圣水笔记 | 知识储备库

恢复符号表

有时在断点看堆栈信息，看不到具体的函数名字

解决：https://github.com/tobefuturer/restore-symbol

进入restore-symbol 直接make restore-symbol或者运行获取restore-symbol可执行文件

make restore-symbol

1	make restore-symbol

1. 然后把第三方的可执行文件也放进来，直接make restore-symbol,注意：第三方可执行文件必须是单一架构，可以分解(如分解成arm64)

lipo yourappexec -thin arm64 -output yourappexec-arm64

1	lipo yourappexec -thin arm64 -output yourappexec-arm64

2.恢复单一架构符号表

./restore-symbol yourappexec-arm64 -o yourappexec-arm64-new

1	./restore-symbol yourappexec-arm64 -o yourappexec-arm64-new

这里是利用MonkeyDev来调试的

恢复block符号表

https://github.com/macRong/ida_search_block

1.先用ida打开可执行文件选择导入ida_search_block （file/script file）会生成一个block_symbol.json文件（在ida当前目录下）

2.把block_symbol.json文件放到restore-symbol文件夹下执行得到一个可执行文件去替换就好

./restore-symbol YourExec -o YourExec_block -j block_symbol.json

1	./restore-symbol YourExec -o YourExec_block -j block_symbol.json

Logos

logos：http://iphonedevwiki.net/index.php/Logos

%hook (%end结束)

开始hook

%hook ViewController

// 要hook的方法
- (void)loginAction:(id)arg1
{
    NSLog(@"______loginAction.hook ✅");
}

%end

%hook ViewController

// 要hook的方法

- (void)loginAction:(id)arg1

{

NSLog(@"______loginAction.hook ✅");

}

%end

%group、%ctor、%init

%group组，%ctor构造函数, %init初始化

// ------------ group1 ----------------
@group group1

%hook ViewController

- (void)loginAction:(id)arg1
{
    NSLog(@"______loginAction.hook ✅");
}
%end
%end

// ------------  group2 ----------------
@group group2
%hook ViewController
 - (void)registerAction:(id)arg1 
{
 NSLog(@"______registerAction.hook ✅");
 }
%end 
%end

%ctor
{
  // 方式1 要构造所有的group
  // %init(group2)%init(group1)

   // 方式2 或者有条件单个判断
    NSString *version = [UIDevice currentDevice].systemVersion;
    if(version.doubleValue >= 11.1)
    {
        %init(group2)
    }
    else
    {
        %init(group1)
    }
}

// ------------ group1 ----------------

@group group1

%hook ViewController

- (void)loginAction:(id)arg1

{

NSLog(@"______loginAction.hook ✅");

}

%end

// ------------ group2 ----------------

@group group2

%hook ViewController

- (void)registerAction:(id)arg1

{

NSLog(@"______registerAction.hook ✅");

}

%end

%ctor

{

// 方式1 要构造所有的group

// %init(group2)%init(group1)

// 方式2 或者有条件单个判断

NSString *version = [UIDevice currentDevice].systemVersion;

if(version.doubleValue >= 11.1)

{

%init(group2)

}

else

{

%init(group1)

}

对于没有写group的，它会有个隐士的”_ungrouped”group
定义多少个group必须在构造函数中初始化几个，初始化是后面覆盖前面的

%new、%c

就是新增一个方法。%c相当于objc_getClass或NSClassFromString

#import "HookHeader.h"
%hook ViewController

- (void)loginAction:(id)arg1
{
    NSLog(@"______loginAction.hook ✅");
}

%new
- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
    self.view.backgroundColor = [UIColor redColor];

    [%c(ViewController) myClassMethod];
}

%new
+(void)myClassMethod
{
    NSLog(@"调用新增加的类方法!");
}

%end

#import "HookHeader.h"

%hook ViewController

- (void)loginAction:(id)arg1

{

NSLog(@"______loginAction.hook ✅");

}

%new

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event

{

self.view.backgroundColor = [UIColor redColor];

[%c(ViewController) myClassMethod];

}

%new

+(void)myClassMethod

{

NSLog(@"调用新增加的类方法!");

}

%end

注意：

self.view提示没定义，把class-dump的头文件复制到上面或者单独写到HookHeader文件中
+ (void)myClassMethod要复制到上面或者单独写到HookHeader文件中

%log

%log((NSString *)@"name",(NSString *)@"add");

1	%log((NSString )@"name",(NSString )@"add");

%orig

调用之前的方法（调用自己）

- (void)showView:(_Bool)arg1
{
    %orig;
     [self.navigationItem setLeftBarButtonItem: [[UIBarButtonItem alloc] initWithCustomView:leftBtn]];
}

- (void)showView:(_Bool)arg1

{

%orig;

[self.navigationItem setLeftBarButtonItem: [[UIBarButtonItem alloc] initWithCustomView:leftBtn]];

}

防护App

以下是简单基本防护：

1.先反想怎么攻击别人App？

重签名，静态，动态注入自己代码，Hook函数…

所以下面主要讲怎么做基本防护，不让别人Hook你的app

怎么注入看这http://shengshui.com/?p=3406

这是你要注入的（如果那个app没做基本防护的话可以直接成功修改执行流程）

#import "RongHook.h"
#import <objc/message.h>

@implementation RongHook

+ (void)load
{
    NSLog(@"----- 动态库注入成功了✅");
    // 所有的要hook代码写这里
    Method method_old = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btn2Action:));
    Method method_new = class_getInstanceMethod(self, @selector(click2Hook:));

    method_exchangeImplementations(method_old, method_new);
}

- (void)click2Hook:(id)sender
{
    NSLog(@"成功 ✅");
}

@end

#import "RongHook.h"

