iOS逆向记录(一)

iOS逆向环境介绍

*** 越狱环境：iphone5s iOS 8.3***

Flongers-iPhone:~ root# uname -a
Darwin Flongers-iPhone 14.0.0 Darwin Kernel Version 14.0.0: Sun Mar 29 19:47:37 PDT 2015; root:xnu-2784.20.34~2/RELEASE_ARM64_S5L8960X iPhone6,1 arm64 N51AP Darwin

1.Drawin体系

• Darwin是一种类似unix的操作系统，他的核心XNU，XNU是一种混合式内核，结合了mach与BSD两种内核

  • 主流的类unix：

    • Linux 由Linus Torvalds研发的，代表发行版本CenOS，Redhat，Ubuntu，Debian，openWRT等

    • Mac OS X的Intel部分

    • freeBSD 由加州大学伯克利分校基于UNIX研发的（UNIX变种，当时如果不是与贝尔实验室打官司，可能就不会有现在的Linux什么事）

    • Solaris 由Sun（现为Oracel）开发的UNIX商业版本

• BSD 实现在Mach的上层，这一层提供的API 支持了POSIX标准模型。在XNU中主要实现了一些高级的API与模块

• UNIX 进程模型
  e.g fork，vfork，wait，waitpid，exec等

• POSIX 线程模型即pthread，以及相关的同步功能
  e.g pthread_create，pthread_mutex(线程互斥锁)

• UNIX的用户与组管理
  e.g root用户，mobile用户，chmod等

• 网络协议栈（BSD Socket API）,符合POSIX 模型
  e.g socket()；bind()； listen()；accept()；connect()； gethostbyname()； gethostbyaddr()等伯克利套接字API

• 文件系统/设备系统
  e.g Filesystem Hierarchy Standard（文件系统层次化标准）

• iOS，OSI，ISO的含义

  • iOS 苹果公司开发的移动操作系统

  • OSI 是Open System Interconnection的缩写，意为开放式系统互联。OSI模型把网络通信的工作分为7层，分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

  • IOS是国际标准化组织。上面的OSI模型由该组织制定。一般类UNIX系统都基本符合POSIX标准和IOS C标准

    • POSIX表示可移植操作系统接口(Portable Operating System Interface）

    • ISO C标准，C语言标准库接口

• 为什么越狱

• 突破iOS沙盒机制的限制（sandbox）
  沙盒是一种安全机制，为运行中的程序提供隔离环境。沙盒在启动的时候可以设置运行的程序是否可以访问网络、文件、目录等

2.Cydia - 越狱iOS的软件管理平台 （Cydia 之父 - Jay Freeman(杰 弗里曼)）

• 越狱iOS是合法的

• 安装OpenSSH

  在Cydia中搜索OpenSSH并安装，这样iOS上面就可以开启SSH服务。SSH服务默认绑定端口号22

  • 使用SSH命令连接iOS，默认登录密码"alpine"

     ssh root@xx.xx.xx.xx       //iOS连接wifi，设置中可以看到ip地址，也可以改成静态IP地址

• 使用scp命令可以传输文件

  scp  filename  root@xx.xx.xx.xx:/tmp                 //拷贝本地文件到远端
  
  scp root@xx.xx.xx.xx:/tmp/filename  /tmp/         //从远端拷贝文件到本地

• 修改默认密码

  passwd root
  
 passwd mobile

• 安装软件包管理工具apt-get
  在Cydia中搜索 APT 0.6 Transitional并安装

  • 命令介绍

       apt-get update                    【更新所有的源】
    
       apt-get upgrade                 【更新所有通过apt-get安装的程序】
    
       apt-get install  packagename         【安装软件包】
    
       apt-get remove  packagename      【删除软件包，不删除依赖包，不删除配置文件】
    
       apt-get remove --purge packagename  【删除该软件包，不删除依赖包，删除配置文件】
    
       apt-get autoremove packagename       [删除该软件包，删除依赖包，不删除配置文件]
    
