预备条件

本文假设你已经学会了在越狱手机上使用tweak给app添加自制的动态库.dylib
如果不会请查看下面这个目录,里面有我写的关于tweak的文章
tweak教程目录

导出越狱手机上的app包和自己注入的动态库

usb链接手机,登录root账户
使用下面工具查看要读取的app包目录

MJAppTools -l

例如:

# 04 【testCrackPwd】 <tdw.testCrackPwd>
  /private/var/containers/Bundle/Application/9692FA06-4755-406C-A3F0-66651CA1BC05/testCrackPwd.app

导出自己写的tweak动态库文件

使用iFunBox到Device\Library\MobileSubstrate\DynamicLibraries目录下查找你写的.dylib扩展名的tweak动态库文件

例如我这里的是testCrack.dylib

查看依赖库

先进入app包所在目录

执行命令查看程序依赖的动态库名字

otool -L 可执行程序名

例如:得到5个动态库

otool -L testCrackPwd
testCrackPwd:
	/System/Library/Frameworks/Foundation.framework/Foundation (compatibility version 300.0.0, current version 1858.112.0)
	/usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
	/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1311.100.3)
	/System/Library/Frameworks/CoreFoundation.framework/CoreFoundation (compatibility version 150.0.0, current version 1858.112.0)
	/System/Library/Frameworks/UIKit.framework/UIKit (compatibility version 1.0.0, current version 5522.2.101)

注意L要大写

用machoview查看

打开 Load Commands里面的 LC_LOAD_DYLIB开头的都是动态库

然后Load Commands段落的结尾添加LC_LOAD_DYLIB(自己的动态库),就可以注入自己的动态库了.一定要在结尾,否则被插入后面的位置就往后移动了.

安装insert_dylib

地址
https://github.com/Tyilo/insert_dylib
下载好,以后选择release编译,然后把product文件夹下的insert_dylib 可执行文件,复制到 usr/local/bin 目录下,这样就可以在任意目录下运行了

把动态库插入到app里

• 先把动态库dylib文件放到app包里,跟可执行文件放在同一目录,例如下面把testCrack.dylib 和可执行文件testCrackPwd放在同一目录

insert_dylib @executable_path/动态库名 app包名 --all-yes

executable_path 意思是动态库就在可执行文件同一目录 --all-yes是自动替你输入2次y和回车
例如:

insert_dylib @executable_path/tweak_crack.dylib testCrackPwd --all-yes

这种结尾没有 --weak的app加载找不到动态库会闪退,添加 --weak的不会闪退
例如:

insert_dylib @executable_path/动态库名 app包名 --all-yes --weak

insert_dylib @executable_path/tweak_crack.dylib testCrackPwd --all-yes --weak

之后在app包里会多出一个文件以_patched结尾

把它拖拽到machoview里查看Load Commands段结尾,发现已经多了我们添加的动态库
LC_LOAD_DYLIB开头的,如下图:

–weak 加载动态库找不到不闪退的是这样 LC_LOAD_WEAK_DYLIB开头的,如下图

optool 代替insert_dylib 更方便

安装动态库

optool install -c load -p "@executable_path/tweak_crack.dylib" -t testCrackPwd

删除动态库

optool uninstall -p "@loader_path/libsubstrate.dylib" -t tweak_crack.dylib

删掉 libsubstitute.0.dylib

optool uninstall -p /usr/lib/libsubstitute.0.dylib -t libsubstrate.dylib

添加/usr/lib/libstdc++.6.dylib

optool install -c load -p "/usr/lib/libstdc++.6.dylib" -t libsubstrate.dylib

查看自己写的动态库都依赖哪些库

otool -L 自己的动态库名

例如:testCrack.dylib

otool -L testCrack.dylib

显示结果:

