如何检测越狱手机。
在应用开发过程中,我们希望知道设备是否越狱,正以什么权限运行程序,好对应采取一些防御和安全提示措施。
一般我们通过一些常规的防御性代码,去做这种检测,当然,这样的检测有一定的误报概率,但是对于APP的开发者来讲,需要确定一个原则,哪怕是越狱手机检测成未越狱,也不能将未越狱的手机检测成越狱手机。

//
//  BreakPrison.m
//  越狱
//
//  Created by apple on 2019/4/23.
//  Copyright © 2019 apple. All rights reserved.
//

#import "BreakPrison.h"
#import <UIKit/UIKit.h>
#import <sys/stat.h>
#import <dlfcn.h>
#import <mach-o/dyld.h>


@implementation BreakPrison

// 参考代码 : https://www.jianshu.com/p/a43be50dc958
// https://github.com/guochaoshun/breakPrison
// load是系统调用的,不会被hook,一定要用真机测试
+ (void)load {
    
    if (isAlreadyBreakPrison()) {
        NSLog(@"该设备已经越狱了");
//        exit(0);
    }
    NSLog(@"设备正常");

}

//为什么用c方法呢?
//因为c语言是静态的,在编译时已经确定了函数的调用地址,不会被hook,而系统的c方法,因为动态链接库的原因,可能被hook
/// 这个设备是否已经越狱了,
bool isAlreadyBreakPrison(){
    
    // 1.越狱后会在系统的根目录下添加一些文件,根据这些文件是否存在,判定是否越狱

    // Cydia是越狱过程中装的一个破解软件,类似于App Store
    NSString *cydiaPath = @"/Applications/Cydia.app";
    NSString *aptPath = @"/private/var/lib/apt/";
    // 未越狱的手机没有权限查看系统的按照目录,可以通过尝试读取应用列表,看有无权限:
    NSString *applications = @"/User/Applications/";
    // dylib动态库注入也是常有的攻击手段
    NSString *Mobile = @"/Library/MobileSubstrate/MobileSubstrate.dylib";
    // 这个是脚本(Unix shell),正常iOS是没有的
    NSString *bash = @"/bin/bash";
    // linux下控制脚本的
    NSString *sshd =@"/usr/sbin/sshd";
    NSString *sd = @"/etc/apt";
    
    NSArray * fileArray = @[cydiaPath,aptPath,applications,
                            Mobile,bash,sshd,sd];
    for (NSString * filePath in fileArray) {
        
        if([[NSFileManager defaultManager] fileExistsAtPath:filePath]) {
            return YES;
        }
        
    }
    
    
    //2.使用stat系列函数检测Cydia等工具
    // stat函数: 通过文件名filename获取文件信息,并保存在buf所指的结构体stat中
    // 执行成功则返回0,失败返回-1
    struct stat stat_info;
    if (0 == stat("/Applications/Cydia.app", &stat_info)) {
        return YES;
    }
    if([[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@"cydia://"]]){
        return YES;
    }
    
    
    //3.检查下stat是否被替换
    // stat函数可以被fishhook替换掉,
    // 看看stat是不是出自系统库,有没有被攻击者换掉
    // 如果结果不是 /usr/lib/system/libsystem_kernel.dylib 的话,那就100%被攻击了。
    int ret;
    Dl_info dylib_info;
    int (*func_stat)(const char *, struct stat *) = stat;
    // dladdr : 获取某个地址的符号信息
    if ((ret = dladdr(func_stat, &dylib_info))) {
        NSString *str = [NSString stringWithFormat:@"%s",dylib_info.dli_fname];
        if (![str isEqualToString:@"/usr/lib/system/libsystem_kernel.dylib"]) {
            return YES;
        }
        
    }
    
    
    
    
    
    //4.MobileSubstrate.dylib是一个动态库框架,允许第三方的开发者在系统的方法里打一些运行时补丁
    // 
    // 越狱机的输出结果会包含字符串: Library/MobileSubstrate/MobileSubstrate.dylib 。
    
    // 获取到所有的动态模块
    uint32_t count = _dyld_image_count();
    for (uint32_t i = 0 ; i < count; ++i) {
        
        NSString *name = [[NSString alloc]initWithUTF8String:_dyld_get_image_name(i)];
        //        NSLog(@"%@",name);
        if ([name containsString:@"Library/MobileSubstrate/MobileSubstrate.dylib"]) {
            return YES;
        }
        
    }
    
    
    
    //5.DYLD_INSERT_LIBRARIES环境变量,可以不修改App的任何字节,实现注入dyld的过程。
    // getenv:从环境中取字符串,获取环境变量的值.
    // 未越狱设备返回结果是null,越狱设备就各有各的精彩了,尤其是老一点的iOS版本越狱环境。
    char *env = getenv("DYLD_INSERT_LIBRARIES");
    if(env){
        return YES;
    }
    
    
    
    return NO;
}






@end

  
C语言本身是静态的 , 但是由于有动态库的加载机制,所以系统提供C方法也是可以被hook的 , 所以也印证了那句话:没有绝对的安全,你唯一能做的就是拖延攻击者的脚步。

load方法是不能被hook的,而且load方法是我们写的代码中最先的被执行的.


禁止GDB调试

什么是GDB?

所有发布的iOS设备都是基于ARM架构的。我们开发iOS应用的时候编写的Objective-C代码会首先转换成ARM汇编,然后转换成机器指令。对ARM汇编语言和使用GDB调试有很好掌握的话,攻击者是能够在运行时解密Objective-C代码甚至修改代码的。

在安全评测的时候这个GDB挂起是必不可少的一个安全评测协议。

代码编写流程:

1:main.m中 引入头文件如下:

#import <dlfcn.h>

#import<sys/types.h>

2:添加对应函数如下:

typedef int(*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);

#if!defined(PT_DENY_ATTACH)

#define PT_DENY_ATTACH 31

#endif  // !defined(PT_DENY_ATTACH)

 

void disable_gdb() {

    void* handle = dlopen(0, RTLD_GLOBAL |RTLD_NOW);

    ptrace_ptr_t ptrace_ptr = dlsym(handle,"ptrace");

    ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);

    dlclose(handle);

}

3:在工程的mian.m文件的main函数里头就要这样写了:

int main(int argc, char *argv[]) {

    /**防止GDB挂起*/

#ifndef DUBUG

    disable_gdb();

#endif

    @autoreleasepool {

        return UIApplicationMain(argc, argv, nil,NSStringFromClass([AppDelegate class]));

    }

}

最后,附上完整的main.m文件的内容

#import <UIKit/UIKit.h>
#import "AppDelegate.h"

// 禁止GDB调试 :
#import <dlfcn.h>
#import <sys/types.h>

typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);
#if !defined(PT_DENY_ATTACH)
#define PT_DENY_ATTACH 31
#endif  // !defined(PT_DENY_ATTACH)

void disable_gdb() {
    void* handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW);
    ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace");
    ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);
    dlclose(handle);
}

int main(int argc, char * argv[]) {
    
    
#ifndef DEBUG
    disable_gdb();
#endif
    
    @autoreleasepool {
        return UIApplicationMain(argc, argv, nil, NSStringFromClass([AppDelegate class]));
    }
}

使用HTTPS,网络安全 ,

HTTPS证书分为两种,一种是花钱向认证的机构购买的证书,服务端如果使用的是这类证书的话,那一般客户端不需要做什么,只需要把请求的链接地址改成HTTPS就行了,苹果内置了那些受信任的根证书的。

另一种是服务器制作的证书,使用这类证书的话是不受信任的(当然也不用花钱买),因此需要我们在代码中将该证书设置为信任证书。需要后台的人员给一个cer文件,这个cer文件中有服务器的公钥. 

如果他们给的是crt证书 , 那就进到证书路径,执行下面语句

openssl x509 -in 你的证书.crt -out 你的证书.cer -outform der

这样你就可以得到cer类型的证书了。

1. 双击证书,这时证书已经添加到了钥匙串中

2. 将cer 文件拖入工程中

3.1 如果使用的是AFNetwotking 的话,在代码中添加以下代码,

typedef NS_ENUM(NSUInteger, AFSSLPinningMode) {
    AFSSLPinningModeNone,
    AFSSLPinningModePublicKey,
    AFSSLPinningModeCertificate,
};
+ (AFSecurityPolicy*)customSecurityPolicy
{
// /先导入证书
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"hgcang" ofType:@"cer"];//证书的路径
NSData *certData = [NSData dataWithContentsOfFile:cerPath];

/** 
AFSecurityPolicy分三种验证模式: 
AFSSLPinningModeNone:只是验证证书是否在信任列表中 
AFSSLPinningModeCertificate:该模式会验证证书是否在信任列表中,然后再对比服务端证书和客户端证书是否一致 
AFSSLPinningModePublicKey:只验证服务端证书与客户端证书的公钥是否一致
*/
// AFSSLPinningModeCertificate 使用证书验证模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];

// allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
// 如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = YES;

//validatesDomainName 是否需要验证域名,默认为YES;
//假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
//置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。
//因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
//如置为NO,建议自己添加对应域名的校验逻辑。
securityPolicy.validatesDomainName = NO;

securityPolicy.pinnedCertificates = @[certData];

return securityPolicy;
}

在生成AFHTTPSessionManager的时候设置下

AFHTTPSessionManager * manager = [AFHTTPSessionManager manager];
manager.securityPolicy = [self customSecurityPolicy];

3.2 SDWebImage,这样设置, 建议还是直接改类别中的方法,如果图片的路径还是http的话就不用管了,

[imageView sd_setImageWithURL:[NSURL URLWithString:name] placeholderImage:[UIImage imageNamed:@"*.png"]
         options:SDWebImageAllowInvalidSSLCertificates];

3.3如果是用的原生请求的话 , 主要参考文章

生成URLSession的时候没什么变化

NSString *urlString = @"https://xxxxxxx";
NSURL *url = [NSURL URLWithString:urlString];
NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:url cachePolicy:NSURLRequestReloadIgnoringCacheData
     timeoutInterval:10.0f];
NSURLSession *session = [NSURLSession sessionWithConfiguration:[NSURLSessionConfiguration defaultSessionConfiguration] 
        delegate:self delegateQueue:[NSOperationQueue mainQueue]];
NSURLSessionDataTask *task = [session dataTaskWithRequest:request];
[task resume];

在代理方法中: 

简单版, 简单验证然后信任

// HTTPS证书验证,仿写了AFN的验证
- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition, NSURLCredential * _Nullable))completionHandler {
    
    NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    NSURLCredential *credential = nil;
    /**
     NSURLAuthenticationMethodHTTPBasic //HTTP基本验证,服务器向客户端询问用户名,密码
     NSURLAuthenticationMethodClientCertificate//客户端证书验证,服务器向客户端询客户端身份证书
     NSURLAuthenticationMethodServerTrust//服务器端证书验证,客户端对服务器端的证书进行验证。HTTPS中的服务器端证书验证属于这一种
     */
    if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
        // 认证结果,信任这个challenge.protectionSpace.serverTrust
        credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
        if (credential) {
            disposition = NSURLSessionAuthChallengeUseCredential; // 使用证书
        } else {
            disposition = NSURLSessionAuthChallengePerformDefaultHandling; // 使用证书但是会进行CA认证
        }
    }
    // 如果disposition是NSURLSessionAuthChallengeUseCredential,credential必须有值
    // NSURLSessionAuthChallengePerformDefaultHandling,credential可以为nil
    if (completionHandler) {
        completionHandler(disposition, credential);
    }
}

如果需要更严格点的认证, 就看下面, 会读取本地证书并验证, 和AF内部的验证方法对照了一下,大体是相同的, 只是写在了一个方法里面

- (void)URLSession:(NSURLSession *)session
     didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition 
    disposition, NSURLCredential * _Nullable credential))completionHandler {
    NSLog(@"证书认证");
    if ([[[challenge protectionSpace] authenticationMethod] isEqualToString: NSURLAuthenticationMethodServerTrust]) {
        do
        {
            SecTrustRef serverTrust = [[challenge protectionSpace] serverTrust];
            NSCAssert(serverTrust != nil, @"serverTrust is nil");
            if(nil == serverTrust)
                break; /* failed */
            /**
             *  导入多张CA证书(Certification Authority,支持SSL证书以及自签名的CA),请替换掉你的证书名称
             */
            NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"ca" ofType:@"cer"];//自签名证书
            NSData* caCert = [NSData dataWithContentsOfFile:cerPath];
            
            NSCAssert(caCert != nil, @"caCert is nil");
            if(nil == caCert)
                break; /* failed */
            
            SecCertificateRef caRef = SecCertificateCreateWithData(NULL, (__bridge CFDataRef)caCert);
            NSCAssert(caRef != nil, @"caRef is nil");
            if(nil == caRef)
                break; /* failed */
            
            //可以添加多张证书
            NSArray *caArray = @[(__bridge id)(caRef)];
            
            NSCAssert(caArray != nil, @"caArray is nil");
            if(nil == caArray)
                break; /* failed */
            
            //将读取的证书设置为服务端帧数的根证书
            OSStatus status = SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)caArray);
            NSCAssert(errSecSuccess == status, @"SecTrustSetAnchorCertificates failed");
            if(!(errSecSuccess == status))
                break; /* failed */
            
            SecTrustResultType result = -1;
            //通过本地导入的证书来验证服务器的证书是否可信
            status = SecTrustEvaluate(serverTrust, &result);
            if(!(errSecSuccess == status))
                break; /* failed */
            NSLog(@"stutas:%d",(int)status);
            NSLog(@"Result: %d", result);
            
            BOOL allowConnect = (result == kSecTrustResultUnspecified) || (result == kSecTrustResultProceed);
            if (allowConnect) {
                NSLog(@"success");
            }else {
                NSLog(@"error");
            }
            
            /* kSecTrustResultUnspecified and kSecTrustResultProceed are success */
            if(! allowConnect)
            {
                break; /* failed */
            }
            
#if 0
            /* Treat kSecTrustResultConfirm and kSecTrustResultRecoverableTrustFailure as success */
            /*   since the user will likely tap-through to see the dancing bunnies */
            if(result == kSecTrustResultDeny || result == kSecTrustResultFatalTrustFailure || result == kSecTrustResultOtherError)
                break; /* failed to trust cert (good in this case) */
#endif
            
            // The only good exit point
            NSLog(@"信任该证书");
            
            NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
            completionHandler(NSURLSessionAuthChallengeUseCredential,credential);
           [[challenge sender] useCredential: credential
                          forAuthenticationChallenge: challenge];
            
        }
        while(0);
    }
    
    // Bad dog
    NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
    completionHandler(NSURLSessionAuthChallengeCancelAuthenticationChallenge,credential);
   [[challenge sender] cancelAuthenticationChallenge: challenge];
}