如何对iOS App进行打补丁和重新签名 iOS系统 iOS系统安全 App App补丁重新签名

如何对iOS App进行打补丁和重新签名。有没有想过在非越狱设备上运行修改后的iOS二进制文件?比如，你可以使用该技术插装app，以进行动态分析。又或者你需要进行GPS欺骗，从而可以在锁区玩Pokemon，但又担心越狱检测。

福利来了，你可以按照以下过程对修改后的应用程序进行重新签名，然后便可在自己的设备上运行该应用程序。注意，该技术仅适用于非FairPlay加密二进制文件(从应用商店获取的app均为FairPlay加密)。

苹果的配置和代码签名系统本身就让人有点晕头转向，所以，对app进行重新签名着实不易。只有在配置文件和代码签名头完全正确的前提下，app才能在iOS中运行。这要求我们了解很多概念——不同类型的证书、BundleID、应用程序ID、团队标识符，以及如何使用苹果的构建工具将它们绑定在一起。总之，让iOS运行未使用默认方式(XCode)构建的特殊二进制文件可谓一大挑战。

我们需要使用的工具集包括optool、苹果的构建工具及一些shell命令。要复现以下步骤，请下载UnCrackableiOS App Level 1。我们的目标是使无法破解的应用程序在启动时加载FridaGadget.dylib，这样我们便可使用Frida来插装它。

获取开发人员配置文件和证书

配置文件是由苹果签名的、将一个或多个设备上的代码签名证书列入白名单的plist文件。换言之，这是苹果明确允许你的应用程序在某些上下文中运行，比如在选定设备的调试模式下。配置文件还列出了授予你的应用程序的权限。代码签名证书包含将用于进行实际签名的私钥。

下面提供了两种获取证书和配置文件的方法，具体使用哪一种要看你是不是已注册的iOS开发人员。

方法一：使用iOS开发人员帐户

如果你之前使用Xcode开发和部署过app，那你已经拥有一个代码签名证书。使用安全工具列出你现有的签名身份：

如何对iOS App进行打补丁和重新签名 iOS系统 iOS系统安全 App App补丁重新签名

已注册开发人员可以从苹果DeveloperPortal获取配置文件。这需要首先创建一个新的App ID，然后发布一个配置文件——从而让该App ID可以在你的设备上运行。对于重新打包的目的，选择什么App ID并不重要 – 你甚至可以重新使用一个现有的App ID。重要的是要有一个匹配的配置文件。确保你创建的是开发配置文件而不是分发配置文件，因为稍后需要将调试器附加到应用程序。

在下面的shell命令中，作者使用的是与其公司的开发团队相关联的自己的签名身份。作者创建了app-id“sg.vp.repackaged”，以及一个名为“AwesomeRepackaging”的配置文件，这便生成了一个名为“AwesomeRepackaging.mobileprovision”的文件——运行示例时改为你自己的文件名。

方法二：使用常规的iTunes帐户

即使你不是付费开发人员，苹果也会给你分发一个免费的开发配置文件。你可以使用你的常规苹果账户并通过Xcode获取配置文件，只需要创建一个空iOS项目，然后从app容器提取embedded.mobileprovision，此过程详情请参见ncc博客。

获得配置文件后便可使用安全工具检查其内容。除允许的证书和设备外，在配置文件中还可找到授予app的权限。稍后的代码签名需要这些，所以按以下所示将这些提取到一个单独的plist文件。还要看一下文件的内容，检查一下是否有任何异常。

注意应用程序标识符(App ID)，其是团队ID(LRUD9L355Y)和Bundle ID(sg.vantagepoint.repackage)的组合。该配置文件仅对具有此特定app id的应用程序有效。“get-task-allow”键也很重要——当设置为“true”时，允许其他进程(比如调试服务器)附加到应用程序(因此，在分发配置文件中应设置为“false”)。

其他准备

为了使我们的应用程序在启动时加载一个附加的库，我们需要通过一定方法将额外的加载命令插入到主可执行文件的Mach-O头中。我们使用optool来自动化这个过程。