方法

iOS 逆向工程 [二]

获取基地址

(lldb) image list -o -f | grep wifibanlv
[  0] 0x00000000000a0000 /var/containers/Bundle/Application/759BFDCF-F926-42DC-A271-4F4D15C5818D/wifibanlv.app/wifibanlv(0x00000001000a0000)

设置断点，利用公式

模块偏移后的基地址（0x5f000）= ASLR偏移量（0x5b000）+ 模块偏移前基地址（0x4000）

此时的ASLR偏移量是0x00000000000a0000，模块偏移前基地址是0x00000001001bbc14

breakpoint set -a 0x00000000000a0000+0x00000001001bbc14

查看地址

register read
General Purpose Registers:
        x0 = 0x0000000129abe4b0
        x1 = 0x00000001009fa67c  "handleMacNameResult:"
        x2 = 0x0000000170e5a760
        x3 = 0x000000016fd5e978
        x4 = 0x0000000000000010
        x5 = 0x0000000000000068
        x6 = 0x0000000170e5a190
        x7 = 0x0000000000000000
        x8 = 0x0000000100d9a000  "splashAd"
        x9 = 0x00000001009fa67c  "handleMacNameResult:"
       x10 = 0x000000012811ec00
       x11 = 0x000000b1000000ff
       x12 = 0x000000012811f3c0
       x13 = 0x000005a100dc312f
       x14 = 0x0000000000000000

查看参数

(lldb) po $x0

(lldb) x/s $x1
0x1009fa67c: "handleMacNameResult:"
(lldb) po $x2
<__nsarraym 0x170e5a760="">(
{
    mac = "C0:CE:CD:22:91:3C";
    macname = "Apple, Inc.";
    macname_zh = "Apple苹果";
    nickname =;
    pic = "http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png"
},
{
    mac = "BC:A9:20:E0:A2:E6";
    macname = "Apple, Inc.";
    macname_zh = "Apple苹果";
    nickname =;
    pic = "http://static.wlanbanlv.com/3de765ea1fa9cf94c3cff3b2ded6bdcddea09461.png"
},
{
    mac = "40:9C:28:9D:AE:22";
    macname = "";
    macname_zh = "";
    nickname =;
    pic = ""
},

查看方法是谁调用的,使用指令bt 打印方法调用栈

(lldb) bt
* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.1
  * frame #0: 0x00000001002763b4 wifibanlv`_mh_execute_header + 1926068
    frame #1: 0x0000000100894f4c wifibanlv`__cxa_throw + 1064120
    frame #2: 0x00000001008960a4 wifibanlv`__cxa_throw + 1068560
    frame #3: 0x000000018b21e1fc libdispatch.dylib`_dispatch_call_block_and_release + 24
    frame #4: 0x000000018b21e1bc libdispatch.dylib`_dispatch_client_callout + 16
    frame #5: 0x000000018b222d68 libdispatch.dylib`_dispatch_main_queue_callback_4CF + 1000
    frame #6: 0x000000018c342810 CoreFoundation`__CFRUNLOOP_IS_SERVICING_THE_MAIN_DISPATCH_QUEUE__ + 12
    frame #7: 0x000000018c3403fc CoreFoundation`__CFRunLoopRun + 1660
    frame #8: 0x000000018c26e2b8 CoreFoundation`CFRunLoopRunSpecific + 444
    frame #9: 0x000000018dd22198 GraphicsServices`GSEventRunModal + 180
    frame #10: 0x00000001922b57fc UIKit`-[UIApplication _run] + 684
    frame #11: 0x00000001922b0534 UIKit`UIApplicationMain + 208
    frame #12: 0x00000001000a9c7c wifibanlv`_mh_execute_header + 40060
    frame #13: 0x000000018b2515b8 libdyld.dylib`start + 4
(lldb)

此时如果你要找是谁调用了handleMacNameResult这个方法，为什么要找这个方法呢，因为从上面分析可以看出handleMacNameResult中的参数才是我们需要的，反过来推，一定是哪个方法调用handleMacNameResult，然后将参数传入了handleMacNameResult中，那怎么继续跟踪呢？这里先说一下，oc方法运行时，其本质是Runtime在调用方法，比如：

