Application decrypt & extraction

앱을 추출할 경우 암호화가 되어 있어서 분석하기에 어려움이 있음.

그래서 복호화해서 추출해야 함.

 

몇 가지 방법이 있는데 포스팅해볼까 함.

 

1. Clutch

사실 Clutch는 iOS 12 이전 버전에서 주로 사용하던 복호화 툴이었음.

 

하지만 직접 빌드할 경우 가능하다고 해서 퍼와봄.

https://github.com/KJCracks/Clutch

GitHub - KJCracks/Clutch: Fast iOS executable dumper

 

Clutch

0.79MB

※출처 : https://hackcatml.tistory.com/49#google_vignette

아래에 파일도 함께 올림.

 

저 파일을 device의 /usr/bin 아래로 넣어줌.

Clutch -i <------ 왼쪽에 명령어를 넣으면 설치된 앱 목록을 볼 수 있음.

이후 Clutch -d <앱 번호>를 넣으면 앱이 복호화됨.

 

/private/var/mobile/Documents <--------이 경로에 복호화돼서 생성됨.

 

이후 ipa파일을 추출해서 분석하면 됨.

 

2. CrackerXI+

소스 : https://iphonecake.com/app/

cydia에서 소스 추가 후에 CrackerXI+에서 복호화하면 됨.

위와 같이 복호화를 하면 되는데 /private/var/mobile/Documents 아래에 CrackerXI+ 폴더 내에 ipa가 생성됨.

 

3. frida-ios-dump

전꺼는 안 되는 경우도 있는데 이건 웬만해선 됨.

Linux나 MacOS에서 하는 게 편하지만 Windows에서 하려면 수정이 필요함.

http://egloos.zum.com/playgame/v/2241145

iOS 앱 덥프 (frida-ios-dump)

위 링크를 들어가면 Windows에서 사용 가능하도록 수정하는 방법이 있음.

 

하지만 전 MacOS에서 해보겠음.

 

우선 cydia에서 frida와 openssh를 설치해줌.

frida 소스 : https://build.frida.re

 

소스 추가 후에 트윅을 설치해줌.

 

컴퓨터에 frida툴을 설치해줘야 함.

중요한 게 python이 깔려있어야 함.

python3.x 버전을 설치해줘야 하는데 이후 bash_profile설정이 필요함.

i)

sudo vim ~/.bash_profile

 

ii)

alias python='python3'

# Setting PATH for Python 3.6
# The original version is saved in .bash_profile.pysave
PATH="/Library/Frameworks/Python.framework/Versions/3.6/bin:${PATH}"
export PATH

 

아래는 bash_profile에 추가해줘야 함.

 

이제 frida-ios-dump를 pc에 설치하는 순서임.

pip3 install frida-tools

여기부터 frida-ios-dump설치임.

cd ~

git clone https://github.com/AloneMonkey/frida-ios-dump.git

cd frida-ios-dump/

sudo pip3 install -r requirement.txt --upgrade

 

여기에서 dump.py를 수정해 줘야 함.

User = 'root'

Password = 'alpine'

Host = '아이폰 IP 주소'

Port = 22

KeyFileName = None

 

이후 decrypt 진행.

앱 리스트 출력 : python3 dump.py -l

이후 추출을 하면 됨.

앱 추출 : python3 dump.py "추출할 앱 이름"

큰따옴표 같이 넣어서 이름을 넣거나 Identifier의 이름을 큰따옴표 없이 넣어도 됨.

-o <-----옵션으로 추출할 때 이름을 바꿀 수 있음.

이렇게 하면 frida-ios-dump 폴더 내에 앱이 추출됨

 

끝!