10-应用重签名

·  阅读 335
10-应用重签名

前言

本篇文章继续逆向准备的另一个基础知识点 👉 应用重签名。首先介绍相关的概念,然后利用工具脚本自动化2种方式,结合示例执行一次重签名的过程。

一、重签名

上篇文章09-应用签名详细介绍了签名的整个过程,简而言之,签名(signature)是苹果公司的一种安全机制APP只有签名有效才被iOS系统允许执行。

1.1 重签名的概念

重签名,就是在APP原来的基础上,用现有的签名替换原来的签名

1.2 为什么要重签名

  1. 没有源代码的情况下,你已经对某个应用进行了资源修改(比如修改了启动图图标等)。修改完成以后,如果想要让APP可以正常使用,该APP一定要重新签名然后压缩成IPA文件。
  2. 如果你想让你的APP 不经过苹果审核,就可以私自发布HTTPS服务器上,不越狱也能安装,且没有设备台数限制,那么你就要把个人开发者签名,替换成企业开发者In-House证书签名,之后OTA发布就行了。
  3. 一个开发者的应用,需要在另一个开发者帐号下发布到App Store。上传的ipa包,是重签名后的包。
  4. 过期或者失效签名的应用,正常使用需要重新签名

二、重签名工具-CodeSign

codesign安装Xcode就有,Xcode也是用的这个工具完成的签名的流程。签名改动的文件包含👇

  1. 资源文件
  2. macho文件
  3. framework
  4. ...其它

2.1 终端命令

在利用codesign工具重签名之前,我们先来了解下关于签名的一些终端指令👇 1. 查看签名信息

codesign -vv -d xxx.app
复制代码

image.png

2. 列出钥匙串里可签名的证书

security find-identity -v -p codesigning
复制代码

image.png

3. otool分析macho文件信息并导出到指定文件

otool -l xxx > ~/Desktop/machoMessage.txt
复制代码

image.png

其中cryptid0表示没有用到加密算法(也就是脱壳的), 其它则表示加密

也可以直接过滤查看是否砸壳👇

otool -l xxx | grep cryptid
复制代码

4. 强制替换签名

codesign –fs “证书串” 文件名

codesign -fs "Apple Development: xxx@qq.com (9AN9M5S786)" andromeda.framework
复制代码

5. 给文件添加权限

chmod +x 可执行文件
复制代码

6. 查看描述文件

security cms -D -i ../embedded.mobileprovision
复制代码

7. macho签名

codesign -fs “证书串” --no-strict --entitlements=权限文件.plist APP包
复制代码

8. 将输入文件压缩为输出文件

zip –ry 输出文件 输入文件 
复制代码

2.2 codesign命令重签名

这里以砸过壳微信(7.0.8)为例,使用免费开发者账号重签名微信,然后安装到非越狱手机上。(文章末尾会附上微信(7.0.8)ipa包

  1. 解压缩.ipa包,Payload中找到.app,右键显示包内容

需将后缀.ipa改为.zip,才能解压缩👇

image.png

image.png

⚠️由于免费证书没有办法签名PlugInsWatch,直接将这两个文件夹删除👇

image.png

  1. 签名Frameworks

逐个签名Frameworks目录下的framework(使用自己本机的免费证书)👇

image.png

codesign -fs "Apple Development: xxx@qq.com (9AN9M5S786)" andromeda.framework
复制代码

image.png

  1. 确保要签名的appmacho文件可执行权限
➜  WeChat.app ls -l WeChat
复制代码

image.png

  1. 获取免费账号对应的描述文件

创建空工程使用免费账号&真机编译获运行取描述文件

image.png

在【设置】-【通用】-【描述文件】信任该描述文件。

接着将获取到的描述文件拷贝到 WeChat app包中。

  1. 修改bundleId

找到WeChatinfo.plist修改BundleId为我们生成描述文件的BundleId👇

image.png

  1. 获取描述文件的权限
security cms -D -i embedded.mobileprovision
复制代码

找到对应的权限Entitlements👇

<dict>
																			
				<key>application-identifier</key>
		<string>J7C267M8SE.com.xl.-XFAlgorithmPrj.testWeChat</string>
				