testCrack.dylib (architecture armv7):
	/Library/MobileSubstrate/DynamicLibraries/testCrack.dylib (compatibility version 0.0.0, current version 0.0.0)
	/usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
	/System/Library/Frameworks/Foundation.framework/Foundation (compatibility version 300.0.0, current version 1858.112.0)
	/System/Library/Frameworks/CoreFoundation.framework/CoreFoundation (compatibility version 150.0.0, current version 1858.112.0)
	/System/Library/Frameworks/UIKit.framework/UIKit (compatibility version 1.0.0, current version 5522.2.101)
	/System/Library/Frameworks/QuartzCore.framework/QuartzCore (compatibility version 1.2.0, current version 1.11.0)
	/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate (compatibility version 0.0.0, current version 0.0.0)
	/usr/lib/libc++.1.dylib (compatibility version 1.0.0, current version 1300.23.0)
	/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1311.100.3)
testCrack.dylib (architecture arm64):
	/Library/MobileSubstrate/DynamicLibraries/testCrack.dylib (compatibility version 0.0.0, current version 0.0.0)
	/usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
	/System/Library/Frameworks/Foundation.framework/Foundation (compatibility version 300.0.0, current version 1858.112.0)
	/System/Library/Frameworks/CoreFoundation.framework/CoreFoundation (compatibility version 150.0.0, current version 1858.112.0)
	/System/Library/Frameworks/UIKit.framework/UIKit (compatibility version 1.0.0, current version 5522.2.101)
	/System/Library/Frameworks/QuartzCore.framework/QuartzCore (compatibility version 1.2.0, current version 1.11.0)
	/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate (compatibility version 0.0.0, current version 0.0.0)
	/usr/lib/libc++.1.dylib (compatibility version 1.0.0, current version 1300.23.0)
	/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1311.100.3)
testCrack.dylib (architecture arm64e):
	/Library/MobileSubstrate/DynamicLibraries/testCrack.dylib (compatibility version 0.0.0, current version 0.0.0)
	/usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
	/System/Library/Frameworks/Foundation.framework/Foundation (compatibility version 300.0.0, current version 1858.112.0)
	/System/Library/Frameworks/CoreFoundation.framework/CoreFoundation (compatibility version 150.0.0, current version 1858.112.0)
	/System/Library/Frameworks/UIKit.framework/UIKit (compatibility version 1.0.0, current version 5522.2.101)
	/System/Library/Frameworks/QuartzCore.framework/QuartzCore (compatibility version 1.2.0, current version 1.11.0)
	/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate (compatibility version 0.0.0, current version 0.0.0)
	/usr/lib/libc++.1.dylib (compatibility version 1.0.0, current version 1300.23.0)
	/usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1311.100.3)

这里出现了3次 /Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate (compatibility version 0.0.0, current version 0.0.0)
Cydia是越狱的动态库,其他的都是系统的动态库.

或者用machoview打开 testCrack.dylib
也会找到段落LC_LOAD_DYLIB(CydiaSubstrate)如下图:

把这个越狱手机的动态库,从越狱手机上用iFunbox复制到app包里,如下图,虽然在iFunbox显示0b,复制到mac上就会显示真实大小150k


把app包里的_patched结尾的可执行文件覆盖原来的可执行文件
如下图:

testCrackPwd_patched改成testCrackPwd

修改越狱动态库的加载路径

/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate

看上面CydiaSubstrate的路径,是越狱手机的路径,现在要把这个路径修改成跟自己的动态库动态库相同路径,使用下面指令,@loader_path是指被修改的动态库的路径是加载路径,表示自己的动态库和被修改的动态库是相同路径

install_name_tool -change  旧的动态库路径 @loader_path/越狱动态库名 自己的动态库名

例如上面的例子完整指令如下:

install_name_tool -change  /Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate @loader_path/libsubstrate.dylib tweak_crack.dylib

运行结果显示会让 testCrack.dylib的armv7 arm64 arm64e 的签名无效

/Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/install_name_tool: warning: changes being made to the file will invalidate the code signature in: testCrack.dylib (for architecture armv7)
/Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/install_name_tool: warning: changes being made to the file will invalidate the code signature in: testCrack.dylib (for architecture arm64)
/Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/install_name_tool: warning: changes being made to the file will invalidate the code signature in: testCrack.dylib (for architecture arm64e)

使用machoview查看自己的动态库 testCrack.dylib,里面依赖的越狱动态库cydiaSubstrate里面的路径已经被修改了

给自己的动态库重签名

因为刚才我们修改了自己动态库里面加载越狱动态库的路径所以,文件签名被破坏了,使用指令重签名,这个签名不能使用ios App Signer工具,ios App Signer只会对最外层的app包重签名.
获取证书id

security find-identity -v -p codesigning

得到结果,下面其中一行是我要的 前面的数字 是我要的id :
07CA4B77ED192A9294DB84EBD74BC5159793DF69

  5) 07CA4B77ED192A9294DB84EBD74BC5159793DF69 "Apple Development: guangyu shi (6NRAA7665L)"

使用指令重签名动态库

codesign -fs 证书id 自己的动态库名
codesign -fs 证书id 越狱动态库名 

例如下面:

codesign -fs 07CA4B77ED192A9294DB84EBD74BC5159793DF69 tweak_crack.dylib
codesign -fs 07CA4B77ED192A9294DB84EBD74BC5159793DF69 libsubstrate.dylib

对外面app包重签名

使用ios app signer重签名,下面是我写的关于这个工具的教程
ios重签名工具ios-app-signer的使用

生成新的ipa包

把ipa包安装到手机上

用爱思助手或者其他工具,安装ipa包到手机上,发现这个app会运行自己写的动态库.

