Icefox's Blog

项目主页

https://github.com/S3Jensen/iRET

简介

iRET是一款iOS的逆向工程工具包，旨在自动化进行iOS的渗透测试相关任务。它自动执行许多常见任务，包括：

• 使用otool二进制分析

• 使用keychain_dumper分析密钥串

• 读取使用SQLite数据库的内容

• 读取日志和plist文件

• 使用dumpdecrypted二进制解密

• 使用class_dump_z

• 创建、编辑、安装操作系统的调整

安装

从Github上下载，其他一系列分析工具均可从网页或Cydia免费下载

环境需求

• Python (2.5.1 or 2.7) (Need to be Cydia ‘Developer’)

• coreutils

• Erica Utilities

• file

• adv-cmds

• Bourne-Again Shell

• iOS Toolchain (coolstar version)

• Darwin CC Tools (coolstar version)

• An iOS SDK (presumably iOS 6.1 or 7.x) installed to $THEOS/sdks

使用

在这个界面，你还可以选择你想要分析的应用。

左边的一系列分析工具均可从网页或Cydia免费下载。当你从右边的下拉菜单选择一个待分析的应用时，iRET进入下图的功能界面：

二进制文件分析：实际调用otool来展示MachO二进制文件的消息，包括MachO头部信息，例如PIE是否开启、支持的处理器架构、是否加密、是否开启了ARC，等等。

密钥串分析：实际调用了ptoomey开发的“keychain_dumper”，让用户能够分析密钥串里的内容，包括密码、密钥、证书等等敏感信息。

数据库分析：此功能自动分析目标应用目录下的所有数据库文件，包括db、sqlite、sqlite3这三种格式。

日志查看器：此功能包括两个部分，一个是能让用户查看/var/log/syslog文件最新的100行内容，另一个是能查看目标应用里所有的日志（log）和文本文件（txt）。

plist查看器：此功能列出所有目标应用目录下的plist文件。

头文件查看器：此功能提供三个子功能，分别是：

• 自动判断此文件是否被加密（编者注：苹果DRM），如果被加密，则会自动解密（编者注：即砸壳）

• 自动class-dump，形成头文件

• 用户选中一个头文件时，将针对此头文件的所有方法形成一个Theos logify模板

如下图所示：

在此页面编辑好tweak的内容后，即可在下图中新建一个Theos工程：

Theos工程建好后，可以在下图中浏览和编辑Makefile及Tweak.xm文件。

编辑完成后，点击“Save”保存更改，如图：

保存所有编辑后，即可点击“Build”编译并自动安装tweak，如图：

Tweak安装后，用户可以手动respring或重启目标应用，使tweak生效。

截屏查看器：此功能可以方便用户查看目标应用的截屏缓存。

参考

• https://blog.veracode.com/2014/03/introducing-the-ios-reverse-engineering-toolkit/

始发于微信公众号：MottoIN