【iOS逆向】-- theos的安装与使用

2018-12-08

[TOC]

一、简介

Theos是一个越狱开发工具包，由iOS越狱界知名人士Dustin Howett（@DHowett）开发并分享到
GitHub上。Theos与其他越狱开发工具相比，最大的特点就是简单：下载安装简单、Logos语法简单、编译发布简单，可以让使用者把精力都放在开发工作上去。

二、安装ldid

ldid是专门用来签名iOS可执行文件的工具，用以在越狱iOS中取代Xcode自带的codesign。

通过Homebrew安装

1	brew install ldid #如果没有brew 执行下这个命令 /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

三、安装dpkg

deb是越狱开发安装包的标准格式，dpkg是一个用于操作deb文件的工具，有了这个工具，Theos 才能正确地把工程打包成为deb文件。

1	brew install dpkg

四、安装THEOS和配置

配置好环境变量

1	echo "export THEOS=~/theos" >> ~/.bash_profile

1	git clone --recursive https://github.com/theos/theos.git $THEOS

现在敲下面的指令就有提示了

1	➜ ~ ~/theos/bin/nic.pl

要想直接敲nic.pl，将export PATH=~/theos/bin:$PATH加到~/.bash_profile中即可

4.1 新建项目

找到你想要放的目录，执行nic.pl

➜  temp2 nic.pl
NIC 2.0 - New Instance Creator
------------------------------
  [1.] iphone/activator_event
  [2.] iphone/application_modern
  [3.] iphone/application_swift
  [4.] iphone/cydget
  [5.] iphone/flipswitch_switch
  [6.] iphone/framework
  [7.] iphone/ios7_notification_center_widget
  [8.] iphone/library
  [9.] iphone/notification_center_widget
  [10.] iphone/preference_bundle_modern
  [11.] iphone/tool
  [12.] iphone/tool_swift
  [13.] iphone/tweak
  [14.] iphone/xpc_service
Choose a Template (required): 13
Project Name (required): testtheos
Package Name [com.yourcompany.testtheos]: com.theos.developer
Author/Maintainer Name [fangshufeng]:
[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: com.app.springboard
[iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard]:
Instantiating iphone/tweak in testtheos/...
Done.

看到一共有14种模板，逆向中接触最多的是tweak，也就是13,其他更多的模板请参照

我们选择13（tweak）模板；
project Name : 工程名称；
package Name : deb的包名；
Author Name :
[iphone/tweak] MobileSubstrate Bundle filter: 你要破解的app的bundleid;
[iphone/tweak] List of applications to terminate upon installation : 输入tweak安装完成后需要重启的应用，以进程名表示,一般直接回车。

完成以后目录结构如下

── testtheos
    ├── Makefile
    ├── Tweak.xm
    ├── control
    └── testtheos.plist

4.1.1 Makefile

内容如下

include $(THEOS)/makefiles/common.mk

TWEAK_NAME = testtheos
testtheos_FILES = Tweak.xm

include $(THEOS_MAKE_PATH)/tweak.mk

after-install::
	install.exec "killall -9 SpringBoard"

4.1.1.1 include $(THEOS)/makefiles/common.mk

echo下这个路径如下

1	~/theos/makefiles/common.mk

这里封装了很多内置的命令，一般不做修改

4.1.1.2 TWEAK_NAME = testtheos

插件的名称,之前新建工程的时候写的

4.1.1.3 testtheos_FILES = Tweak.xm

自己写的hook文件，多个话以空格隔开

4.1.1.4 include $(THEOS_MAKE_PATH)/tweak.mk

根据不同的Theos工程类型，通过include命令指定不同的.mk文件；在逆向工程初级阶段，我们开发的一般是Application、Tweak和Tool三种类型的程序，它们对应的.mk文件分别是application.mk、tweak.mk 和tool.mk，可以按需更改。

4.1.1.5 after-install::install.exec “killall -9 SpringBoard”

插件安装成功后重启SpringBoard

关于Makefile更多参照

4.1.2 Tweak.xm

/* How to Hook with Logos
Hooks are written with syntax similar to that of an Objective-C @implementation.
You don't need to #include <substrate.h>, it will be done automatically, as will
the generation of a class list and an automatic constructor.