				<key>keychain-access-groups</key>
		<array>
				<string>J7C267M8SE.*</string>
		</array>
				
				<key>get-task-allow</key>
		<true/>
				
				<key>com.apple.developer.team-identifier</key>
		<string>J7C267M8SE</string>
														
	</dict>
复制代码

接着创建一个Entitlements.plist文件,将权限内容粘贴进去👇

image.png

image.png

image.png

权限文件(Entitlements.plist)拷贝到和PayloadWeChat.app同一目录👇

image.png

  1. 签名Wechat
codesign -fs "Apple Development: xxx@qq.com (9AN9M5S786)" --no-strict --entitlements=entitlements.plist WeChat.app
复制代码

image.png

再查看WeChat.app的签名信息,就已经替换了👇

image.png

这个时候通过XcodeWeChat.app包安装到手机,应该能正常安装了👇

image.png

image.png

然后通过debug->attach to process->WeChat就可以调试微信了👇

image.png

image.png

⚠️注意:这个时候不要用自己的常用账号登录重签名的微信(有可能被封号)。

小结

以上重签名的步骤👇

  1. 删除插件以及带有插件的.app包
    • PlugInsWatch文件夹
  2. Frameworks文件夹中的库重签名
    • codesign -fs "Apple Development: xxx@mail.com (xxxxxxxxxx)" andromeda.framework
  3. 对可执行文件+X(可执行)权限
    • chmod +x WeChat
  4. 添加描述文件
    • 创建空壳工程,真机运行,将描述文件安装到手机
    • 系统设置中信任该描述文件
  5. 替换WeChat.app包中的info.plist的 BundleId(BundleId要和描述文件中的一致)
  6. 通过授权文件(entitlments)重签名.app包
    • security cms -D -i embedded.mobileprovision 获取描述文件的权限
    • 新建Entitlements.plist文件,将权限dict部分粘贴进来
    • 用权限文件签名App包:codesign -fs "Apple Development: xxx@mail.com (xxxxxxxxxx)" --no-strict --entitlements=entitlements.plist WeChat.app
  7. XCode安装WeChat.app包,debug->attach to process->WeChat调试微信。

大功告成!🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺

三、利用Xcode重签名调试三方应用

以上是通过attach to process的方式调试微信的,那能不能像我们平时开发一样,直接debug联调呢?当然能!请看下面步骤👇

  1. 新建和微信同名工程WeChat

image.png

  1. 真机运行该空工程
  2. 解压微信的.ipa包,并且删除WatchPlugIns文件夹
  3. 重签名Frameworks
  4. 修改BundleId
  5. 将修改后的WeChat.app替换空工程的ProductsWeChat.app

image.png

  1. 运行

这个时候Products工程中有WeChat.app,Xcode认为有就直接使用这个了。这个时候就可以调试了(不需要attach

image.png

注意:⚠️在某些系统下会出现启动重签名微信黑屏,建议通过脚本重签名。

四、SHELL脚本

shell是一种特殊的交互式工具,它为用户提供了启动程序管理文件系统中文件以及运行在系统上的进程的途径。Shell一般是指命令行工具。它允许你输入文本命令,然后解释命令,并在内核中执行。 Shell脚本,也就是用各类命令预先放入到一个文本文件中,方便一次性执行的一个脚本文件。 最常用的相关指令👇