       apt-get autoremove --purge packagname    【可以删除所有依赖包+配置文件】
    
       apt-cache search string             【搜索含有该string字段的软件包】
    
       apt-cache show packagename     【详细显示该软件包的信息】
    
       apt-get clean                   【清除apt-get安装的软件包备份，可以释放储存空间，不影响软件正常使用】
    

• 使用apt-get 安装软件包
  e.g 安装traceroute

      apt-get install traceroute  //发现找不到软件包
      
      //如果不知道软件包名称，也可以用关键字搜索
      apt-cache search traceroute
      
      apt-get install  network-cmds
  

• 安装必要工具

      apt-get install  ping
      
      apt-get install  ps
      
      apt-get install  find
      
      apt-get install tcpdump
      
      apt-get install top
      
      apt-get install vim
      
      apt-get install  network-cmds   //-arp, ifconfig, netstat, route, traceroute
  

• 工具的使用

    ping www.baidu.com -c 4 -s 600  //发送icmp报文，检查网络状况

    ps aux                          //查看进程信息
    ps -e                           

    find / -name ping       //在根目录开始查找文件名为ping的文件

    grep -r 'hello*' /tmp   //在/tmp目录中查找包含'hello'字符的文件,-r表示包含子目录

    top
    top -l 1 | head -n 10 | grep PhysMem  //显示系统内存使用情况
    
    tcpdump -i en0 src host 192.168.1.137
    tcpdump -i en0 dst host 192.168.1.137
    tcpdump -w /tmp/ssh.cap -i en0 tcp port 22 and dst host 192.168.1.137
    tcpdump -w /tmp/ssh.cap -i en0 -t -s 0 -c 100 tcp port ! 22 and dst host 192.168.1.137
      解释:
     (1)-w /tmp/ssh.cap : 保存成cap文件，方便用ethereal(即wireshark)分析
     (2)-i en0 : 只抓经过接口en0的包
     (3)-t : 不显示时间戳
     (4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
     (5)-c 100 : 只抓取100个数据包
     (6) tcp port ! 22  : 不抓tcp端口22的数据包
     (7) dst port ! 22 : 不抓取目标端口是22的数据包
     (8)dst host 192.168.1.137 : 抓取目标地址为192.168.1.137的包
     (9)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24

3.iOS文件系统结构

• 可视化方式常看iOS系统文件
  ==在iOS通过Cydia安装Apple File Conduit 2，在OS X使用iFunBox可以查看iOS系统文件(iOS和OS X需要在通一个局域网内)==

• 通过SSH远程登录iOS来查看

• Filesystem Hierarchy Standard 文件系统层次化标准（以下简称FHS）
  ==FHS为类UNIX操作系统的文件目录结构制定了一套标准，目的是让用户预知文件或目录的存放位置。UNIX操作系统的常见目录结构如下所示。==

     /：根目录，以斜杠表示，其他所有文件和目录在根目录下展开。
  
     /bin："binary"的简写，存放提供用户级基础功能的二进制文件，如ls、ps等。
  
     /boot：存放能使系统成功启动的所有文件。iOS中此目录为空。
  
     /dev："device"的简写，存放BSD设备文件。每个文件代表系统的一个块设备或字符设备，一般来说，“块设备”以块为单位传输数据，如硬盘；而“字符设备”以字符为单位传输数据，如调制解调器。
  
     /sbin："system binaries"的简写，存放提供系统级基础功能的二进制文件，如netstat、reboot等。
  
     /etc："Et Cetera"的简写，存放系统脚本及配置文件，如passwd、hosts等。在iOS中，/etc是一个符号链接，实际指向/private/etc。
  
     /lib：存放系统库文件、内核模块及设备驱动等。iOS中此目录为空。
  
     /mnt："mount"的简写，存放临时的文件系统挂载点。iOS中此目录为空。
  
     /private：存放两个目录，分别是/private/etc和/private/var。
  
     /tmp：临时目录。在iOS中，/tmp是一个符号链接，实际指向/private/var/tmp。
  
     /usr：包含了大多数用户工具和程序。/usr/bin包含那些/bin和/sbin中未出现的基础功能，如nm、killall等；/usr/include包含所有的标准C头文件；/usr/lib存放库文件。
  
    /var："variable"的简写，存放一些经常更改的文件，比如日志、用户数据、临时文件等。其中/var/mobile和/var/root分别存放了mobile用户和root用户的文件，是重点关注的目录。
  