%hook ClassName

// Hooking a class method
+ (id)sharedInstance {
	return %orig;
}

// Hooking an instance method with an argument.
- (void)messageName:(int)argument {
	%log; // Write a message about this call, including its class, name and arguments, to the system log.

	%orig; // Call through to the original function with its original arguments.
	%orig(nil); // Call through to the original function with a custom argument.

	// If you use %orig(), you MUST supply all arguments (except for self and _cmd, the automatically generated ones.)
}

// Hooking an instance method with no arguments.
- (id)noArguments {
	%log;
	id awesome = %orig;
	[awesome doSomethingElse];

	return awesome;
}

// Always make sure you clean up after yourself; Not doing so could have grave consequences!
%end
*/

这个文件就是用来写hook代码，使用的语法是Logos语法，关于logo语法后面会写个详细介绍，也可自行学习

4.1.3 control

Package: com.theos.developer
Name: testtheos 
Depends: mobilesubstrate
Version: 0.0.1
Architecture: iphoneos-arm
Description: An awesome MobileSubstrate tweak!
Maintainer: fangshufeng
Author: fangshufeng
Section: Tweaks

这里没啥要介绍的了

4.1.4 testtheos.plist

1	{ Filter = { Bundles = ( "com.app.springboard" ); }; }

这里就是hook的app的bundleid

4.2 编译、打包、安装

4.2.1 编译 make

➜  testtheos make
> Making all for tweak testtheos…
==> Preprocessing Tweak.xm…
==> Compiling Tweak.xm (armv7)…
==> Linking tweak testtheos (armv7)…
==> Generating debug symbols for testtheos…
==> Signing testtheos…
➜  testtheos

可以看出make指令完成了预处理、编译、链接、签名操作,同时多了个.theos文件夹

➜  testtheos la
total 32
drwxr-xr-x  4 fangshufeng  staff   128B Dec  8 11:05 .theos
-rw-r--r--  1 fangshufeng  staff   181B Dec  8 11:03 Makefile
-rw-r--r--  1 fangshufeng  staff   1.0K Dec  8 11:03 Tweak.xm
-rw-r--r--  1 fangshufeng  staff   219B Dec  8 11:03 control
drwxr-xr-x  3 fangshufeng  staff    96B Dec  8 11:05 obj
-rw-r--r--  1 fangshufeng  staff    57B Dec  8 11:03 testtheos.plist

进到.theos文件下查看

➜  testtheos ls -l ./.theos/obj/debug/
total 200
drwxr-xr-x  6 fangshufeng  staff    192 Dec  8 11:05 arm64
drwxr-xr-x  6 fangshufeng  staff    192 Dec  8 11:05 armv7
-rwxr-xr-x  1 fangshufeng  staff  98704 Dec  8 11:05 testtheos.dylib

有个testtheos.dylib，这个动态库是插件最核心的部分了。

4.2.2 打包 make package

➜  testtheos make package
> Making all for tweak testtheos…
make[2]: Nothing to be done for `internal-library-compile'.
> Making stage for tweak testtheos…
dpkg-deb: building package 'com.theos.developer' in './packages/com.theos.developer_0.0.1-1+debug_iphoneos-arm.deb'.

这个步骤就是使用dpkg将动态库打包成deb包

➜  testtheos la
total 32
drwxr-xr-x  8 fangshufeng  staff   256B Dec  8 11:13 .theos
-rw-r--r--  1 fangshufeng  staff   181B Dec  8 11:03 Makefile
-rw-r--r--  1 fangshufeng  staff   1.0K Dec  8 11:03 Tweak.xm
-rw-r--r--  1 fangshufeng  staff   219B Dec  8 11:03 control
drwxr-xr-x  3 fangshufeng  staff    96B Dec  8 11:05 obj
drwxr-xr-x  3 fangshufeng  staff    96B Dec  8 11:13 packages
-rw-r--r--  1 fangshufeng  staff    57B Dec  8 11:03 testtheos.plist