#import <objc/message.h>

@implementation RongHook

+ (void)load

{

NSLog(@"----- 动态库注入成功了✅");

// 所有的要hook代码写这里

Method method_old = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btn2Action:));

Method method_new = class_getInstanceMethod(self, @selector(click2Hook:));

method_exchangeImplementations(method_old, method_new);

}

- (void)click2Hook:(id)sender

{

NSLog(@"成功 ✅");

}

@end

怎么才能不让别人hook自己app？

把自己程序的hook全写到专门的静态库中，这样可以优先加载你写的防护代码（不然防护无效），比如下面代码，外部有人调method_exchangeImplementations就直接退出

#import "HookManager.h"
#import "fishhook.h"
#import <objc/message.h>

@implementation HookManager

+ (void)load
{
    NSLog(@"HookManager load");
    // 所有的要hook代码写这里
    Method method_old = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btn1Action:));
    Method method_new = class_getInstanceMethod(self, @selector(click1Hook:));
    
    method_exchangeImplementations(method_old, method_new);
    
    // 开始基本防护 method_exchangeImplementations
    rebind_symbols((struct rebinding[1]){{"method_exchangeImplementations",mymethod_exchangeImplementations, (void *)&exchangeP }}, 1);
}

- (void)click1Hook:(id)sender
{
    NSLog(@"hook保留");
}


// 保留原来的指针
void (*exchangeP)(Method _Nonnull m1, Method _Nonnull m2);

void mymethod_exchangeImplementations(Method _Nonnull m1, Method _Nonnull m2)
{
    NSLog(@"外部有hook攻击");
    exit(1);
}

@end

#import "HookManager.h"

#import "fishhook.h"

#import <objc/message.h>

@implementation HookManager

+ (void)load

{

NSLog(@"HookManager load");

// 所有的要hook代码写这里

Method method_old = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btn1Action:));

Method method_new = class_getInstanceMethod(self, @selector(click1Hook:));

method_exchangeImplementations(method_old, method_new);

// 开始基本防护 method_exchangeImplementations

rebind_symbols((struct rebinding[1]){{"method_exchangeImplementations",mymethod_exchangeImplementations, (void *)&exchangeP }}, 1);

}

- (void)click1Hook:(id)sender

{

NSLog(@"hook保留");

}

// 保留原来的指针

void (*exchangeP)(Method _Nonnull m1, Method _Nonnull m2);

void mymethod_exchangeImplementations(Method _Nonnull m1, Method _Nonnull m2)

{

NSLog(@"外部有hook攻击");

exit(1);

}

@end

但是用MonkeyDev logos还是可以Hook的

#import <UIKit/UIKit.h>


%hook ViewController

- (void)btn2Action:(id)sender
{
    NSLog(@"Hook住了 ✅");
}

%end

#import <UIKit/UIKit.h>

%hook ViewController

- (void)btn2Action:(id)sender

{

NSLog(@"Hook住了 ✅");

}

%end

底层调用objc的runtime和fishhook来替换系统或者目标应用的函数,其实它能hook住是调用了method_setImplementation和method_getImplementation 所以防护的代码再加上这2个就可以,如下

#import "HookManager.h"
#import "fishhook.h"
#import <objc/message.h>

@implementation HookManager

+ (void)load
{
    NSLog(@"HookManager load");
    // 所有的要hook代码写这里
    Method method_old = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btn1Action:));
    Method method_new = class_getInstanceMethod(self, @selector(click1Hook:));
    
    method_exchangeImplementations(method_old, method_new);
    
    
    // 开始基本防护 method_exchangeImplementations
    rebind_symbols((struct rebinding[3]){{"method_exchangeImplementations",mymethod_exchangeImplementations, (void *)&exchangeP },
        {"method_setImplementation",myIMPChange, (void *)&setIMP },
        {"method_getImplementation",myIMPChange, (void *)&getIMP }
    }, 3);
    
}

- (void)click1Hook:(id)sender
{
    NSLog(@"hook保留");
}


//  ------------------- method_setImplementation,method_getImplementation ---------------------------------

IMP _Nonnull (*setIMP)(Method _Nonnull m, IMP _Nonnull imp);
IMP _Nonnull (*getIMP)(Method _Nonnull m, IMP _Nonnull imp);

void myIMPChange(Method _Nonnull m, IMP _Nonnull imp)
{
    NSLog(@"外部有hook攻击 setIMP/GetIMP");
    exit(1);
}


//  ------------------- method_exchangeImplementations ---------------------------------
// 保留原来的指针
void (*exchangeP)(Method _Nonnull m1, Method _Nonnull m2);

void mymethod_exchangeImplementations(Method _Nonnull m1, Method _Nonnull m2)
{
    NSLog(@"外部有hook攻击");
    exit(1);
}

@end

#import "HookManager.h"

#import "fishhook.h"

#import <objc/message.h>

@implementation HookManager

+ (void)load

{

NSLog(@"HookManager load");

// 所有的要hook代码写这里

Method method_old = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btn1Action:));

Method method_new = class_getInstanceMethod(self, @selector(click1Hook:));

method_exchangeImplementations(method_old, method_new);

// 开始基本防护 method_exchangeImplementations

rebind_symbols((struct rebinding[3]){{"method_exchangeImplementations",mymethod_exchangeImplementations, (void *)&exchangeP },

{"method_setImplementation",myIMPChange, (void *)&setIMP },

{"method_getImplementation",myIMPChange, (void *)&getIMP }

}, 3);

}

- (void)click1Hook:(id)sender

{

NSLog(@"hook保留");

}

// ------------------- method_setImplementation,method_getImplementation ---------------------------------