【self testMethod：url】其实在调用方法时，走的是

objc_msgSend(self, @selector(testMethod), url),在我们进行断点时，是断在了方法中，那么在我们打印的x0 就是一个方法调用者，后面是方法，然后是参数等。用bt指令打印出来的调用栈，是从下向上调用的，故如果想知道是谁调用了handleMacNameResult，则可以用地址偏移公式来进行查找，

要找的地址 = 0x0000000100894f4c - ASLR偏移量（0x00000000000a0000）

此时可以用mac自带计算器运算

iOS 逆向工程 [二]

通过计算得到地址为 0x1007F4F4C，在Hopper中通过Navigation/Go to Address 进行查找,可以看到该地址在[ZLOpenWiFi getMacNameList:completionHandler:]，然后再次对该方法进行断点跟踪

iOS 逆向工程 [二]

对伪代码进行分析如下：

typedef void (^AFURLSessionTaskCompletionHandler)(NSURLResponse *response, id responseObject, NSError *error);

@implementation XMNetWorkHelper

+(void)getMacNameList:(NSArray *)nameList completionHandler:(AFURLSessionTaskCompletionHandler)completionHandler
{

    r31 = r31 - 0xb0;
    *(r31 + 0x70) = r24;
    *(0x80 + r31) = r23;
    *(r31 + 0x80) = dic;
    *(0x90 + r31) = self;
    *(r31 + 0x90) = r20;
    *(0xa0 + r31) = nameList;
    *(r31 + 0xa0) = r29;
    *(0xb0 + r31) = r30;
    r29 = r31 + 0xa0;
    nameList = [arg2 retain];
    r20 = [arg3 retain];
    [ZLHelper isValidArray:nameList];//对数组判断是否合法
    NSMutableDictionary *dic;
    if (!CPU_FLAGS & E) {
        dic = [[NSMutableDictionary dictionaryWithCapacity:zero_extend_64(0x0)] retain];
        r0 = [self urlEncodeFormatStringList:nameList];//对数组进行处理然后拼成一个字符串
        r0 = [r0 retain];
        r24 = [[r0 componentsJoinedByString:@","] retain];//按照，进行分割成一个数组r24
        [dic setObject:r24 forKey:@"bssid"];
        [r24 release];
        [r0 release];
        ZLOpenWiFi *openWifi = [ZLOpenWiFi sharedInstance];//r0 = openWifi;
        r29 = r29;
        r0 = [r0 retain];
        r23 = openWifi;
        if ([openWifi debugMode] != 0x0) {//[openWifi debugMode] 返回一个bool值
            *r31 = "+[ZLOpenWiFi getMacNameList:completionHandler:]";
            *(r31 + 0x8) = zero_extend_64(0x221);
            *(0x18 + r31) = dic;
            NSLog(0x100b82ae8);
        }
        [r23 release];
        r23 = [[ZLUrlHelper MacNameGetList] retain];//r23 是请求（[self apiUrlMake:@"29004"]）出的数据拼接在一起的字符串
        *(r31 + 0x20) = __NSConcreteStackBlock;
        *(r31 + 0x28) = *0x1008f5640;
        *(r31 + 0x30) = 0x1007f4f10;
        *(r31 + 0x38) = 0x100b47138;
        *(0x48 + r31) = r20;
        [r20 retain];
        /*
         r23 是请求（[self apiUrlMake:@"29004"]）出的数据拼接在一起的字符串
         dic中装的是 key 为bssid value为 namelist
         */
        [self getHttpEncryptRequestForUrl:r23 parameters:dic completionHandler:stack[2048]];
        [r23 release];
        [*(r31 + 0x40) release];
        [r20 release];
        r0 = dic;
    }
    else {
        r0 = [ZLOpenWiFi sharedInstance];
        r0 = [r0 retain];
        self = r0;
        if ([r0 debugMode] != 0x0) {
            asm { stp        x8, x9, sp };
            NSLog(0x100b82ac8);
        }
        [self release];
        *(r31 + 0x48) = __NSConcreteStackBlock;
        *(r31 + 0x50) = *0x1008f5640;
        *(r31 + 0x58) = 0x1007f4e88;
        *(r31 + 0x60) = 0x100b47108;
        *(0x70 + r31) = r20;
        [r20 retain];
        dispatch_async(__dispatch_main_q, r31 + 0x48);
        [*(r31 + 0x68) release];
        r0 = r20;
    }
    [r0 release];
    [nameList release];
}