发现多了一个packages

➜  testtheos la ./packages
total 8
-rw-r--r--  1 fangshufeng  staff   2.3K Dec  8 11:13 com.theos.developer_0.0.1-1+debug_iphoneos-arm.deb
➜  testtheos

com.theos.developer_0.0.1-1+debug_iphoneos-arm.deb就是可以安装到手机上的deb最终安装包。

执行完了make package除了生成了packages文件夹之外，在.theos文件下还多了一个_文件夹

➜  testtheos ls -l ./.theos
total 8
drwxr-xr-x  4 fangshufeng  staff  128 Dec  8 11:13 _
-rw-r--r--  1 fangshufeng  staff    0 Dec  8 11:04 build_session
-rw-r--r--  1 fangshufeng  staff    0 Dec  8 11:13 fakeroot
-rw-r--r--  1 fangshufeng  staff   62 Dec  8 11:13 last_package
drwxr-xr-x  3 fangshufeng  staff   96 Dec  8 11:05 obj
drwxr-xr-x  3 fangshufeng  staff   96 Dec  8 11:13 packages

看下这个文件夹中的内容

➜  _ tree
.
├── DEBIAN
│   └── control
└── Library
    └── MobileSubstrate
        └── DynamicLibraries
            ├── testtheos.dylib
            └── testtheos.plist

4 directories, 3 files
➜  _

control内容和我们一开始的control差不多，Library

└── Library
    └── MobileSubstrate
        └── DynamicLibraries
            ├── testtheos.dylib
            └── testtheos.plist

这个到时就是到手机上的安装目录

我们对比下生成的deb包的内容

➜  testtheos dpkg -c packages/com.theos.developer_0.0.1-1+debug_iphoneos-arm.deb
drwxr-xr-x fangshufeng/staff 0 2018-12-08 11:13 ./
drwxr-xr-x fangshufeng/staff 0 2018-12-08 11:13 ./Library/
drwxr-xr-x fangshufeng/staff 0 2018-12-08 11:13 ./Library/MobileSubstrate/
drwxr-xr-x fangshufeng/staff 0 2018-12-08 11:13 ./Library/MobileSubstrate/DynamicLibraries/
-rwxr-xr-x fangshufeng/staff 98704 2018-12-08 11:13 ./Library/MobileSubstrate/DynamicLibraries/testtheos.dylib
-rw-r--r-- fangshufeng/staff    57 2018-12-08 11:13 ./Library/MobileSubstrate/DynamicLibraries/testtheos.plist

4.2.3 安装

有了第二步的deb安装包，有2种安装方式可以装到手机上

4.2.3.1 图形界面

将deb安装包通过iFunBox复制到手机上，然后通过iFlie安装，需要的话重启手机即可。

4.2.3.2 命令的方式make install

图形界面的方式的话人机交互太多，不方便插件开发，下面介绍直接通过命令完成安装

需要现在文件Makefile文件的顶部添加手机的ip地址

1	export THEOS_DEVICE_IP=iosip

然后再执行make install即可

五、一个简单的例子

前面一直在将理论，下面来写一个简单的例子来熟悉一下整个过程

新建一个iOS工程

我们新建一个空的iOS工程用来测试我们的插件

目录结构如下

➜  sign tree
.
├── sign
│   ├── AppDelegate.h
│   ├── AppDelegate.m
│   ├── Assets.xcassets
│   │   ├── AppIcon.appiconset
│   │   │   └── Contents.json
│   │   └── Contents.json
│   ├── Base.lproj
│   │   ├── LaunchScreen.storyboard
│   │   └── Main.storyboard
│   ├── Info.plist
│   ├── ViewController.h
│   ├── ViewController.m
│   └── main.m
├── sign.xcodeproj
│   ├── project.pbxproj
│   ├── project.xcworkspace
│   │   ├── contents.xcworkspacedata
│   │   ├── xcshareddata
│   │   │   └── IDEWorkspaceChecks.plist
│   │   └── xcuserdata
│   │       └── fangshufeng.xcuserdatad
│   │           └── UserInterfaceState.xcuserstate
│   └── xcuserdata
│       └── fangshufeng.xcuserdatad
│           └── xcschemes
│               └── xcschememanagement.plist
└── signUITests
    ├── Info.plist
    └── signUITests.m

