我正在尝试对iOS应用程序进行逆向工程以删除越狱检测。使用 lldb 时,我得到了以下输出:
* thread #1: tid = 0xe26e, 0x00000001012322f8 dyld`__abort_with_payload + 8, queue = 'com.apple.main-thread', stop reason = signal SIGABRT
我查了一下,__abort_with_payload
与嵌入式二进制文件或代码签名或其他东西有关,这让我有理由相信它与 mobilesubstrate 如何将 dylib 注入应用程序有关。
我尝试禁用移动基板,并再次运行lldb。这一次,它给出了一个不同的问题:
Process 16662 resuming
Process 16662 exited with status = 45 (0x0000002d)
什么是退出代码 45?谷歌搜索并没有多大帮助,但根据 osstatus.com 的说法,这可能意味着ENOTSUP
或"不支持操作"。"不支持操作"是什么意思?
这是PT_DENY_ATTACH
.
许多SO答案已经在某种程度上涵盖了它,给你一个想法:这里和这里。甚至在亚历山大·奥马拉的博客文章中涵盖了更多细节 这里
要在可执行文件运行之前在 lldb 中反击它,请键入:
b ptrace
您应该看到如下所示的内容:
Breakpoint 5: where = libsystem_kernel.dylib`__ptrace, address = 0x00000001c2b17140
指示实际处理的位置。
当您命中 ptrace 断点类型时:
th r
即缩短thread return
语法
它将强制退出 ptrace 函数,而不实际执行拒绝部分。
th r
后,您可能会看到类似这样的内容
-> 0x100daa548 <+140>: str w0, [sp, #392]
0x100daa54c <+144>: bl 0x100b01cb8 ; ___lldb_unnamed_function1756$$prodx
0x100daa550 <+148>: bl 0x100b02538 ; ___lldb_unnamed_function1760$$prodx
0x100daa554 <+152>: bl 0x100daa470 ; ___lldb_unnamed_function29542$$prodx
代码片段来自 OP,无关紧要。重要的是ip
(即指令指针寄存器)指向ptrace
调用后的下一条汇编指令。因此,要了解发生了什么,我们必须反汇编前面的汇编代码。每个 arm64 汇编指令都是 4 个字节,因此我们键入:
di -s 0x100daa544
这很可能会产生:
0x100daa544 bl <some address> ; aka ptrace(PT_DENY_ATTACH, ...)
所以现在你可以只检查操作码的实际字节^:
x 0x100daa544 -c 4
这些是要替换为下面提到的 nop 的字节。
但是,可能会发生跟踪,而是直接通过这样的系统调用进行(这就是libsystem_kernel.dylib'__ptrace:实际上在内部所做的):
mov x0, #0x1f ; this is PT_DENY_ATTACH 31 syscall argument
mov x16, #0x1a ; x0,x16 can be set in numerous ways so I skip the opcodes
01 10 00 D4 svc #0x80
这是AARCH64(又名arm64)组件,所以我假设您的设备是iPhone5s或更高版本。为了进一步混淆它,指令可能会被一些不相关的指令分开。如果您需要遵循此路径,请查看此处的 SO 问题。
因此,将您最喜欢的十六进制编辑器中的01 10 00 D4
替换为
1f 20 03 d5 nop
应该让你走。
人们可能会因为不使用0x80
而发疯,svc
用于系统调用
01 00 00 d4 svc #0
21 00 00 d4 svc #1
01 02 00 d4 svc #0x10
e1 1f 00 d4 svc #0xff
它们中的每一个都会碰巧工作,但它可能在任何时候中断(从 iOS7 到现在的 iOS 13 仍然没有)。
结语:
如果您实际修改二进制文件,则可能存在一些额外的保护机制,例如校验和和其他自完整性检查。这绝对超出了这个问题的范围。