一、应用签名原理
(一)代码签名
- 代码签名是对可执行文件或脚本进行数字签名.用来确认软件在签名后未被修改或损坏的措施。和数字签名原理一样,只不过签名的数据是代码而已.
- 1、简单的代码签名
- 1.苹果官方生成非对称加密的一对公私钥,在iOS的系统中内置一个公钥,私钥由苹果后台保存;
- 2.开发者上传APP到AppStore时,苹果后台用私钥对APP数据进行签名(即先进行Hash得到hash值,再用私钥加密hash值得到“RSAHash”);
- 3.iOS系统下载这个APP后,用公钥验证这个签名,若签名正确,这个APP肯定是由苹果后台认证的,并且没有被修改过,也就达到了苹果的需求:保证安装的每一个APP都是经过苹果官方允许的。(公钥解密“RSAHash”得到hash,在对应用包进行相同算法的Hash得到hash1,验证两次Hash的值是否相同);
- 2、苹果实际需求
- 1.安装包不需要上传到App Store,可以直接安装到手机上.
- 开发APP时直接真机调试安装
- 企业内部分发的渠道,企业证书签名的APP也是需要顺利安装的
- 2.苹果为了保证系统的安全性,又必须对安装的APP有绝对的控制权
- 经过苹果允许才可以安装
- 不能被滥用导致非开发APP也能被安装
- 1.安装包不需要上传到App Store,可以直接安装到手机上.
- 1、简单的代码签名
(二)双层代码签名
- 为了实现苹果验证应用的一些需求,iOS签名的复杂度也就开始增加了,苹果给出的方案是双层签名.
- iOS的双层代码签名流程这里简单梳理一下,这也不是最终的iOS签名原理,iOS的最终签名在这个基础上还要稍微加点东西。首先这里有两个角色,一个是iOS系统,还有一个就是我们的Mac系统,因为iOS的APP开发环境在Mac系统下,所以这个依赖关系成为了苹果双层签名的基础;
- 1.苹果自己有固定的一对公私钥,跟之前AppStore原理一样,私钥在苹果后台,公钥在每个iOS系统中.这里称为公钥A,私钥A;在Mac系统中生成非对称加密算法的一对公钥\私钥(你的Xcode帮你代办了).这里称为公钥M和私钥M; A=Apple M = Mac
- 2.把公钥M以及一些你开发者的信息,传到苹果后台(这个就是CSR文件);
- 3.用苹果后台里的私钥A去签名公钥M。得到一份数据包含了公钥M以及其签名,把这份数据称为证书。
- 4.在开发时,编译完一个APP后,用本地的私钥M(今后你导出的P12)对这个APP 进行签名,同时把第三步得到的证书一起打包进 APP 里,安装到手机上;
- 5.在安装时,iOS系统取得证书;
- 6.通过系统内置的公钥A解签,去验证证书的数字签名是否正确;
- 7.验证证书后确保公钥M是苹果认证过的;
- 8.再用公钥M去验证APP的签名,这里就间接验证了这个APP的安装行为是否经过苹果官方允许。(这里只验证安装行为,不验证APP是否被改动,因为开发阶段 APP 内容总是不断变化的,苹果不需要管。)
(三)描述文件
- 描述文件(Provisioning profile)一般包括三样东西:证书、AppID、设备。当我们在真机运行或者打包一个项目的时候,证书用来证明我们程序的安全性和合法性。
- 苹果为了解决应用滥用的问题,所以苹果又加了两个限制.
- 在苹果后台注册过的设备才可以安装.
- 制签名只能针对某一个具体的APP.
- 并且苹果还想控制App里面的iCloud/PUSH/后台运行/调试器附加这些权限,所以苹果把这些权限开关统一称为Entitlements(授权文件).并将这个文件放在了一个叫做Provisioning Profile(描述文件)文件中.
- 描述文件是在AppleDevelop网站创建的(在Xcode中填上AppleID它会代办创建),Xcode运行时会打包进入APP内. 所以我们使用CSR申请证书时,我们还要申请一个东西!! 就是描述文件!