IMP _Nonnull (*setIMP)(Method _Nonnull m, IMP _Nonnull imp);

IMP _Nonnull (*getIMP)(Method _Nonnull m, IMP _Nonnull imp);

void myIMPChange(Method _Nonnull m, IMP _Nonnull imp)

{

NSLog(@"外部有hook攻击 setIMP/GetIMP");

exit(1);

}

// ------------------- method_exchangeImplementations ---------------------------------

// 保留原来的指针

void (*exchangeP)(Method _Nonnull m1, Method _Nonnull m2);

void mymethod_exchangeImplementations(Method _Nonnull m1, Method _Nonnull m2)

{

NSLog(@"外部有hook攻击");

exit(1);

}

@end

问题：

如何才能防护住？删除他的防护？在它防护之前先加载？修改MachO文件？(针对二进制符号表干扰-混淆，光，埋雷等等)

HOOK原理

Hook就是改变程序执行流程

1.常见几种Hook方式

1.Method Swizzle

利用OC的Runtime特性，动态改变SEL（方法编号）和IMP（方法实现）的对应关系，达到OC方法调用流程改变的目的。主要用于OC方法

2.fishhook

Facebook提供的一个动态修改链接mach-O文件的工具。利用MachO文件加载原理，通过修改懒加载和非懒加载两个表的指针达到C函数HOOK的目的。(自定义不行). C静态是怎么修改的？请看下面问题

3.Cydia Substrate

Cydia Substrate 原名为 Mobile Substrate ，它的主要作用是针对OC方法、C函数以及函数地址进行HOOK操作。Android，iOS都能用。官方地址：http://www.cydiasubstrate.com/

Cydia Substrate主要由3部分组成：

MobileHooker
MobileHooker顾名思义用于HOOK。它定义一系列的宏和函数，底层调用objc的runtime和fishhook来替换系统或者目标应用的函数.
其中有两个函数:
- MSHookMessageEx 主要作用于Objective-C方法
void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP result)
1
2
void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP result)
- MSHookFunction 主要作用于C和C++函数
void MSHookFunction(voidfunction,void* replacement,void** p_original)
1
2
void MSHookFunction(voidfunction,void* replacement,void** p_original)

Logos语法的%hook 就是对此函数做了一层封装
MobileLoader
MobileLoader用于加载第三方dylib在运行的应用程序中。启动时MobileLoader会根据规则把指定目录的第三方的动态库加载进去，第三方的动态库也就是我们写的破解程序.
safe mode
因为APP程序质量参差不齐崩溃再所难免，破解程序本质是dylib，寄生在别人进程里。系统进程一旦出错，可能导致整个进程崩溃,崩溃后就会造成iOS瘫痪。所以CydiaSubstrate引入了安全模式,在安全模式下所有基于CydiaSubstratede 的三方dylib都会被禁用，便于查错与修复。

2.fishHook原理

fishhook简单例子：

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
    NSLog(@"hello NSLOg");
    rebind_symbols((struct rebinding[1]){{"NSLog",myNSLog, (void *)&origin_NSLog}}, 1);
}

static void (*origin_NSLog)(NSString *format, ...);

void myNSLog(NSString *format, ...)
{
    origin_NSLog(@"hook 成功");
}

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event

{

NSLog(@"hello NSLOg");

rebind_symbols((struct rebinding[1]){{"NSLog",myNSLog, (void *)&origin_NSLog}}, 1);

}

static void (*origin_NSLog)(NSString *format, ...);

void myNSLog(NSString *format, ...)

{

origin_NSLog(@"hook 成功");

}

但是这个只能是系统自己的函数可以，不能hook自定义的函数（因为符号表中没有自定义的函数）

1.MachO是通过DYLD动态加载进的（可以lldb： image list 看下先加载MachO在加载一些它需要的库）

2.MachO文件每次加载时随机地址（ARLR ：http://shengshui.com/?p=3268）

3.NSLog并没有在你程序的Macho中，而是在系统的动态库中，当Macho加载进内存，它和NSLog动态库是地址相对改变的

4.PIC位置代码独立

如果程序调用系统库函数时，首先在MachO中_DATA段中建立一个指针（符号）(也就是0x00000)，指向外部函数（通过DYLD动态加载）
DYLD会动态绑定，将MachO中的_DATA段的指针指向外部函数

在MachO中找到Lazy Sysbol Pointers符号表
再找Dynamic Symbol Table/Indirect Symbols （它和Lazy Sysbol Pointers符号表一一对应）找到Data拿到它的Index去Symbol Table/Symbols表然后拿到data
拿到data去String Table找（开始地址+编译地址）

也就是它符号表指向外部函数指针改变为指向内容函数指针

问题：

1.C是静态语言但是finshhook是怎么替换的函数？

在MachO加载内存之前它根本不知道系统函数地址，自己编写的程序在build一样确定了，但是外部并不能确定

通过PIC位置代码独。它是通过符号表来查找，通过dyld动态绑定，finshhook就是重新绑定符号表（查看下面验证）

它是怎么通过字符串找到系统函数地址的？

系统共享缓存库中函数固定地址？不对，它每次加载其实也是改变的

查看上面图通过MachO的Lazy Sysbol Pointers符号表找到 Dynamic Symbol Table/Indirect Symbols （它们一一对应）

在MachO中找到Lazy Sysbol Pointers符号表
再找Dynamic Symbol Table/Indirect Symbols （它和Lazy Sysbol Pointers符号表一一对应）找到Data拿到它的Index去Symbol Table/Symbols表然后拿到data
拿到data去String Table找（开始地址+编译地址）

如果程序调用系统库函数时，首先在MachO中_DATA段中建立一个指针(也就是0x00000)，指向外部函数（通过DYLD动态加载）
DYLD会动态绑定，将MachO中的_DATA段的指针指向外部函数

验证：

用上面例子先断点rebind_symbols处查看MachO文件

通过地址拿到反汇编代码

dis -s 0x0033

1	dis -s 0x0033

关于签名，是对每一个dylib单独签名加载进MachO，单个验证

怎么反Hook

防护App

逆向代码注入三方app（九）

如何改变第三方app代码？

动态库（FrameWork，Dylib）（工程和动态库有关联，动态库加载进app中）
静态注入
修改MachO文件的Load Commans

比如一些简单的代码注入，hook第三方app上的函数去改成自己的

framework注入

在xcode TARGETS增加一个framework
点击项目TARGETS/Build Phases 添加New Copy Files Phases （Destination选择Frameworks，点击+进刚才新建的framework，然后勾选Copy only when installing（编译，主要是把刚才新建的framework加载到Products/app 的Frameworks，打包进app里面，可以用image list查看）） (不用勾选Copy only when installing)
在刚才新建的Framework下新加类文件，在+load方法中加进你的代码
上面的frame只是加载进.app/FrameWorks下，但是在.app的macho并没有把rongframework加载进macho中
然后可以通过yololib把rongframework的macho加载到app的macho中（链接:https://pan.baidu.com/s/1JWQzPvi7ufMb5sKwNW2w2Q 密码:y6wg）（把yololib文件放在usr/local/bin 中就行，可以直接调用）
yololib用法（后面的路径是.app/Frameworks下载rongframework）（也就是加载二进制规则修改）（注意：Wechat修改的不是编译后的Products的Wechat 是要被替换的ipa下的Wechat执行yololib 然后在打包成ipa，然后在替换）然后看下wechat包含了rongframework,然后运行就执行你的代码了（这里主要看上一遍签名文章有写）(把Payload打包成ipa zip -ry WeChat.ipa Payload)
yololib WeChat Frameworks/RongFramework.framework/RongFramework
1
yololib WeChat Frameworks/RongFramework.framework/RongFramework
打包成新的ipa放在App下就行了（这里主要看上一遍签名文章有写 App这些是有脚本在执行）

注意：

1. 第6步最容易犯错，在找到App下的WeChatMacho文件执行（找到rongframework的macho文件对.app/相对路径

yololib WeChat Frameworks/RongFramework.framework/RongFramework

1	yololib WeChat Frameworks/RongFramework.framework/RongFramework

yololib 就是告诉WeChat要加载Frameworks/RongFramework.framework/RongFramework的macho文件，注意路径一定不要错，否则代码注入失败

2.然后勾选Copy only when installing作用？

就是把framework打包进app中，可以展示包文件在FrameWorks/下有你的framework，（这一步并没有在可执行文件中包含第6步做就行）

Dylib注入

在xcode TARGETS增加一个Libary(mac）
点击项目TARGETS/Build Phases 添加New Copy Files Phases （Destination选择Frameworks，点击+进刚才新建的Dylib，然后勾选Copy only when installing（编译，主要是把刚才新建的Dylib加载到Products/app 的Dylib，打包进app里面，可以用image list查看））和上面framework那步一样的
然后编译可以会出错dylib路径不对（dylib路径没有在Debug-iphoneos，在Debug路径下，把Debug下copy到Debug-iphoneos下就行了）(target/Build Setting搜Per-configuration Intermediate Build Files Path)，注意：在target下的Debug路径复制后copy到2个地方一个是target和dylib路径下，但是不同的target下同一变量名路径不一样，所以在dylib强制改下路径，这样就是把Debug下的lib放到Debug-iphoneos下

#重签名第三方App到手机上


#------------------------------
#变量
# ${SRCROOT} xcode工程路径
# $BUILT_PRODUCTS_DIR工程的products路径
# $TARGET_NAME target路径
# $PRODUCT_DUNDLE_IDENTIFIER  当前工程下的bundleID
# $EXPANDED_CODE_SIGN_IDENTITY 当前工程下的证书
#------------------------------


#资源路径
RESOURCE_PATH="${SRCROOT}/App"
TARGET_IPA_PATH="$RESOURCE_PATH/*.ipa"
TEMP_PATH="${SRCROOT}/Temp"

                                
#文件夹创建
rm -rf "$TEMP_PATH"
mkdir -p "$TEMP_PATH"
mkdir  "$RESOURCE_PATH"

#------------------------------
#1.解压ipa到Temp/
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"

#2.获取解压后的Temp/Payload/target.app (比如target就是你的.app名)
TEMP_PAYLOAD_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app; echo "$1")

#------------------------------
#3.获取garget/Demo.app
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"

echo "ppppppppp= $TARGET_APP_PATH"

#4.删除Demo中的.app 也就是3步的.app 后重建
rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"

#5.将2步的解压后的target.app下的所以内容 copy到工程下Products下（就是替换Demo.app为target.app）
cp -rf "$TEMP_PAYLOAD_APP_PATH/" "$TARGET_APP_PATH"


#------------------------------
#6.删除Extention和WatchApp(个人证书不能签名Extention)
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"

#7.修改Plist的bundleID （xcode中的plist右键选择None 可以看到它真实的名字CFBundleIdentifier）
#用/usr/libexec/PlistBuddy工具  用法 "Set KEY Value" "目标文件路径"
/usr/libexec/PlistBuddy -c "Set CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

#------------------------------
#8.给Macho增加执行权限
#获取macho文件 路径
APP_Macho_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
chmod +x "$TARGET_APP_PATH/$APP_Macho_BINARY"


#------------------------------
#9.重签名第三方的Frameworks (把里面所有的framework循环重签名)
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
# 不是所有的App都有FrameWork
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do

#强制签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

#------------------------------ 对于dylib <span style="font-size: 18pt;"><strong>------------------
#10.注入自定义的动态库
echo</strong></span> "开始注入"
#????? libRongHook.dylib 写死的
FRAMEWORK_PATH = "Frameworks/libRongHook.dylib"
yololib "$TARGET_APP_FRAMEWORKS_PATH/APP_Macho_BINARY" "$FRAMEWORK_PATH"
echo "注入完成✅"

#重签名第三方App到手机上

#------------------------------

#变量

# ${SRCROOT} xcode工程路径

# $BUILT_PRODUCTS_DIR工程的products路径

# $TARGET_NAME target路径

# $PRODUCT_DUNDLE_IDENTIFIER 当前工程下的bundleID

# $EXPANDED_CODE_SIGN_IDENTITY 当前工程下的证书

#------------------------------

#资源路径

RESOURCE_PATH="${SRCROOT}/App"

TARGET_IPA_PATH="$RESOURCE_PATH/*.ipa"

TEMP_PATH="${SRCROOT}/Temp"

#文件夹创建

rm -rf "$TEMP_PATH"

mkdir -p "$TEMP_PATH"

mkdir "$RESOURCE_PATH"

#------------------------------

#1.解压ipa到Temp/

unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"

#2.获取解压后的Temp/Payload/target.app (比如target就是你的.app名)

TEMP_PAYLOAD_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app; echo "$1")

#------------------------------

#3.获取garget/Demo.app

TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"

echo "ppppppppp= $TARGET_APP_PATH"

#4.删除Demo中的.app 也就是3步的.app 后重建

rm -rf "$TARGET_APP_PATH"

mkdir -p "$TARGET_APP_PATH"

#5.将2步的解压后的target.app下的所以内容 copy到工程下Products下（就是替换Demo.app为target.app）

cp -rf "$TEMP_PAYLOAD_APP_PATH/" "$TARGET_APP_PATH"

#------------------------------

#6.删除Extention和WatchApp(个人证书不能签名Extention)

rm -rf "$TARGET_APP_PATH/PlugIns"

rm -rf "$TARGET_APP_PATH/Watch"

#7.修改Plist的bundleID （xcode中的plist右键选择None 可以看到它真实的名字CFBundleIdentifier）

#用/usr/libexec/PlistBuddy工具用法 "Set KEY Value" "目标文件路径"

/usr/libexec/PlistBuddy -c "Set CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

#------------------------------

#8.给Macho增加执行权限

#获取macho文件路径

APP_Macho_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`

chmod +x "$TARGET_APP_PATH/$APP_Macho_BINARY"

#------------------------------

#9.重签名第三方的Frameworks (把里面所有的framework循环重签名)

TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"

# 不是所有的App都有FrameWork

if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];

then

for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*

#强制签名

/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"

done

#------------------------------ 对于dylib <span style="font-size: 18pt;"><strong>------------------

#10.注入自定义的动态库

echo</strong></span> "开始注入"

#????? libRongHook.dylib 写死的

FRAMEWORK_PATH = "Frameworks/libRongHook.dylib"

yololib "$TARGET_APP_FRAMEWORKS_PATH/APP_Macho_BINARY" "$FRAMEWORK_PATH"

echo "注入完成✅"

dyld: Library not loaded: @rpath/WCDB.framework/WCDB
  Referenced from: /var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/WeChat
  Reason: no suitable image found.  Did find:
	/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: code signing blocked mmap() of '/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB'
	/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: code signing blocked mmap() of '/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB'
	/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: stat() failed with errno=1
	/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: code signing blocked mmap() of '/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB'
	/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: stat() failed with errno=1

dyld: Library not loaded: @rpath/WCDB.framework/WCDB

Referenced from: /var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/WeChat

Reason: no suitable image found. Did find:

/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: code signing blocked mmap() of '/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB'

/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: stat() failed with errno=1

出现这个错误是dylib是x86，所以在TARGETS/RongHook/ 改下架构。看最下面问题

注意：很容易出现错误，检查app/frameworks是否包含了dylib，然后在检查macho是否加载进dylib

问题：

1. 自定义动态库打包到macho中，需要注意点

dyld: Library not loaded: @rpath/WCDB.framework/WCDB
  Referenced from: /var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/WeChat
  Reason: no suitable image found.  Did find:
	/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: code signing blocked mmap() of '/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB'
	/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: code signing blocked mmap() of '/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB'
	/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: stat() failed with errno=1
	/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: code signing blocked mmap() of '/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB'
	/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: stat() failed with errno=1

dyld: Library not loaded: @rpath/WCDB.framework/WCDB

Referenced from: /var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/WeChat

Reason: no suitable image found. Did find:

/private/var/containers/Bundle/Application/12F225DA-AE0D-4390-8ED9-8F57DEDBC626/DylibTest.app/Frameworks/WCDB.framework/WCDB: stat() failed with errno=1

出现这个错误是dylib是x86，所以在TARGETS/RongHook/ 改下架构如图

但是这里改这么多太麻烦。有简单办法就是

直接改Base SDk位iOS的，它会自动把上面的一些mac改为iOS
然后把Signing选iphone 证书就好

app签名原理

解析：xcode怎么运行到手机上的？（苹果主要保证app安装时它认证的，并且是他有安装到指定的设备上，在app线上是没有这些描述文件）

第一步: mac电脑上要生成一对公钥M和私钥M （公钥是从私钥生成），CSR文件(包含公钥M，可以直接cat CSR文件看下面）(CSR文件包含信息看下面)中（也就是钥匙串访问/证书助理/从证书颁发机构请求证书.. (CertificateSigningRequest.certSigningRequest)）发给苹果服务器申请证书