一、Android 应用安装

---

APK 是 Android 应用的安装文件 , 现在也有 AAB 格式的 , AAB 安装包也可以导出 APK 安装文件 ;

应用安装时 , 会将 APK 安装包拷贝到 /data/app/packageName/ 目录下的 base.apk ,

如 : 某应用会将 apk 文件拷贝到 /data/app/com.qidian.QDReader-GTqLCxuMlq6CJtnOVz1LgQ==/base.apk 位置 ;

APK 安装目录参考 【Android 逆向】应用安装目录 ( Android 应用的默认安装目录 | 查找 Android 应用的安装目录 | 查询当前正在运行的应用包名 | 根据包名查询应用安装路径 ) 博客 ;

/data/data/package.name/lib 是应用自带的 so 动态库 , 在应用安装时安装的文件 ;

/data/data/com.qidian.QDReader/lib文件是软链接文件 , 真实的文件地址是 /data/app/com.qidian.QDReader-GTqLCxuMlq6CJtnOVz1LgQ==/lib/arm 地址 , 这是应用的安装目录 ;

lrwxrwxrwx  1 root    root            66 2021-10-26 10:10 lib -> /data/app/com.qidian.QDReader-GTqLCxuMlq6CJtnOVz1LgQ==/lib/arm

参考 【Android 逆向】应用数据目录 ( files 数据目录 | lib 应用自带 so 动态库目录 | databases sqlite3 数据库目录 | cache 缓存目录 ) 博客 ;

二、APK 文件格式

---

Android 的 APK 安装包使用的数据格式就是 zip 格式 , 直接使用 zip 工具解压即可 , 也可以将文件命后缀改为 .zip 后解压 ;

Zip 文件格式中 , 每个文件都是由 文件头 + 文件数据 + 数据描述符 构成 , 如果有多个文件 , 则上面的 文件头 + 文件数据 + 数据描述符 数据 重复存放 即可 ;

Zip 文件中 还有一个 核心目录 , 以及 目录结束标识 ;

在 010 Editor 工具中 , 打开 apk 文件 , 然后选择 " 菜单栏 / 模板 / Zip 模板 " , 即可以 Zip 格式解析该 APK 文件 ;

50 4B 03 04 开始的文件 , 就是 Zip 文件 , 这是 Zip 文件的标识 ;

三、使用 Python 提取 APK 文件

---

使用 Python 提取 APK 文件完整代码 :

import os
# 如果没有使用 pip install zipfile 安装
import zipfile


# 提取 APK 中的文件
def extract_apk(apk_path: str):
    # 创建 ZipFile 实例对象
    zip_file = zipfile.ZipFile(apk_path)
    # 解压目录 , 删除 "app.apk" 的后 4 个字符 ".apk" , 即 "app"
    out = apk_path[:-4]
    # 创建目录
    os.mkdir(out)
    # 提取 zip 文件
    zip_file.extractall(out)
    # 关闭 zip 文件
    zip_file.close()


def main():
    extract_apk('app.apk')


if __name__ == '__main__':
    main()

执行后会将 app.apk 文件解压到 app 目录中 ;

一、APK 文件结构

---

Android 应用的安装包时 以 " .apk " 为后缀的 APK 文件 ;

APK 是 " Android Package " 的缩写 ;

将打包好的 APK 文件安装到 Android 手机中 , 就是可运行的应用程序 ;

APK 文件结构 :

① assets : 资源文件 , 该目录下的资源文件不经过 aapt 工具编译 ;

② lib : 存放 动态库 “.so” 文件 , NDK 中 C / C++ 调用的函数库 ;

③ META-INF : 该目录中存放 apk 的签名文件 ;

• CERT.SF : 摘要加密 , 使用私钥 对 摘要明文 加密后的 密文信息 , 是加密文件 , 如果要解密该文件 , 必须使用与私钥配对的公钥进行解密 ;
• CERT.RSA : 文件是签名证书文件 , 存放的是公钥和加密算法的描述 ;
• MANIFEST.MF : 文件摘要 , 存放程序清单文件 , 包含了 APK 安装包 中所有文件的 摘要明文 ;
• 剩余文件 : 都是可忽略的资源文件 ;

④ res : 资源文件 , 经过了 aapt 工具编译后的文件 ; 这个目录下的文件不再介绍 , 太熟悉了 ;

⑤ AndroidManifest.xml : 清单文件 , 声明了 Application , 组件 , 权限 , 元数据 等信息 ;

⑥ classes.dex : Dalvik 字节码文件 , Android 中的可执行文件 , 可以在 Android 系统中运行 ;

⑦ resources.arsc : 资源文件映射表 , 使用 aapt 编译 res 目录下的资源文件形成的文件 , 用于根据 id 查找资源路径 ;

二、APK 打包流程

---

APK 打包流程 :

① 使用 AAPT 工具打包资源文件 , 生成 R.java , resources.ap 文件 ;

② 使用 AIDL tool 工具 , 处理 AIDL 文件 , 生成对应的 Java 文件 ;

③ 使用 javac 工具编译 Java 源码为 class 字节码文件 ;

④ 使用 dx 工具将 class 字节码文件打包成 dex 字节码文件 , 这是 Dalvik 虚拟机字节码文件 ;

⑤ 使用 apkbuilder 工具生成未签名的 apk 文件 ;

⑥ 使用 jarsigner 工具对 apk 文件进行签名 , 生成签名后的文件 ;

⑦ 使用 zipalign 工具对签名后的 apk 文件进行对齐操作 ;

三、APK 安装流程

---

APK $4$ 种安装方式 :

① 系统程序安装 ;

② 使用应用市场安装 ;

③ 手机自带安装 ;

④ 使用 ADB 调试工具安装 ;

APK 安装流程 :

① 将 APK 安装包复制到 /data/app 目录下解压 , 扫描安装包 ;

② 将 dex 文件保存 /data/dalvik-cache 目录中 ;

③ 在 /data/data/包名 下创建对应 apk 包名的应用数据目录 ;

系统自带程序在 /system/app 目录下 , 获得 adb root 权限后才能删除 ;

应用卸载 , 就是将 /data/app/ , /data/dalvik-cache/ , /data/data/ 等目录下的相关文件删除 ;

四、安卓虚拟机

---

虚拟机是一个可以运行 class , odex , oat 可执行文件的运行环境 ;

常见的虚拟机有 Java 虚拟机 , Dalvik 虚拟机 , ART 虚拟机 ;

Java 虚拟机 :
运行的 class 字节码文件 , 运行程序时解码 class 文件中的内容 ;
基于栈架构 , 需要频繁在栈上读写数据 , 造成较多的指令分派 , 更多的内存访问次数 , 比较耗费 CPU 时间 ;

编译时 : Java 源码 , 使用 javac 编译器 , 编译成 class 字节码文件 ;
运行时 : 类加载器通过 Java 类库验证字节码 , 验证通过会后进入 Java 虚拟机 , 进入 Java 解释器 或 即时编译器 , 然后进入运行时系统 , 之后进入操作系统 , 然后调用硬件 ;

Dalvik 虚拟机 :
基于 JIT 机制 ( 即时编译技术 ) , Android $5.0$ 以下使用的虚拟机是 Dalvik 虚拟机 , 该虚拟机的可执行文件是 dex 文件 , 该文件比 class 字节码文件更小 ;
JIT ( Just In Time ) 即时编译技术 , 对应 Dalvik 虚拟机 ;
基于寄存器架构 , 通过寄存器间接访问数据 , 该方式比基于栈架构速度更快 ;

ART 虚拟机 :
Android $5.0$ 以上使用的虚拟机是 ART 虚拟机 ;
AOT ( Ahhead Of Time ) 预编译技术 , 对应 ART 虚拟机 ;

Java 虚拟机 / Dalvik 虚拟机 / ART 虚拟机 都向上层提供了 $3$ 个接口 ,
JNI_GetDefaultJavaVMInitArgs
JNI_CreateJavaVM
JNI_GetCreatedJavaVMS ;

虚拟机之间可实现无缝衔接 ;

Dalvik 虚拟机 与 ART 虚拟机区别 : 虚拟机中有个 persist.sys.dvlvik.vm.lib 字段 ,
如果该字段存储的是 libdvm.so , 该虚拟机是 Dalvik 虚拟机 ;
如果该字段存储的是 ;ibart.so , 该虚拟机是 ART 虚拟机 ;

Dalvik 虚拟机 与 ART 虚拟机可执行文件 :

Dalvik 虚拟机加载 dex 文件加载时不是直接加载 dex 文件 , 加载执行的是 odex 文件 , odex 文件是通过 dexopt 工具对 dex 进行优化生成的 ;

ART 虚拟机加载 dex 文件时加载的是 oat 文件 , oat 文件时通过 dex2oat 工具对 dex 文件进行优化生成的 ;