刚学了iOS来水一篇
环境：
mac
iphone 12.5(越狱)
工具:
lldb(手动)
otool(检查工具)
dumpdecrypted(自动)https://github.com/stefanesser/dumpdecrypted.git
bfinject(自动)https://github.com/BishopFox/bfinject
crackerXI (自动)cydia商店里面哦
frida-ios-dump(自动)https://github.com/AloneMonkey/frida-ios-dump
Clutch(自动)https://github.com/KJCracks/Clutch/releases

iOS脱壳
要脱壳 那么首先要知道加壳的
对于iOS加壳来说 所有上架到appstore 的app 都会被apple进行加壳，当然市面上也有商业壳
如何发现iOS是否加壳
从iphone上将下载的app 导出到mac 使用 MachOView/010editor 来检查app的可执行文件Mach-O文件格式中的一项为LC_ENCRYPTION_INFO 当该项的cryptid 1 代表加壳 0为不加壳

在mac上也可以使用otool来查看
otool -arch arm64 -l ./WhatsApp ｜grep -a 4 LC_ENCRYPTION_INFO >>whatsapp.txt

如果是处于加密状态我们使用ida打开会发生这样的情况

yes

当我们把cyptid的值修改了之后

虽然ida不报文件已被加密的提示了，但是加载进入之后，和上面的ida加载后的图是一样的，那也就是说ida分析mach-o的文件是否加密 也是从LC_ENCRYPTION_INFO的cryptid 来检查的

这里 我们使用lldb手动脱壳
1.首先使用debugserver 将app调试起来，这样app才可以在内存中将加密的数据进行解密。

mac使用 lldb 进行连接调试
2.获取app内存的加载地址，因为每一个app的内存加载地址都不同，所以使用lldb命令将内存加载地址获取

3.利用lldb命令 memory 将解密后的数据dump出来。
0x00000000008e8000 获取到的内存加载地址+
上面使用otool获取到的加密起始地址
完整地址就是:0x00000000008e8000+16384

首先 内存加载地址 0x00000001008e8000 +16384(加密数据的偏移) -c 15548416(加密数据的大小) 将指针移至加密数据偏移开始的地址，然后dump 15548416大小的数据，也就将加密数据全部dump下来了，而dump出来的数据是没有Mach-O头数据的 所以需要修复头
4.使用命令dd在加密的app可执行文件上进行patch

patch后 使用ida打开就可以分析了
思路为：找到加密偏移与大小后 使用lldb进行调试 获取内存加载地址加上偏移后的绝对地址 使用memory 命令进行dump 然后 从源文件patch即可
上面还有些脱壳工具 就不介绍了，只要明白脱壳原理就可以，都是一键脱壳 自动化了！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课