-----BEGIN CERTIFICATE REQUEST-----

MIICfTCCAWUCAQAwODEbMBkGCSqGSIb3DQEJARYMZDh0dkAxNjMuY29tMQwwCgYD

VQQDDANtYWMxCzAJBgNVBAYTAkNOMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB

CgKCAQEAvx0xqkl0D7zdfFqViDKEpxgftqq0yN/HTmG8Go5w/qgNDOBOoZrCpFAI

KwKzhaKt04JO3z/4B6F3CKcSCJ0OPCef3iBYQrfc+I5ONwTrg00X/knExThtbNvV

21iN1rAEoES3r7WEb+x+vbH+IBJVJtpBUraSlOlBhmKVmORNZq/7KA4X4gOC4cno

hauCwEneWl7B+vN//VuAno9Yt8xvusumOL8Gwtyzi77fGiYVj+C9e8aSRGyZBSoO

DfoM/XErcWYYsIPCVW0mrYSSxiyuk+qvA7HAQfIW4H57GUc9gd2bIjR3L8GZxjhN

6+TrFKH5aVJWDfDbfKG2cQHFSKy8dwIDAQABoAAwDQYJKoZIhvcNAQELBQADggEB

AKefLgEFYZALY8qjwAqwnN7hrLAKMYiVSwyWe9pp77EiB2UUV4Vb3PZ6GE+4

cjvCr6nus7gztjYYtSjn7wXK1AaE6+q1oxsP9EElz9k6RtqgTMmwFs7AUkGmsDuD

HcwXtxGC8a0MWgAGmuQ12NvQvZCjKf62LJxCXI1GAaLprpuabHyCyNCjXfXdm0+e

eNy9gAMSa2EmmBGKy8U1dncOW/nynPL4LxNu+Hk8X0MXSUSaNzOusIkzsIHsPEF/

EWmpmWTcuD30nbL7m0H62J4=

-----END CERTIFICATE REQUEST-----

通过命令获得

openssl asn1parse -i -in  CertificateSigningRequest.certSigningRequest

1	openssl asn1parse -i -in CertificateSigningRequest.certSigningRequest

CSR信息如下

    0:d=0  hl=4 l= 637 cons: SEQUENCE
    4:d=1  hl=4 l= 357 cons:  SEQUENCE
    8:d=2  hl=2 l=   1 prim:   INTEGER           :00
   11:d=2  hl=2 l=  56 cons:   SEQUENCE
   13:d=3  hl=2 l=  27 cons:    SET
   15:d=4  hl=2 l=  25 cons:     SEQUENCE
   17:d=5  hl=2 l=   9 prim:      OBJECT            :emailAddress
   28:d=5  hl=2 l=  12 prim:      IA5STRING         :d8tv@163.com
   42:d=3  hl=2 l=  12 cons:    SET
   44:d=4  hl=2 l=  10 cons:     SEQUENCE
   46:d=5  hl=2 l=   3 prim:      OBJECT            :commonName
   51:d=5  hl=2 l=   3 prim:      UTF8STRING        :mac
   56:d=3  hl=2 l=  11 cons:    SET
   58:d=4  hl=2 l=   9 cons:     SEQUENCE
   60:d=5  hl=2 l=   3 prim:      OBJECT            :countryName
   65:d=5  hl=2 l=   2 prim:      PRINTABLESTRING   :CN
   69:d=2  hl=4 l= 290 cons:   SEQUENCE
   73:d=3  hl=2 l=  13 cons:    SEQUENCE
   75:d=4  hl=2 l=   9 prim:     OBJECT            :rsaEncryption
   86:d=4  hl=2 l=   0 prim:     NULL
   88:d=3  hl=4 l= 271 prim:    BIT STRING
  363:d=2  hl=2 l=   0 cons:   cont [ 0 ]
  365:d=1  hl=2 l=  13 cons:  SEQUENCE
  367:d=2  hl=2 l=   9 prim:   OBJECT            :sha256WithRSAEncryption
  378:d=2  hl=2 l=   0 prim:   NULL
  380:d=1  hl=4 l= 257 prim:  BIT STRING

0:d=0 hl=4 l= 637 cons: SEQUENCE

4:d=1 hl=4 l= 357 cons: SEQUENCE

8:d=2 hl=2 l= 1 prim: INTEGER :00

11:d=2 hl=2 l= 56 cons: SEQUENCE

13:d=3 hl=2 l= 27 cons: SET

15:d=4 hl=2 l= 25 cons: SEQUENCE

17:d=5 hl=2 l= 9 prim: OBJECT :emailAddress

28:d=5 hl=2 l= 12 prim: IA5STRING :d8tv@163.com

42:d=3 hl=2 l= 12 cons: SET

44:d=4 hl=2 l= 10 cons: SEQUENCE

46:d=5 hl=2 l= 3 prim: OBJECT :commonName

51:d=5 hl=2 l= 3 prim: UTF8STRING :mac

56:d=3 hl=2 l= 11 cons: SET

58:d=4 hl=2 l= 9 cons: SEQUENCE

60:d=5 hl=2 l= 3 prim: OBJECT :countryName

65:d=5 hl=2 l= 2 prim: PRINTABLESTRING :CN

69:d=2 hl=4 l= 290 cons: SEQUENCE

73:d=3 hl=2 l= 13 cons: SEQUENCE

75:d=4 hl=2 l= 9 prim: OBJECT :rsaEncryption

86:d=4 hl=2 l= 0 prim: NULL

88:d=3 hl=4 l= 271 prim: BIT STRING

363:d=2 hl=2 l= 0 cons: cont [ 0 ]

