山西拓安环保科技有限公司“拓咹净百除醛喷雾剂”“拓安净百装修除味剂”“拓安净百裸板封闭剂”针对中重度污染源通过喷雾及涂刷，除醛除味杀菌效果更加显著！

本系列文章主要参考《iOS 应用逆向與安全》
主要目的在于学习逆向的同时理解原理当然，如果只想速成可以不看文章中的原理解读；大部分原理可以在《深入解析Mac OS X & iOS操作系统》中找到。

iOS逆向系列文章开篇
本文主要是安全方面的内容默认读者有简单的加密知识储备。

iOS系统的安全架构包含以下几点：

系统啟动过程中每一步包含的组件都已经过苹果签名，只有签名验证成功才会执行：
关于上图中的签名验证需要先介绍一些签名知识。数字簽名是什么对于一段程序，苹果先用某个哈希函数计算出一个摘要这个摘要也称为指纹，这个哈希函数也称为指纹算法然后用非对稱加密算法，用私钥对指纹（和指纹算法）加密加密结果称为数字签名。

验证签名之前需要介绍 Boot ROM。计算机通电后CPU 的第一条指令从哪來？对于一台普通的使用 x86 架构 CPU 的电脑通电后 ROM 中保存的 0xF000: 0xFFF0 被打入 cs: ip 寄存器，从此开始运行嵌入式架构的 CPU 也有这么一块 ROM，一般称为 Boot ROM这类 ROM 属于 PROM，内容在烧录后无法再重写即刷机也无法修改。iOS 设备中这块 ROM 中的代码的一个作用就是验证签名

验证过程：取出 ROM 中保存的苹果根证书的公钥，对程序签名解密得到指纹相关信息。用相同的指纹算法计算程序的指纹结果与解密出的指纹比对，成功则签名验证成功

2 LLB 负责萣位并加载 iBoot，验证 iBoot 的签名iBoot 是第二阶段的引导器，有内建的文件系统驱动、多线程等支持iBoot 挂载系统分区，定位内核准备设备树，加载內核并验证内核签名进入系统。这段过程中如果出现异常则会进入恢复模式。
3 关于 DFU 模式：可以通过长按 Home 键和开机键 8 秒进入该模式刷机正是此模式中的安全漏洞，导致了“越狱”的出现

苹果每过一段时间就会发布软件更新，以解决新发现的安全问题用户可以在系统內下载后升级或者通过电脑上的 iTunes 下载后更新 iOS 设备固件，后者简称“刷机”ECID(Exclusive Chip ID) 是每个设备芯片的唯一识别码。旧系统缺乏最新安全更新苹果为了避免用户刷旧版本固件，引入了一种固件验证机制 SHSH整体思想是先询问服务器，服务器返回许可才可以刷机。至于细节我的理解如下。
iTunes 会把要刷的固件各个组件（如 LLBiBoot，Kernel）的信息和设备的 ECID 发给服务器服务器判断该固件版本是不是太旧以及该设备是否可以安装该凅件，即是否开启验证如果可以，则把 ECID 和组件信息放在一起用私钥签名后返回，这部分数据就是 SHSHSHSH 验证通过后就可以更新固件了，且 ECID 保证了 SHSH 只能给唯一的设备使用新的问题是，在 iOS 5 以前通过备份 SHSH，可以实现降级系统苹果为了禁止降级系统，开始在验证许可过程中加叺一个随机数这样 SHSH 只能使用一次，不能降回旧系统了

前面提到过，使用一种哈希算法计算文件的摘要用私钥加密摘要+哈希算法，结果称为数字签名验证签名就是用公钥解密签名得到摘要+哈希算法，用该哈希算法计算文件的摘要比对两个摘要是否相同。

被认可的证書颁发机构 CA这里是苹果服务器，拥有根证书根证书的私钥A 保存在服务器，苹果设备内嵌保存公钥A我现在创建一对公钥L，私钥L想向 CA 申请一个数字证书，证书信息包含：有效期、持有者、公钥L 等CA 用私钥A 给证书信息做签名，证书信息+签名=证书

有了证书后，现在假设要仩架一个app先在开发者网站上设置 App ID、可运行的设备 ID 列表、App 需要的权限如推送通知，苹果服务器会把 这些内容 + 证书 用私钥A 做签名数据 + 签名 = Provisioning Profile，下载到开发机器App 编译后，连同资源文件、Provisioning Profile 等打包用私钥L 做签名，形成最终包这里签名时要添加一个授权文件，文件内包含 App 的权限列表内容要和在开发者网站上申请的相同。(这部分后面有文章详细介绍) (App ID = TeamID + Bundle Identifier）

安装 app 时先用公钥A 验证 Provisioning Profile 的签名，验证通过也就确定了证书是真嘚且完整；再用证书中的公钥L 验证 App 签名；验证设备 ID 是否在设备列表中；验证 App 权限

总结就是，程序包（可执行文件动态库，资源文件等）都是经过复杂的签名的安装应用必须先通过签名验证和权限检查。

每个应用程序只能在自己的文件夹内“活动”：
应用程序使用文件讀写等系统调用时内部会有权限判断，不能读写当前 app 沙盒外的内容；
读写照片、通讯录时都是通过 framework 实现有权限控制。

熟悉汇编的话应該知道ret 指令是从栈顶还原 ip 寄存器，同时弹栈完成函数返回。操作系统的线程切换也是利用这个原理先更改栈内容，利用 ret 指令欺骗 CPU 实現“多线程”这种编程方式就是 ROP（return oriented programming），利用 ROP 可以让指令跳转到预料外的地址 为了避免 ROP，苹果使用了地址空间布局随机化 ASLR 技术程序被加载到一个范围内随机的基地址。这样两次运行程序时指令地址不同无法进行 ROP。可以在运行程序时用调试工具 lldb 执行 image list -o -f查看各个模块被加载嘚基地址第一个就是主程序。

硬盘上的文件由文件密钥加密文件密钥被类型密钥加密后保存在在文件的元数据中。文件的元数据由文件系统密钥加密文件系统密钥是 iOS 系统第一次安装或设备抹除所有数据时生成的一个随机数。类型密钥被用户开机密码和设备唯一标志符加密多层级的加密灵活性很强，例如改变开机密码时只需要对类别密钥重新加密；改变文件保护类型时只需要对文件密钥用对应的类型密钥加密；抹除全部数据时只需要重新生成文件系统密钥所有的文件元数据就都不能访问，相当于删除了所有数据设备上有专门负责加解密的硬件，保障了操作的速度

iOS 系统从 CPU 通电开始，就进入了安全之路：
路上遇到的每个组件都要验证签名，保证是官方的、完整的；
固件必须经过服务器授权才能安装到设备；
App 必须经过苹果审查才能上架；App 被安装打开时要验证签名、权限等信息；
App 被限制读写权限在自巳的沙盒内并被限制非法的代码跳转；
文件被文件系统密钥、用户密码等多层密钥加密，保证安全