13 directories, 17 files

在ViewController上写一个label作为展示

- (void)viewDidLoad {
    [super viewDidLoad];
    UILabel *num = [[UILabel alloc] initWithFrame:CGRectMake(100, 100, 100, 100)];
    num.text = @"30";
    [self.view addSubview:num];

}

然后将工程跑到越用手机上备用。

新建一个`Tweak`工程

control内容如下

Package: com.sign.test
Name: signtest
Depends: mobilesubstrate
Version: 0.0.1
Architecture: iphoneos-arm
Description: An awesome MobileSubstrate tweak!
Maintainer: fangshufeng
Author: fangshufeng
Section: Tweaks

由于我们的测试工程的bundleid是com.sign.test

编写hook代码

现在我们想做一个插件，当测试app打开的时候就弹一个alert，那么hook代码如下

%hook ViewController

- (void)viewDidLoad {
	
	%orig;
	
	    dispatch_after(dispatch_time(DISPATCH_TIME_NOW, (int64_t)(1.0 * NSEC_PER_SEC)), dispatch_get_main_queue(), ^{
        UIAlertView *aler = [[UIAlertView
                              alloc] initWithTitle:@"弹框" message:nil delegate:nil cancelButtonTitle:@"取消" otherButtonTitles:nil, nil];
        [aler show];
    });

}

%end

编译打包

执行make和make package命令（make package 已经包含了make命令了，所以直接执行make package也是可以的）

执行完成以后会有个com.sign.test_0.0.1-1+debug_iphoneos-arm.deb

安装

图形界面方式

通过iFunbox将com.sign.test_0.0.1-1+debug_iphoneos-arm.deb放到iPhone的根目录下，通过 iFile查看

点击安装，如果安装成功，打开Cydia可以看到，如果看不到，重启一下手机

点击查看安装的路径

正好使我们之前说的路径，通过iFunbox也可以找到该动态库

此时打开我们的测试程序

插件已经生效了

命令方式

如果你已经执行了图形的操作，先在Cydia中卸载该插件。

先在Makefile文件的顶部增加export THEOS_DEVICE_IP=192.168.1.102，地址换成你自己手机的地址

然后执行make install命令即可，发现和图形界面是一样的效果

六、常见报错

6.1 [error] Cowardly refusing to make a project inside $THEOS

有可能是你执行git clone --recursive https://github.com/theos/theos.git $THEOS命令的时候报错了，有些代码没下载下来，请检查git clone信息

6.2 如果安装的插件一直到手机的根目录（针对命令行安装）不在`/Library/MobileSubstrate/DynamicLibraries/`下

则将文件$THEOS/makefiles/package/deb.mk 中 53行附近，由

1	$(ECHO_NOTHING)COPYFILE_DISABLE=1 $(FAKEROOT) -r $(_THEOS_PLATFORM_DPKG_DEB) -Z$(_THEOS_PLATFORM_DPKG_DEB_COMPRESSION) -b "$(THEOS_STAGING_DIR)" "$(_THEOS_DEB_PACKAGE_FILENAME)"$(ECHO_END)

替换为

1	$(ECHO_NOTHING)COPYFILE_DISABLE=1 $(FAKEROOT) -r dpkg-deb -Zgzip -b "$(THEOS_STAGING_DIR)" "$(_THEOS_DEB_PACKAGE_FILENAME)" $(STDERR_NULL_REDIRECT)$(ECHO_END)

具体参考链接

到这应该感受到了插件的强大了，接下来只要学会分析app和熟悉logo语法就可以写更多好用的插件了。

访问量次