iOS应用内购破解逆向分析教程<\/h1>

环境准备<\/h2>

设备：越狱iPhone 4s<\/li>
系统：iOS 8.3<\/li>
目标应用：某记账App（版本1.6.6）<\/li>

工具：

dumpdecrypted（砸壳工具）<\/li>
class-dump（头文件导出工具）<\/li>
Cycript（运行时注入工具）<\/li>
debugserver + lldb（动态调试工具）<\/li>
Hopper\/IDA（反汇编工具）<\/li>

Theos（Tweak开发工具）<\/li> <\/ul> <\/li> <\/ul>

破解步骤详解<\/h2>

1. 砸壳获取解密二进制文件<\/h3>

SSH连接到越狱设备<\/li>

使用

ps -e<\/code>命令查找目标应用进程：
ps -e
<\/span><\/span><\/code><\/pre>输出示例：
PID TTY TIME CMD
1102 ?? 0:02.93 \/var\/mobile\/Containers\/Bundle\/Application\/7E51DAF5-3FCF-42CF-B4CB-F47CC4078048\/easycost.app\/easycost
<\/code><\/pre>
<\/li>
使用dumpdecrypted对目标应用进行砸壳<\/li>
<\/ol>
2. 获取头文件<\/h3>
使用class-dump导出头文件：<\/p>
class-dump --arch armv7 -S -s -H 可执行文件 -o 输出目录
<\/span><\/span><\/code><\/pre>3. 使用Cycript分析视图层次<\/h3>

注入Cycript到目标进程：
Cycript -p 1102<\/span>
<\/span><\/span><\/code><\/pre><\/li>
打印当前视图层次：
UIApp<\/span>.keyWindow<\/span>.recursiveDescription<\/span>().toString<\/span>()
<\/span><\/span><\/code><\/pre><\/li>
查找关键视图元素（如KLSwitch）<\/li>
<\/ol>
4. 定位关键控制器和方法<\/h3>

通过视图的nextResponder找到控制器<\/li>
在导出的头文件中搜索相关控制器（如CatalogInfoViewController）<\/li>
查找可能的关键方法（如cycleSwitch）<\/li>
<\/ol>
5. 动态调试确认关键函数<\/h3>

启动debugserver进行远程调试<\/li>
使用lldb连接debugserver<\/li>
查看ASLR偏移：
image list -o -f
<\/span><\/span><\/code><\/pre><\/li>
在Hopper\/IDA中分析二进制文件，定位关键函数（如isPurchased）<\/li>
计算实际内存地址：ASLR偏移 + 函数偏移<\/li>
设置断点并修改寄存器值进行测试<\/li>
<\/ol>
6. 开发Tweak绕过限制<\/h3>

使用Theos创建Tweak项目<\/li>
编辑Makefile：
ARCHS =<\/span> armv7 arm64
<\/span><\/span>TARGET =<\/span> iphone:latest:8.0
<\/span><\/span>include<\/span> $(<\/span>THEOS)<\/span>\/makefiles\/common.mk<\/span>
<\/span><\/span>TWEAK_NAME =<\/span> EasyCostTweak
<\/span><\/span>EasyCostTweak_FILES =<\/span> Tweak.xm
<\/span><\/span>include<\/span> $(<\/span>THEOS_MAKE_PATH)<\/span>\/tweak.mk<\/span>
<\/span><\/span><\/code><\/pre><\/li>
编写Tweak代码（Tweak.xm）：
%<\/span>hook Purchased
<\/span><\/span>-<\/span> (BOOL<\/span>)isPurchased {
<\/span><\/span>    return<\/span> YES;
<\/span><\/span>}
<\/span><\/span>%<\/span>end
<\/span><\/span><\/code><\/pre><\/li>
编译并安装到设备<\/li>
<\/ol>
关键发现<\/h2>

目标应用的高级功能（周期记账）由isPurchased<\/code>方法控制<\/li>
修改isPurchased<\/code>方法返回值为YES可解锁高级功能<\/li>
关键控制器为CatalogInfoViewController<\/code><\/li>
关键方法包括cycleSwitch<\/code>和isPurchased<\/code><\/li>
<\/ol>
防护措施建议<\/h2>


反调试技术：<\/p>

检测调试器附加<\/li>
使用ptrace等系统调用防止调试<\/li>
<\/ul>
<\/li>

代码混淆：<\/p>

方法名\/类名混淆<\/li>
控制流混淆<\/li>
使用LLVM混淆器（如obfuscator-llvm）<\/li>
<\/ul>
<\/li>

完整性检查：<\/p>

检查二进制文件签名<\/li>
检测越狱环境<\/li>
防止动态库注入<\/li>
<\/ul>
<\/li>

服务器端验证：<\/p>

关键功能验证放在服务器端<\/li>
定期检查购买状态<\/li>
<\/ul>
<\/li>
<\/ol>
学习资源推荐<\/h2>

书籍：《iOS应用逆向工程》<\/li>
论坛：bbs.iosre.com<\/li>
社区：看雪iOS小组<\/li>
工具：

https:\/\/github.com\/obfuscator-llvm\/obfuscator<\/li>
Frida<\/li>
BinaryNinja<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
本教程详细介绍了从砸壳到最终开发Tweak的完整逆向过程，重点展示了如何通过静态分析和动态调试相结合的方式定位关键函数，并通过hook修改应用逻辑。逆向工程是一个需要不断尝试和积累经验的过程，建议从简单应用开始练习，逐步掌握各种工具和技术。<\/p>