- 在开发时,编译完一个APP后,用本地的私钥M对这个APP进行签名,同时把从苹果服务器得到的 Provisioning Profile文件打包进APP里,文件名为embedded.mobileprovision,把 APP 安装到手机上.最后系统进行验证。
二、应用重签名
(一)codesign手动重签
- Xocde提供了签名工具,codesign,我们通过几个命令就可以完成重签名。
- 重签名步骤:
- 前期准备:
- $codesign -vv -d WeChat.app 查看应用签名信息
- $security find-identity -v -p codesigning 列出钥匙串里可签名的证书
- $otool-l "文件名" | grep cry 查看machO文件是否加密(cryptid 0/1)
- 1.删除插件和带有插件的.app包(比如Watch,PlugIns)
- 2.对Frameworks里面的库进行重签名
- $Codesign –fs “证书串” 文件名 强制替换签名
- 3.给可执行文件 +x(可执行)权限
- $Chmod +x 可执行文件 给文件添加权限
- 4.添加描述文件(新建工程,真机编译得到)
- $security cms -D -i ../embedded.mobileprovision 查看描述文件
- 5.替换BundleID,info.plist 文件内的BundleID修改
- 6.通过授权文件(Entilements)重签.app包
- $codesign -fs “证书串” --no-strict --entitlements=权限文件.plist APP包
- $Zip –ry 输出文件 输入文件 将输入文件压缩为输出文件
- 7.cmd + shift + 2 直接安装.app包,然后Attach to Process 可以将正在运行的应用附加到Xcode上,动态调试;
- 前期准备:
(二)利用 Xode 重签名
- 重签名步骤:
- 1.新建同名工程,编译出.app包,并替换为需要重签的.app包;
- 2.删除插件和带有插件的.app包(比如Watch,PlugIns)
- 3.对Frameworks里面的库进行重签名
- $Codesign –fs “证书串” 文件名 强制替换签名
- 4.运行同名工程,重签成功;
- 注:1.非同名工程不会运行重签包内容,machO文件不能随便修改,包括文件名;
- 2.断点调试时,image list 可以查看当前镜像列表;
- 2.断点调试时,image list 可以查看当前镜像列表;
(三)SHELL脚本
- shell是一种特殊的交互式工具,它为用户提供了启动程序、管理文件系统中文件以及运行在系统上的进程的途径。Shell一般是指命令行工具。它允许你输入文本命令,然后解释命令,并在内核中执行。
- Shell脚本,也就是用各类命令预先放入到一个文本文件中,方便一次性执行的一个脚本文件。
脚本执行相关文件
-
$source FileName
- 意思:在当前shell环境中读取并执行FileName中的命令
- 特点:
- 命令可以强行让一个脚本去立即影响当前的环境(一般用于加载配置文件)。
- 命令会强制执行脚本中的全部命令,而忽略文件的权限。
-
$bash/zsh FileName
- 意思:重新建立一个子shell,在子shell中执行脚本里面的句子。
-
$./FileName
- 意思:读取并执行文件中的命令。但有一个前提,脚本文件需要有可执行权限。
(四)用户组&文件权限
- Unix和Linux都是多用户、多任务的系统,所以这样的系统里面就拥有了用户、组的概念。那么同样文件的权限也就有相应的所属用户和所属组了。
1、Mac 文件属性
2、文件类型与权限(permission)
- 文件类型:(常见)
- [d] 目录(文件夹)(directory)
- [-] 文件
- 文件权限:
- [r]:read,读 [w]:write,写 [x]:execute,执行。
- 注意:这三个权限的位置不会变,依次是rwx,出现减号[-]在对应位置,代表没有此权限。
- 一个文件的完整权限,总共分为三组:
- 第一组:文件所有者的权限
- 第二组:这一组其他用户的权限
- 第三组:非本组用户的权限
3、改变权限:chmod
- 文件权限的改变使用chmod命令。设置方法有两种:数字类型改变和符号类型改变。
- 由于文件权限分为三种身份:[user][group][other]
- 三个权限:[read] [write] [execute]
- 1.数字类型:
- 各个权限数字对照:r:4 w:2 x:1
- 如果一个文件权限为 [–rwxr-xr-x ]
- User : 4+2+1 = 7
- Group: 4+0+1 = 5
- Other: 4+0+1 = 5
- 命令:chmod 755 文件名
- 各种身份对应权限计算
- 2.符号类型:chmod [u、g、o、a][+(加入)/-(除去)/=(设置)][r、w、x] 文件名称
- eg. chmod a-w README.md
(五)shell脚本自动重签名
1、Xcode 添加执行脚本的入口
2、shell文件准备
# ${SRCROOT} 它是工程文件所在的目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹,我们提前在工程目录下新建一个APP文件夹,里面放ipa包
ASSETS_PATH="${SRCROOT}/APP"
#目标ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"
#清空Temp文件夹
rm -rf "${SRCROOT}/Temp"
mkdir -p "${SRCROOT}/Temp"
#----------------------------------------
# 1. 解压IPA到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解压的临时的APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
# echo "路径是:$TEMP_APP_PATH"
#----------------------------------------
# 2. 将解压出来的.app拷贝进入工程下
# BUILT_PRODUCTS_DIR 工程生成的APP包的路径
# TARGET_NAME target名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "app路径:$TARGET_APP_PATH"
rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH"
#----------------------------------------
# 3. 删除extension和WatchAPP.个人证书没法签名Extention
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"
#----------------------------------------
# 4. 更新info.plist文件 CFBundleIdentifier
# 设置:"Set : KEY Value" "目标文件路径"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"
#----------------------------------------
# 5. 给MachO文件上执行权限
# 拿到MachO文件的路径WeChat
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
#上可执行权限
chmod +x "$TARGET_APP_PATH/$APP_BINARY"
#----------------------------------------
# 6. 重签名第三方 FrameWorks
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do
#签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi
#注入
yololib "$TARGET_APP_PATH/$APP_BINARY" "Frameworks/HankHook.framework/HankHook"
