iOS安全和逆向系列教程 第5篇 iOS基础开发知识速览 - 理解你要逆向的目标

iOS安全和逆向系列教程 第5篇 iOS基础开发知识速览 - 理解你要逆向的目标

正如上一篇文章结尾所预告的，在完成环境搭建后，我们需要了解iOS开发的基础知识。这不是要求你成为一名iOS开发者，而是为了让你在逆向分析过程中能够理解应用的代码结构和运行逻辑。正所谓"知己知彼，百战不殆"，只有了解iOS应用是如何构建的，我们才能更有效地进行逆向工程。

本文将为零基础的读者提供iOS开发的核心概念速览，帮助你快速掌握进行逆向工程所需的基础知识。

为什么逆向工程师需要了解iOS开发？

在开始学习具体内容前，让我们先理解为什么需要学习这些iOS开发知识：

1. 识别关键代码：了解常见的框架和API，可以快速定位应用中的关键功能
2. 理解应用结构：掌握iOS应用的组织方式，有助于找到突破口
3. 解读反编译代码：反编译后的代码通常包含大量iOS特有的类和方法调用
4. 修改应用行为：只有理解代码逻辑，才能精确修改应用的行为
5. 规避保护机制：了解开发者常用的保护技术，才能有效绕过

Objective-C与Swift基础

iOS应用主要使用两种编程语言：Objective-C和Swift。作为逆向工程师，我们需要能够阅读和理解这两种语言的代码。

1. Objective-C基础

Objective-C是iOS开发的传统语言，具有独特的语法风格。即使现在很多应用使用Swift开发，了解Objective-C仍然非常重要，因为：

• 大量iOS系统框架是用Objective-C编写的
• 许多第三方库和旧应用仍在使用Objective-C
• 反编译工具对Objective-C的支持通常比Swift更好

1.1 Objective-C核心语法

类的定义:

// 头文件 (.h)
@interface MyClass : NSObject@property (nonatomic, strong) NSString *name;
@property (nonatomic, assign) int age;- (void)sayHello;
- (NSString *)getGreetingForName:(NSString *)name withAge:(int)age;@end// 实现文件 (.m)
@implementation MyClass- (void)sayHello {NSLog(@"Hello, I'm %@", self.name);
}**绕过方法**：
- Hook sysctl和ptrace函数
- 修改返回的进程信息
- 使用反调试保护绕过插件### 3. 代码混淆与加密开发者可能会使用代码混淆和加密技术保护核心代码：**常见技术**：
- 字符串加密
- 控制流扁平化
- 函数名混淆
- 自定义加密算法**逆向对策**：
- 动态分析：在运行时观察解密后的数据
- 使用Frida Hook关键函数
- 编写脚本自动解密字符串
- 利用模式识别还原控制流### 4. SSL PinningSSL Pinning用于防止中间人攻击，但也会阻碍网络流量分析：**常见实现**：
```objective-c
// 使用NSURLSession进行证书验证
- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition, NSURLCredential *))completionHandler {if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {NSString *host = challenge.protectionSpace.host;SecTrustRef serverTrust = challenge.protectionSpace.serverTrust;// 加载本地证书NSString *certPath = [[NSBundle mainBundle] pathForResource:@"server" ofType:@"cer"];NSData *certData = [NSData dataWithContentsOfFile:certPath];CFDataRef certDataRef = (__bridge CFDataRef)certData;SecCertificateRef cert = SecCertificateCreateWithData(NULL, certDataRef);// 设置证书验证策略SecPolicyRef policy = SecPolicyCreateSSL(true, (__bridge CFStringRef)host);SecTrustSetPolicies(serverTrust, policy);CFRelease(policy);// 添加锚点证书SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)@[(__bridge id)cert]);SecTrustSetAnchorCertificatesOnly(serverTrust, true);CFRelease(cert);// 执行验证SecTrustResultType result;SecTrustEvaluate(serverTrust, &result);if (result == kSecTrustResultUnspecified || result == kSecTrustResultProceed) {NSURLCredential *credential = [NSURLCredential credentialForTrust:serverTrust];completionHandler(NSURLSessionAuthChallengeUseCredential, credential);} else {completionHandler(NSURLSessionAuthChallengeRejectProtectionSpace, nil);}} else {completionHandler(NSURLSessionAuthChallengePerformDefaultHandling, nil);}
}

绕过方法：

• 使用SSL Kill Switch 2插件
• Hook SecTrustEvaluate函数
• 修改NSURLSession的didReceiveChallenge:completionHandler:方法
• 使用Frida脚本动态绕过验证

实用小技巧：快速识别应用关键功能

在逆向分析iOS应用时，以下技巧可以帮助你快速定位应用的关键功能：

1. 通过字符串查找功能

应用中的字符串通常是找到关键功能的好线索：

使用strings命令：

strings AppBinary | grep -i "password\|login\|token\|secure"

使用class-dump和grep组合：

class-dump -H AppBinary | grep -A 10 -B 10 "login"

2. 关注网络活动

网络请求往往包含应用的核心功能：

使用网络监控工具：

• Charles Proxy捕获HTTP/HTTPS流量
• Wireshark分析原始网络数据包

重点关注：

• 认证请求
• API端点
• 敏感数据传输

3. 观察文件系统活动

应用读写的文件可以提供重要信息：

使用Frida监控文件操作：

Interceptor.attach(ObjC.classes.NSFileManager["- writeData:toFile:options:error:"].implementation, {onEnter: function(args) {var data = new ObjC.Object(args[2]);var path = new ObjC.Object(args[3]).toString();console.log("[+] 写入文件: " + path);console.log("    数据: " + data);}
});

4. 追踪用户界面交互

用户界面交互通常会触发关键功能：

使用界面探测器：

• Reveal查看UI层次
• 使用cycript遍历视图层次

分析视图控制器：
视图控制器通常包含业务逻辑，分析它们可以快速了解应用功能。

实战演练：分析一个简单应用

让我们通过一个简单的实战演练，综合运用本文介绍的知识，分析一个假设的iOS应用：

场景描述

假设有一个名为"SecureNotes"的应用，它具有以下功能：

• 用户注册和登录
• 创建加密笔记
• 通过Touch ID/Face ID保护内容
• 同步数据到云端

分析步骤

1. 提取应用基本信息：

# 解密应用
python3 dump.py "SecureNotes"# 提取头文件
class-dump -H SecureNotes.decrypted -o SecureNotes_headers

2. 查找关键类：
通过分析头文件，可能发现如下关键类：

• SNLoginViewController：处理登录逻辑
• SNNoteManager：笔记管理
• SNEncryptionService：加密相关功能
• SNCloudSyncManager：云同步功能

3. 动态分析登录流程：
使用Frida监控登录请求：

// 监控登录方法
Interceptor.attach(ObjC.classes.SNLoginViewController["- loginWithUsername:password:completion:"].implementation, {onEnter: function(args) {var username = new ObjC.Object(args[2]).toString();var password = new ObjC.Object(args[3]).toString();console.log("[+] 登录尝试:");console.log("    用户名: " + username);console.log("    密码: " + password);}
});// 监控网络请求
Interceptor.attach(ObjC.classes.NSURLSession["- dataTaskWithRequest:completionHandler:"].implementation, {onEnter: function(args) {var request = new ObjC.Object(args[2]);if (request.URL().absoluteString().toString().includes("login")) {console.log("[+] 登录请求:");console.log("    URL: " + request.URL().absoluteString());var body = request.HTTPBody();if (body) {console.log("    Body: " + new ObjC.Object(body).toString());}}}
});

4. 分析笔记加密机制：
查找加密相关代码，并尝试Hook关键方法：

// 监控加密方法
Interceptor.attach(ObjC.classes.SNEncryptionService["- encryptData:withKey:error:"].implementation, {onEnter: function(args) {this.data = new ObjC.Object(args[2]);this.key = new ObjC.Object(args[3]);console.log("[+] 加密数据:");console.log("    原始数据: " + this.data.toString());console.log("    密钥: " + this.key.toString());},onLeave: function(retval) {var encryptedData = new ObjC.Object(retval);console.log("    加密结果: " + encryptedData);}
});

5. 绕过生物认证：
定位并Hook Touch ID/Face ID验证代码：

// 绕过生物认证
Interceptor.attach(ObjC.classes.LAContext["- evaluatePolicy:localizedReason:reply:"].implementation, {onEnter: function(args) {var reason = new ObjC.Object(args[3]);console.log("[+] 请求生物认证: " + reason);// 获取原始回调块var originalBlock = new ObjC.Block(args[4]);// 替换为我们的回调var replacementBlock = function(success, error) {console.log("    拦截生物认证回调，强制成功");originalBlock(true, null);};args[4] = replacementBlock;}
});

6. 分析数据存储：
检查应用的数据存储方式：

# 查找SQLite数据库
find /var/mobile/Containers/Data/Application/*/SecureNotes -name "*.sqlite"# 查看UserDefaults内容
plutil -p /var/mobile/Containers/Data/Application/*/SecureNotes/Library/Preferences/com.example.securenotes.plist

7. 监控云同步：
观察应用的网络同步行为：

// 监控同步请求
Interceptor.attach(ObjC.classes.SNCloudSyncManager["- syncNotes:"].implementation, {onEnter: function(args) {var notes = new ObjC.Object(args[2]);console.log("[+] 开始同步笔记:");console.log("    笔记数量: " + notes.count());for (var i = 0; i < notes.count(); i++) {var note = notes.objectAtIndex_(i);console.log("    笔记 " + i + ": " + note.title());}}
});

通过上述分析，我们可以了解应用的核心功能和实现方式，为后续的功能修改和数据提取奠定基础。

总结与下一步

在本文中，我们详细介绍了iOS应用开发的基础知识，包括：

• Objective-C和Swift的基础语法和特点
• iOS应用生命周期和页面生命周期
• UI架构和常用组件
• 常用系统框架和API
• 常见应用功能的实现方式
• 保护机制和对策
• 实用技巧和实战分析方法

这些知识为我们后续的逆向工程工作提供了必要的理论基础。记住，逆向工程就像破解谜题，了解开发者如何构建应用，才能更有效地分析和修改它。

在下一篇文章中，我们将正式开始介绍Mach-O文件格式，这是iOS应用的二进制格式，深入理解它对于静态分析至关重要。我们将详细讲解Mach-O的文件结构、Header分析、Load Commands解析以及Segments与Sections的详情，这将是我们迈入静态分析阶段的第一步。

如果你对本文内容有任何疑问，或者想了解特定iOS开发概念的更多细节，欢迎在评论区留言交流！

---

作者：自学不成才
本文为iOS逆向工程专栏的第5篇文章，版权所有，未经许可请勿转载。