4.1 脚本切换

chsh -s /bin/zsh
复制代码

4.2 执行脚本的几种方式

首先新建一个shell脚本文件shell.sh,里面输入终端指令👇

可以先建一个.txt文档,再把后缀名改为.sh

mkdir shell1
cd shell1
touch test.txt
复制代码

image.png

上图中可知👇

  1. bash FileNamezsh FileName
    • 作用:重新建立一个子shell(进程),在子shell中执行脚本里面的句子。当前环境没有变化
  2. source FileName
    • 作用:在当前shell环境中读取并执行FileName中的命令
    • 特点:命令可以强行让一个脚本去立即影响当前的环境(一般用于加载配置文件)。

命令会强制执行脚本中的全部命令,而忽略文件的权限。 3. ./FileName * 作用:读取并执行文件中的命令。但有一个前提,脚本文件需要有可执行权限

4.3 MAC中shell种类

cd /private/etc
cat shells
复制代码

image.png

  • bash 👉 macOS默认shell(老系统),新系统切换为zsh了。
  • csh 👉 被tcsh替换了
  • dash 👉 比bash小很多,效率高。
  • ksh 👉 兼容bash
  • sh 👉 已经被bash替换了
  • tcsh 👉 整合了csh提供了更多功能
  • zsh 👉 替换了bash

五、用户组&文本 权限

刚才我们利用chmod +x修改了shell.sh的权限,那么我们来看看权限具体是个什么概念。

UnixLinux都是多用户、多任务的系统,所以这样的系统里面就拥有了用户的概念。那么同样文件的权限也就有相应的所属用户所属组。 与windows不同的是,unixlinuxmacOS都是多用户的系统👇

image.png

5.1 Mac文件属性

Mac系统中可以通过ls -l指令查看当前文件目录下所有文件属性,例如👇

image.png

最左侧红框就是【权限】,往右依次是【链接】【所有者】【所属组】【文件大小】【最后修改日期】【文件名称】

5.2 权限

权限有10位👇

image.png

上图中👇

  • 第1位文件类型d/-

    • d 👉 目录(directory)
    • - 👉 文件
  • 后面9位,文件权限:

    • [r] 👉 read,读
    • [w] 👉 write,写
    • [x] 👉 execute,执行

⚠️这三个权限的位置不会变,依次是rwx。出现-对应的位置代表没有此权限

  • 一个文件的完整权限分为三组:
    • 第一组 👉 文件所有者权限
    • 第二组 👉 这一组其它用户权限
    • 第三组 👉 非本组用户的权限

5.3 chmod

  1. 文件权限的改变使用chmod命令。
  2. 设置方法有两种 👉 数字类型改变 和 符号类型改变。
  3. 文件权限分👇
    • 三种身份 👉 [user][group][other]
    • 三个权限 👉 [read] [write] [execute]
5.3.1 数字类型

各个权限数字对照:r:4(0100) w:2(0010) x:1(0001),这么设计的好处是可以按位或。与我们开发中位移枚举同理。

示例 如果一个文件权限为[!–rwxr-xr-x],则对应👇 User 👉 4+2+1 = 7 Group 👉 4+0+1 = 5 Other 👉 4+0+1 = 5 那么命令则为 👉 chmod 755 文件名

数字与权限的对应表👇

image.png

其中0代表没有任何权限

5.3.2 符号类型

chmod [u(User)、g(Group)、o(Other)、a(All)] [+(加入)、-(除去)、=(设置)] [r、w、x] 文件名称

例如👇

chmod a+x test.txt
复制代码

默认是all

六、shell脚本自动重签名

脚本实现逻辑和codesign逻辑相同。完整脚本如下👇

#临时解压目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹,我们提前在工程目录下新建一个APP文件夹,里面放ipa包(砸壳后的)
ASSETS_PATH="${SRCROOT}/APP"
#目标ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"


#清空&创建Temp文件夹
rm -rf TEMP_PATH
mkdir -p TEMP_PATH


# 1. 解压IPA到Temp目录下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解压后的临时的APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")

#2. 将解压出来的.app拷贝进入工程下
#2.1拿到当前工程目标Target路径
# BUILT_PRODUCTS_DIR 工程生成的APP包的路径
# TARGET_NAME target名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "app path:$TARGET_APP_PATH"

