欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  移动技术

iOS安全防护系列之重签名防护与sysctl反调试详解

程序员文章站 2023-12-11 17:43:40
一 重签名防护 想自己的app不被重签名,可以在代码中检测签名信息,然后采取措施. 1、查看证明组织单位 或者进入.app的包内容,查看embedded.mobi...

一 重签名防护

想自己的app不被重签名,可以在代码中检测签名信息,然后采取措施.

1、查看证明组织单位

iOS安全防护系列之重签名防护与sysctl反调试详解

或者进入.app的包内容,查看embedded.mobileprovision信息security cms -d -i embedded.mobileprovision 找到<key>application-identifier</key>的value的第一部分就是

2、利用签名信息进行重签名防护

void checkcodesign(nsstring *id){
 // 描述文件路径
 nsstring *embeddedpath = [[nsbundle mainbundle] pathforresource:@"embedded" oftype:@"mobileprovision"];
 // 读取application-identifier 注意描述文件的编码要使用:nsasciistringencoding
 nsstring *embeddedprovisioning = [nsstring stringwithcontentsoffile:embeddedpath encoding:nsasciistringencoding error:nil];
 nsarray *embeddedprovisioninglines = [embeddedprovisioning componentsseparatedbycharactersinset:[nscharacterset newlinecharacterset]];
 
 for (int i = 0; i < embeddedprovisioninglines.count; i++) {
 if ([embeddedprovisioninglines[i] rangeofstring:@"application-identifier"].location != nsnotfound) {
  
  nsinteger fromposition = [embeddedprovisioninglines[i+1] rangeofstring:@"<string>"].location+8;
  
  nsinteger toposition = [embeddedprovisioninglines[i+1] rangeofstring:@"</string>"].location;
  
  nsrange range;
  range.location = fromposition;
  range.length = toposition - fromposition;
  
  nsstring *fullidentifier = [embeddedprovisioninglines[i+1] substringwithrange:range];
  nsarray *identifiercomponents = [fullidentifier componentsseparatedbystring:@"."];
  nsstring *appidentifier = [identifiercomponents firstobject];
 
  // 对比签名id
  if (![appidentifier isequal:id]) {
  //exit
  asm(
   "mov x0,#0\n"
   "mov w16,#1\n"
   "svc #0x80"
   );
  }
  break;
 }
 }
}

二 sysctl检测是否被调试

#import <sys/sysctl.h>
bool checkdebugger(){
 //控制码
 int name[4];//放字节码-查询信息
 name[0] = ctl_kern;//内核查看
 name[1] = kern_proc;//查询进程
 name[2] = kern_proc_pid; //通过进程id查进程
 name[3] = getpid();//拿到自己进程的id
 //查询结果
 struct kinfo_proc info;//进程查询信息结果
 size_t info_size = sizeof(info);//结构体大小
 int error = sysctl(name, sizeof(name)/sizeof(*name), &info, &info_size, 0, 0);
 assert(error == 0);//0就是没有错误
 
 //结果解析 p_flag的第12位为1就是有调试
 //p_flag 与 p_traced =0 就是有调试
 return ((info.kp_proc.p_flag & p_traced) !=0); 
}

检测到调试就退出

if (checkdebugger()) {
 asm("mov x0,#0\n"
  "mov w16,#1\n"
  "svc #0x80"
  );
 }

三 针对二 破解sysctl

因为sysctl是系统方法,所以可以被fishhook给hook,所以可以动态库注入,hook到sysctl,改变sysctl的查询结果使用异或取反kp_proc.p_flag

//原始函数的地址
int (*sysctl_p)(int *, u_int, void *, size_t *, void *, size_t);

//自定义函数
int mysysctl(int *name, u_int namelen, void *info, size_t *infosize, void *newinfo, size_t newinfosize){
 if (namelen == 4
 && name[0] == ctl_kern
 && name[1] == kern_proc
 && name[2] == kern_proc_pid
 && info
 && (int)*infosize == sizeof(struct kinfo_proc))
 {
 int err = sysctl_p(name, namelen, info, infosize, newinfo, newinfosize);
 //拿出info做判断
 struct kinfo_proc * myinfo = (struct kinfo_proc *)info;
 if((myinfo->kp_proc.p_flag & p_traced) != 0){
  //使用异或取反
  myinfo->kp_proc.p_flag ^= p_traced;
 }
 
 
 return err;
 }
 
 return sysctl_p(name, namelen, info, infosize, newinfo, newinfosize);
}


+(void)load
{
 //交换
 rebind_symbols((struct rebinding[1]){{"sysctl",mysysctl,(void *)&sysctl_p}}, 1);
}

四 针对三 不让sysctl失效

可以在fishhook sysctl之前就检测,跟我之前生效的策略一样,自己写库,在库中每隔一段时间就检测一下sysctl。因为自己的库最新被调用.

五 用汇编调用关键系统方法

自己库最新被调用的防护方法,可以符号断点断住,然后定位到sysctl的位置,最后改变macho的二进制从而破解,所以通过汇编调用sysctl ptrace exit等是相对安全的

exit:

 asm("mov x0,#0\n"
  "mov w16,#1\n"
  "svc #0x80"
  );

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对的支持。

上一篇:

下一篇: