请教iOS app检测attached dylib的其他方法


#43

方便给出下改名列表吗?我之前hook了比cp-c最终版多几倍的文件系统相关API也没找到到底用什么探测的和探测的什么文件orz
我修改的方式就是直接手改。反汇编找到原身位置后,用二进制编辑工具hexedit直接替换。
免歧义起见给出你上传这个版本的具体修改(经不断试探,已缩减至如下两组,按顺序分别对应-[UnityView touchesBegan: withEvent:]和-[UnityAppController application:didFinishLaunchingWithOptions:]):
— a
+++ b
@@ -2318933,7 +2318933,7 @@
02362540: 108d 0100 0100 0000 1f53 f501 0100 0000 …S…
02362550: b72d f601 0100 0000 588e 0100 0100 0000 .-…X…
02362560: ba63 f501 0100 0000 922b f601 0100 0000 .c…+…
-02362570: acba 1202 0100 0000 8b6a f501 0100 0000 …j…
+02362570: fc91 0100 0100 0000 8b6a f501 0100 0000 …j…
02362580: 922b f601 0100 0000 4492 0100 0100 0000 .+…D…
02362590: a36a f501 0100 0000 922b f601 0100 0000 .j…+…
023625a0: 8c92 0100 0100 0000 bf6a f501 0100 0000 …j…
@@ -2319029,7 +2319029,7 @@
02362b40: 9c9d 0100 0100 0000 9f73 f501 0100 0000 …s…
02362b50: 692d f601 0100 0000 8c9f 0100 0100 0000 i-…
02362b60: cb73 f501 0100 0000 692d f601 0100 0000 .s…i-…
-02362b70: 88ba 1202 0100 0000 5279 f501 0100 0000 …Ry…
+02362b70: 949f 0100 0100 0000 5279 f501 0100 0000 …Ry…
02362b80: c12c f601 0100 0000 10a3 0100 0100 0000 .,…
02362b90: 7179 f501 0100 0000 c12c f601 0100 0000 qy…,…
02362ba0: 1ca3 0100 0100 0000 f673 f501 0100 0000 …s…

此外有个问题希望测下:通过文件系统改名(不做上面的逆hook)跑起来之后,如果改名回去,再随便点击一下,该app会立刻崩溃还是等到下次启动才发觉异常?


#44

(post withdrawn by author, will be automatically deleted in 24 hours unless flagged)


#46

等你有越狱设备估计后面才能进一步尝试了,我猜这些文件夹路径是加密在那段混淆代码里的,很奇怪,盐哥哥只要检测cydiasubstrate那个关键的文件就可以废掉不少dylib,另外它明明能够检测attached dylib确,还是根据路径判断,不知道是什么操作