365:d=1 hl=2 l= 13 cons: SEQUENCE

367:d=2 hl=2 l= 9 prim: OBJECT :sha256WithRSAEncryption

378:d=2 hl=2 l= 0 prim: NULL

380:d=1 hl=4 l= 257 prim: BIT STRING

第二步: 苹果用私钥S加密公钥M去生成证书一个证书和一个Provision profile文件，下载到本地，然后mac上会把私钥M和证书关联到一起（验证是否公私钥对应）也就是钥匙串中情况看图

比如如果别的mac也要编译app安装，要把私钥打成p12给他。其中证书包含mac上的公钥M和公钥M的hash值（防止篡改）

另外还有个Provision profile文件是注册的devices和cers等看图，可以通过这个路径找到（包含多个系统会进行匹配获取）

~/Library/MobileDevice/Provisioning Profiles

1	~/Library/MobileDevice/Provisioning Profiles

可以通过命令得到描述文件的信息（是xml文件可以在xcode的plist查看，也就是下面图的内容）:

security cms -D -i embe.mobileprovision

1	security cms -D -i embe.mobileprovision

第三步: 通过私钥M进行app加密签名和第2步的证书和Provision profile文件打包到app中

问题：怎么验证Provision profile文件加入到app中？

解压app后得到其中有个embedded.mobileprovision就是第2步下载的描述文件，可以对比看下

第四步: 取出第3步的证书通过公钥A（苹果内置）进行解密得到公钥M（验证Hash值是否合法），然后通过公钥M解密app签名判断app是否被修改过，在手机上2次签名认证

问题：怎么签名证书在app中？

看上面解压app后的图其中有个_CodeSignature/CodeResources这个就是，不止是app包中有，在macho可执行文件中也包含看图(通过machoView查看)

快速重签名app安装到手机上

1.手动重签名 (重签app安装到手机上)（验证通过✅）

注意这里ipa是已经砸壳后的ipa

查看本电脑所以证书 (也就是~/Library/MobileDevice/Provisioning Profiles 路径下的证书)

security find-identity -v -p codesigning

1	security find-identity -v -p codesigning

查看app是否签名？

codesign -vv -d wx.app

1	codesign -vv -d wx.app

Executable=/Users/frong/Downloads/app/微信-6.6.6(越狱应用)/Payload/WeChat.app/WeChat
Identifier=com.tencent.xin
Format=app bundle with Mach-O universal (armv7 arm64)
CodeDirectory v=20200 size=503759 flags=0x0(none) hashes=15735+5 location=embedded
Signature size=4297
Authority=(unavailable)
Info.plist=not bound
TeamIdentifier=88L2Q448
Sealed Resources version=2 rules=19 files=822
Internal requirements count=1 size=96

Executable=/Users/frong/Downloads/app/微信-6.6.6(越狱应用)/Payload/WeChat.app/WeChat

Identifier=com.tencent.xin

Format=app bundle with Mach-O universal (armv7 arm64)

CodeDirectory v=20200 size=503759 flags=0x0(none) hashes=15735+5 location=embedded

Signature size=4297

Authority=(unavailable)

Info.plist=not bound

TeamIdentifier=88L2Q448

Sealed Resources version=2 rules=19 files=822

Internal requirements count=1 size=96

Authority=(unavailable) 没有签名信息越狱应用，被砸过壳。如果有签名信息：

Authority=Apple iPhone OS Application Signing
Authority=Apple iPhone Certification Authority

查看app是否加密?

otool -l WeChat | grep crypt

1	otool -l WeChat \| grep crypt

   cryptoff 16384
    cryptsize 55164928
      cryptid 0
     cryptoff 16384
    cryptsize 59457536
      cryptid 0

cryptoff 16384

cryptsize 55164928

cryptid 0

cryptoff 16384

cryptsize 59457536

cryptid 0

cryptid 0 没有加密的（这个是越狱应用），非越狱cryptid 1

真正步骤开始

解压app后其中这些Plugins插件个人账户没办法重签名，可以直接删除这个Plugins文件夹
其中有Watch也没办法重签名直接删除
对Framework要重签名

#codesign -fs 证书 framework
codesign -fs "iPhone Developer: Rong (EGTRWsdMDR)" ma.framework

1 2	#codesign -fs 证书 framework codesign -fs "iPhone Developer: Rong (EGTRWsdMDR)" ma.framework

4. 给可执行文件执行权限（chmod +x WeChat）

5.把xcode中的Demo编译的app包的embedded.mobileprovision描述文件到Wechat的app包中

6.把xcode中Demo的BundleID赋值到Wechat的info.plist文件的名字中（可以使用通配符com.shengshui.* (后面名字随便起)）

7.查看下WeChat中的描述文件（刚才copy的那个）

security cms -D -i embedded.mobileprovision

1	security cms -D -i embedded.mobileprovision

找到权限文件Entitlements把<dict> </dict>copy生成entitlements.plist（可以用xcode生成）

8.把7步生成的entitlements.plist放在WeChat.app同级目录下

9.签名整个app

codesign -fs "iPhone Developer: Rong (EGTRWsdMDR)" --no-strict --entitlements=entitlements.plist WeChat.app

1	codesign -fs "iPhone Developer: Rong (EGTRWsdMDR)" --no-strict --entitlements=entitlements.plist WeChat.app

10.把app搞到一个单独文件夹中打包成ipa

 zip -ry WeChat.ipa Payload

1	zip -ry WeChat.ipa Payload

11.在Xcode中Widow/Devicesa and Simulators/Installed apps 点击+ 把ipa安装上就ok了 (注意中间细节如果出错一步可能就不行了)

2.Xcode重签名(更方便调试)(重签app安装到手机上)（验证通过✅）

进入Xcode编译的Demo.app，找到越狱wechat.app 替换Demo.app （名字要一样用Demo.app）
Demo.app(上面被wechat替换的)显示包内容找到info.plist文件把bundleID改为Demo的bundleID
对Framework/所以framework要重签名
#codesign -fs 证书 framework codesign -fs "iPhone Developer: Rong (EGTRWsdMDR)" ma.framework
1
2
#codesign -fs 证书 framework
codesign -fs "iPhone Developer: Rong (EGTRWsdMDR)" ma.framework
给可执行文件执行权限（chmod +x WeChat）
删除Plugins文件夹
Watch也没办法重签名直接删除
然后执行运行Demo到手机上就行了

3.脚本自动重签名app(重签app安装到手机上)（验证通过✅）

xcode demo能运行手机上
把下面脚本copy到 TRAGETS/Bunild Phases 点击+新建一个Shell script ，然后copy里面
先编译下，把ipa放工程下的App文件夹中就行
直接运行到手机上了

#------------------------------
#变量
# ${SRCROOT} xcode工程路径
# $BUILT_PRODUCTS_DIR工程的products路径
# $TARGET_NAME target路径
# $PRODUCT_DUNDLE_IDENTIFIER  当前工程下的bundleID
# $EXPANDED_CODE_SIGN_IDENTITY 当前工程下的证书
#------------------------------


#资源路径
RESOURCE_PATH="${SRCROOT}/App"
TARGET_IPA_PATH="$RESOURCE_PATH/*.ipa"
TEMP_PATH="${SRCROOT}/Temp"


#文件夹创建
rm -rf "$TEMP_PATH"
mkdir -p "$TEMP_PATH"
mkdir  "$RESOURCE_PATH"

#------------------------------
#1.解压ipa到Temp/
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"

#2.获取解压后的Temp/Payload/target.app (比如target就是你的.app名)
TEMP_PAYLOAD_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app; echo "$1")

#------------------------------
#3.获取garget/Demo.app
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"

echo "ppppppppp= $TARGET_APP_PATH"

#4.删除Demo中的.app 也就是3步的.app 后重建
rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"

#5.将2步的解压后的target.app下的所以内容 copy到工程下Products下（就是替换Demo.app为target.app）
cp -rf "$TEMP_PAYLOAD_APP_PATH/" "$TARGET_APP_PATH"


#------------------------------
#6.删除Extention和WatchApp(个人证书不能签名Extention)
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"

#7.修改Plist的bundleID （xcode中的plist右键选择None 可以看到它真实的名字CFBundleIdentifier）
#用/usr/libexec/PlistBuddy工具  用法 "Set KEY Value" "目标文件路径"
/usr/libexec/PlistBuddy -c "Set CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

#------------------------------
#8.给Macho增加执行权限
#获取macho文件 路径
APP_Macho_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
chmod +x "$TARGET_APP_PATH/$APP_Macho_BINARY"


#------------------------------
#9.重签名第三方的Frameworks (把里面所有的framework循环重签名)
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
# 不是所有的App都有FrameWork
if [ -d "$TARGET_APP_FRAMEWORKS_PATH"];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do

#强制签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

#------------------------------

#变量

# ${SRCROOT} xcode工程路径

# $BUILT_PRODUCTS_DIR工程的products路径

# $TARGET_NAME target路径

# $PRODUCT_DUNDLE_IDENTIFIER 当前工程下的bundleID

# $EXPANDED_CODE_SIGN_IDENTITY 当前工程下的证书

#------------------------------

#资源路径

RESOURCE_PATH="${SRCROOT}/App"

TARGET_IPA_PATH="$RESOURCE_PATH/*.ipa"

TEMP_PATH="${SRCROOT}/Temp"

#文件夹创建

rm -rf "$TEMP_PATH"

mkdir -p "$TEMP_PATH"

mkdir "$RESOURCE_PATH"

#------------------------------

#1.解压ipa到Temp/

unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"

#2.获取解压后的Temp/Payload/target.app (比如target就是你的.app名)

TEMP_PAYLOAD_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app; echo "$1")

#------------------------------

#3.获取garget/Demo.app

TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"

echo "ppppppppp= $TARGET_APP_PATH"

#4.删除Demo中的.app 也就是3步的.app 后重建

rm -rf "$TARGET_APP_PATH"

mkdir -p "$TARGET_APP_PATH"

#5.将2步的解压后的target.app下的所以内容 copy到工程下Products下（就是替换Demo.app为target.app）

cp -rf "$TEMP_PAYLOAD_APP_PATH/" "$TARGET_APP_PATH"

#------------------------------

#6.删除Extention和WatchApp(个人证书不能签名Extention)

rm -rf "$TARGET_APP_PATH/PlugIns"

rm -rf "$TARGET_APP_PATH/Watch"

#7.修改Plist的bundleID （xcode中的plist右键选择None 可以看到它真实的名字CFBundleIdentifier）

#用/usr/libexec/PlistBuddy工具用法 "Set KEY Value" "目标文件路径"

/usr/libexec/PlistBuddy -c "Set CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

#------------------------------

#8.给Macho增加执行权限

#获取macho文件路径

APP_Macho_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`

chmod +x "$TARGET_APP_PATH/$APP_Macho_BINARY"

#------------------------------

#9.重签名第三方的Frameworks (把里面所有的framework循环重签名)

TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"

# 不是所有的App都有FrameWork

if [ -d "$TARGET_APP_FRAMEWORKS_PATH"];

then

for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*

#强制签名

/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"

done

4.MonkeyDev

了解上面过程后也可以使用第三方的签名很简单

https://github.com/AloneMonkey/MonkeyDev

逆向签名（八）

签名原理：