(基于越狱系统10.0.2)

lldb调试就是Xcode里面的 控制台调试。越狱了，我们就能调试其他第三方的App了。当然，这是在命令行里面执行lldb命令了。

预热姿势：

1. 查看文件的entitlements(权限)文件

ldid -e debugserver

2. 查看签名数据内容

codesign -dvvv debugserver

第一步准备好debugserver:

1. 吧手机里面的 位于/Developer/usr/bin目录下的debugserver拷贝到电脑里面。

2. 给debugserver 瘦身，因为我这里是5S，所有只保留arm64 即可。

lipo -thin arm64 debugserver -output debugserver

3. 给ebugserver添加权限。(修改entitlements 权限文件)
   先准备好如下内容的 .xml 文件。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>com.apple.backboardd.debugapplications</key>
        <true/>
        <key>com.apple.backboardd.launchapplications</key>
        <true/>
        <key>com.apple.diagnosticd.diagnostic</key>
        <true/>
        <key>com.apple.frontboard.debugapplications</key>
        <true/>
        <key>com.apple.frontboard.launchapplications</key>
        <true/>
        <key>com.apple.security.network.client</key>
        <true/>
        <key>com.apple.security.network.server</key>
        <true/>
        <key>com.apple.springboard.debugapplications</key>
        <true/>
        <key>run-unsigned-code</key>
        <true/>
        <key>get-task-allow</key>
        <true/>
        <key>task_for_pid-allow</key>
        <true/>
        <key>seatbelt-profiles</key>
        <array>
            <string>debugserver</string>
        </array>
    </dict>
</plist>

4. 我这里按照网上的执行:

ldid -Sent.xml debugserver  （-S与ent.xml文件名中是没有空格）

并不能成功，所有我换了另外的 codesign方法来重签名:
首先，找出本机上的可用证书

security find-identity -v -p codesigning  

最后，进行重签名

codesign --force --verify --verbose --entitlements /xxx/xxx.xml --sign "iPhone Developer: xxxx" debugserver

另一个codesign的命令,不需要重签名的方法:

codesign -s - --entitlements ent.plist -f debugserver

---plist文件内容:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN"   "http://www.apple.com/DTDs/ PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>com.apple.springboard.debugapplications</key>
    <true/>
    <key>run-unsigned-code</key>
    <true/>
    <key>get-task-allow</key>
    <true/>
    <key>task_for_pid-allow</key>
    <true/>
</dict> 
</plist>

目前为止，我们就做好了我们需要的debugserver了。

5. 吧debugserver 放到手机的 /usr/bin/目录下

第二步usbmuxd 设置：

作用: 通过USB连接设备，然后进行访问。

下载地址:https://cgit.sukimashita.com/usbmuxd.git/
（下载1.0.8才行，其他的1.0.9 和 1.1.0 只支持linux系统）

python tcprelay.png

如上图，进到python-clinet目录，执行

    python tcprelay.py -t 22:2233  (本地端口2233 -> 设备端口22 ssh通道接口)

下面这个后面再用(用来 lldb 连接设备)

    python tcprelay.py -t 12345:12345  (本地端口12345 -> 设备端口12345 )

在这里，我们必须打开另外的一个命令窗口,用于执行另外的命令。

debugserver_QQ.png

如上图，第一个 是打开ssh通道，通过2233 的本机端口 连上设备的22端口。然后执行
(当然要先打开QQ，才能定位到 QQ这个程序，*表示监听任意的主机)

debugserver *:12345 -a "QQ"

如果一切正常，会发现，这个时候，我们的QQ会卡住，命令行窗口会等待。不用怕，那就说明，你已经成功了。

现在，我们需要再打开一个命令窗口

processConnect.png

如上图：
是的，这个时候，就是用到12345这个端口的时候了。是的，要想在刚刚的第一个命令窗口先执行:

python tcprelay.py -t 12345:12345

再如上面进入lldb命令，执行:

process connect connect://127.0.0.1:12345

OK到此，lldb已经连和QQ程序连上了。后续的命令 基本和Xcode类似，只是需要把 对象 转为 内存地址。这里就暂且止住。

ssh root@ip 然后一直没有反应 (这就对了):

进入以下路径：/private/var/containers/Bundle/Application/yalu102/yalu102.app/
（找到yalu102.app 这个APP 就可以）
.用文本编辑器打开 dropbear.plist 文件。

替换 127.0.0.1:22 为 22。

重启设备，重新使用越狱工具恢复越狱。

注：越狱之后一定不要再装 OpenSSH 了，已经安装过的可以卸载掉。不然无法通过 WIFI 进行 SSH 连接。

经过以上步骤，就可以愉快的使用终端通过 WIFI 连接你的 iPhone 了。

参考来源 :Mr.King’s Blog 的这篇文章
iOSRE 论坛 链接