老题了，路过顺便答一下，供后人参阅。

声明：自个是正版软件支持者。此答案仅为了学术交流而存在。

@Zzyzxd 中引用的威锋贴现已讲了大致的作业机理，可是有一些当地描绘不完全准确，我顺带再做一些弥补。

1. 从 iOS 4 年代开端的 AppSync 现已逐渐从直接修正 installd 改为加载 dylib 办法（Hook）来实现一样功用，优点是后者不需要直接修正 installd. 在当年不完美越狱（Tethered jailbreak）的情况下，假如是修正了一些体系文件，不写入 limera1n exploit 重启的话会卡在发动界面，也即是俗称的白苹果。用 Mobile Substrate（谢谢 Saurik。如今改名了，Cydia Substrate）加载 dylib 就不会呈现这种问题，依旧能够正常发动体系（但因为 Jailbreak 会致使一些 Sandbox 机制不能正常作业，然后致使 Safari、Mail、Weather 等 App 闪退）。

2. 从 App Store 下载的 App，bundle 内部的主程序的 header 是用 FairPlay DRM 加了密的，其私钥与下载该 App 的 iTunes Account 匹配。也即是说，即使在装置阶段使 installd 绕过了 DRM 校验，用户成功地将“未破解”的 ipa 强行装置到了设备上，成果依旧会致使 App 发动时闪退。为何？因为 App 主程序的 header 此时仍然是加密了的，假如没有用于解密的私钥则无计可施。关于公钥、私钥的概念以及公钥体系，请拜见 Wikipedia 或许任何一本公钥密码学有关书本。

3. 那么你会问，那些论坛上所谓“破解”的软件是怎么回事？这儿还要分为两种。先来谈谈那些必须先"越狱"后装置 AppSync 才干运用的 ipa。关于没有做维护（anti-debugging、部分载入维护等等）的 App 主程序，因为程序在授权的 iDevice 上运行时会将 App 解密以后全部载入内存，因而咱们能够全部将内存中未受维护的 binary 给 dump 下来，更换原有的主程序，再修正一下 Info.plist 来让装置了 AppSync 的越狱设备意识到“这个 App 现已被破解，绕过 DRM”，就获得了所谓“破解”了的 ipa，能够在装置了 AppSync 的 转载自 反汇编iDevice 上运行。前面也提到了，这种办法的缺陷是 iDevice 必须越狱（AppSync patch 了 \bin\installd，或许加载 dylib 来 hook，答应绕过 DRM 校验这一过程）。在论坛上放出的“破解”版程序大多都是这个类型；

4. 说说第二种，近几年呈现了所谓“免越狱”免费运用收费 App 的一些“帮手”软件。其原理就一句话：乱用 Apple Developer 的公司授权。公司开发者年费299刀，原意是 Apple 答应开发者对自个公司内部开发的 App 进行签名，然后分发给自个公司的员工在内部运用。“XX帮手”先是经过某种路径购买了这些正版软件，然后用开发者证书从头对这些 App 进行签名，然后免费提供给大众运用，招引用户。“XX帮手”的这种行动很明显违反了这种条例，因而 Apple 有理由撤消（revoke）其公司证书，直接表象即是用户端呈现闪退。某些“帮手”自带的“闪退修正”功用实践即是在 iDevice 上测验铲除证书撤消信息、从头装置证书，使得“闪退”表象看似修正。可是用户一旦打开 App Store 下载 App，就会从头更新这些撤消信息。别的，运用开发者证书签名的游戏软件，在 iDevice 上拜访 Game Center 会进入 Sandbox mode，初衷是便利 Developer 开发游戏时调试 Game Center，而“破解”的 ipa 则通常不会呈现这种情况。

以上这些都是自个当年折腾 iDevice 、一边 Google 研究出来的定论，经得起现实的查验。假如有疑问期待提出~

假如对 iOS Hacking, Kernel Exploitation 有爱好，能够从这儿开端： The iPhone Wiki

人家码了这么多字，点个赞呗 =ω=

[课程]FART 脱壳王！加量不加价！FART作者讲授！