• UNIX系统文件权限简介（UNIX一切皆文件：读写普通文件、目录、设备、socket、管道、CPU信息、进程信息等）

• 系统用3位（bit）来表示文件的权限，从高位到低位分别是r（read）权限、w（write）权限，以及x（execute）权限。文件与用户的关系存在以下三种可能性：
• 此用户是属主用户(文件所有者的权限)
• 此用户不是属主用户，但在属主组里(组用户权限)
• 此用户既不是属主用户，又不在属主组里(Other用户权限)

```
1111 1111  = 2^0*1 + 2^1*1 + 2^2*1 + 2^3*1 + ...+2^7*1 = 2^8 - 1 

8421
1111  = 8+4+2+1 = 15
1011  = 8+2+1 = 11

rwx      r-x    r--
111      101    100 
所有者   属组   其他

用3*3位来表示一个文件的权限，如果某一位为1，则这一位代表的权限生效，否则无效。例如，111101101代表rwxr-xr-x，即该文件的属主用户拥有r、w、x权限，而属主组和其他所有人只具有r和x权限；同时，二进制的111101101转换成十六进制是755，也是一种常见的权限表示法。

可以使用chmod 命令修改文件权限，如 chmod  755  filename

* iOS的独有目录
  ```
      /Applications：存放所有的系统App和来自于Cydia的App，但不包括StoreApp。

      /Developer：如果一台设备连接Xcode后被指定为调试用机，Xcode就会在iOS中生成这个目录，其中会含有一些调试需要的工具和数据。

      /Library：存放一些提供系统支持的数据。其中/Library/MobileSubstrate下存放了所有基于CydiaSubstrate（原名MobileSubstrate）的插件（如：tweak编写的插件）。

      /System/Library：iOS文件系统中最重要的目录之一，存放大量系统组件。

      /System/Library/Frameworks和/System/Library/PrivateFrameworks：存放iOS中的各种framework

      /System/Library/CoreServices里的SpringBoard.app：iOS桌面管理器（类似于Windows里的explorer），是用户与系统交流的最重要中介。

      /User：用户目录（其实就是mobile用户的home目录），实际指向/var/mobile，这个目录里存放大量用户数据，比如：

      /var/mobile/Media/DCIM下存放照片；

      /var/mobile/Media/Recordings下存放录音文件；

      /var/mobile/Library/SMS下存放短信数据库；

      /var/mobile/Library/Mail下存放邮件数据。
      
      /var/mobile/Containers，存放StoreApp。值得注意的是，App的可执行文件在bundle与App中的数据目录被分别存放在/var/mobile/Containers/Bundle和/var/mobile/Containers/Data这两个不同目录下。其中/var/mobile/Containers/Data是我们常用的应用沙盒目录的起始目录：NSString *directory = NSHomeDirectory(); //获取沙盒根目录

  ```


* iOS应用（Store App）沙盒目录：
- Application Bundle  包含应用可执行文件和资源文件

如获取iOS上微信程序的Bundle路径，可以通过ps -e | grep appname
Flongers-iPhone:/ root# ps -e | grep WeChat
1368 ?? 5:41.43 /var/mobile/Containers/Bundle/Application/749DC69A-3A8D-4B5C-9926-1220E69FC85F/WeChat.app/WeChat

• Application Data 包含App运行生产的数据和配置信息等

   如获取iOS上微信程序的Date路径，可以通过cycript工具
   Flongers-iPhone:~ root# cycript -p WeChat
   cy# directory = NSHomeDirectory()
   @"/var/mobile/Containers/Data/Application/986376B5-EF08-4CAF-81FB-CAE48D1FE4AE"
   cy# 

• Date目录结构如下：

```
Flongers-iPhone:/var/mobile/Containers/Data/Application/986376B5-EF08-4CAF-81FB-CAE48D1FE4AE root# ls
Documents/  Library/  tmp/
```

• Document 存放应用运行时生成的并且需要保存的数据。注:iTunes或iCloud同步设备时会备份该目录

• Library/Caches 存放应用运行时生成的并且需要保存的数据。iTunes或iCloud不同步。

• Library/Preferences 存放偏好设置。iOS的偏好设置（settings）应用也会在该目录查找应用的设置信息。NSUserDefaults保存在该目录下。iTunes或iCloud同步设备时备份该目录。

• tmp 存放应用运行时所需的临时数据。当某个应用没运行时，iOS系统可能会清除该目录下的文件。但不可依赖这种自动清除机制，应该及时手动清除。