#2.2删除工程本身的Target,将解压的Target拷贝到工程本身的路径
rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH"


# 3. 删除extension和WatchAPP,个人证书没法签名Extention
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"



# 4. 更新info.plist文件 CFBundleIdentifier
#  设置:"Set : KEY Value" "目标文件路径",PlistBuddy是苹果自带的。
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

#删除UISupportedDevices设备相关配置(越狱手机dump ipa包需要删除相关配置)
/usr/libexec/PlistBuddy -c "Delete :UISupportedDevices" "$TARGET_APP_PATH/Info.plist"

# 5. 给MachO文件上执行权限
# 拿到MachO文件的名称
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
#上可执行权限
chmod +x "$TARGET_APP_PATH/$APP_BINARY"



# 6. 重签名第三方 FrameWorks
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do
#签名 --force --sign 就是-fs
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi
复制代码
使用方式
  1. 创建空工程(例如shellTestWeChat),编译运行空工程至真机上(信任证书)。
  2. appResign.sh脚本拷贝到工程根目录(要有可执行权限)。
  3. 工程根目录创建APP文件夹,并将微信.ipa拷贝到APP文件夹
  4. 配置脚本

image.png

  1. 运行工程

image.png

补充: 如何调试一个任意app?

1. 获取对应ipa包

使用越狱手机dump ipa包👇

下载旧版本ipa包可以通过抓取iTunes的下载链接改版本号(后缀是app的版本,直接改版本)

iTunes

2. 砸壳

砸壳后由于是dump越狱手机上的正版包,所以需要将info.plist中支持的设备信息(UISupportedDevices删除。当然可以写在脚本中👇

#删除UISupportedDevices设备相关配置(越狱手机dump ipa包需要删除相关配置)
/usr/libexec/PlistBuddy -c "Delete :UISupportedDevices" "$TARGET_APP_PATH/Info.plist"
复制代码

删除完毕保存重新打包ipa👇

zip -ry WeChat1.ipa Payload/
复制代码

总结

应用重签名可以说是逆向第一步准备工作,希望大家能够跟着本篇文章的顺序,实际操作一遍,都说实践是检验真理的唯一标准,这点很重要!

  • codesign重签名
    • 删除不能签名的文件:PlugInsWatch(包含了Extension)
    • 重签名Frameworks里面的库
    • 给MachO添加可执行权限
    • 修改Info.plist文件(BundleID
    • 拷贝描述文件(该描述文件要在iOS真机中信任过)
    • 利用描述文件中的权限文件签名整个App包
  • Xcode重签名
    • 删除不能签名的文件:PlugInsWatch(包含了Extension)
    • 重签名Frameworks里面的库
    • 给MachO添加可执行权限
    • 修改Info.plist文件(BundleID
    • 拷贝描述文件(该描述文件要在iOS真机中信任过)
    • 将App包拷贝进入Xcode工程目录中(剩下的交给Xcode
  • Shell脚本
    • 切换shell
    • $chsh -s shell路径
    • 现在macOS中shell默认zsh(早期bash
    • 配置文件
      • zsh 👉 .zshrc
      • bash 👉 .bash_profile
    • 文件权限&用户组
      • 每个文件都有所属的用户、组、其它
      • 文件权限
        • 归属 👉 用户、组、其它
        • 权限 👉 写、读、执行
      • 修改权限chmod
        • 数字:r:4 w:2 x:1
        • chmod 751 文件名
          • user 👉 4+2+1 = 7
          • group 👉 4+0+1 = 5
          • other 👉 0+0+1 = 1
        • 字符
          • 归属 👉 u(用户) g(组) o(其它) a(所有)
          • +(添加)-(去掉) =(设置)
          • 默认a 👉 chmod + x
分类:
iOS
标签:
分类:
iOS
标签: