iOS越狱检测总结

iOS越狱检测总结

前言

在之前的文章中,已经带大家一起制作了一个屏蔽越狱检测的Tweak。本文就和大家一起学习整理一下iOS系统中有哪些越狱检测的点,一起完善我们的Tweak。

检测越狱文件

  • 原理:越狱后会产生额外的文件,通过判断是否存在这些文件来判断是否越狱。
  • 关键函数:fileExistsAtPath、fopen、access等
    NSString *path = @"/Applications/Cydia.app";
    NSFileManager *fileManager = [NSFileManager defaultManager];
    BOOL isDirectory = NO;
    if([fileManager fileExistsAtPath:path isDirectory:&isDirectory]){
        return 已越狱;
    }

私有目录检测

  • 原理:越狱后权限发生变化,可以获取私有目录下的文件信息、或对私有目录下的文件进行读写等操作。
  • 关键函数:stat、statfs、isWritableFileAtPath、isReadableFileAtPath、isExecutableFileAtPath、isDeletableFileAtPath、writeToFile、removeItemAtPath等
        struct stat stat_info;
        if(stat("/Application/Cydia.app", &stat_info) == 0) {
            return 已越狱;
        }

        NSError* mrror;
        NSString *test = @"jailbreak";
        NSString *path = @"/private/................./test.txt";
        if([test writeToFile:path atomically:YES encoding:NSStringEncodingConversionAllowLossy error:&mrror]) {
            return 已越狱;
        }

检测越狱软件

  • 原理:通过URL Scheme尝试打开越狱软件,能打开的话,说明已越狱
  • 关键函数:canOpenURL
    if([[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@"cydia://package/com.example.package"]])
    {
        return 已越狱;
    }

检测系统目录是否变为链接

  • 原理:越狱后一些文件目录会迁移到其他区域,但是原来的文件位置必须有效,所以会创建符号链接,链接到原来的路径
  • 关键函数:lstat
    struct stat sym;
    if(lstat("/bin/bash", &sym) == 0 || sym.st_mode & S_IFLNK)
    {
        return 已越狱;
    }

动态库检测

  • 原理1:利用_dyld_get_image_name来获取动态库,遍历信息查看是否有异常动态库
  • 关键函数:_dyld_get_image_name
    int dyld_count = _dyld_image_count();
    for (int i = 0; i < dyld_count; i++) {
        const char * imageName = _dyld_get_image_name(i);
        char * substr = "/Library/MobileSubstrate/MobileSubstrate.dylib";
        if(strcmp(imageName,substr) == 0){
            return 已越狱;
        }
    }
  • 原理2:越狱后安装的一些插件可能会将系统的函数替换,可检测一些关键函数是否出自系统的动态库
  • 关键函数:dladdr
    int ret;
    Dl_info dylib_info;
    int (*func_stat)(const char *,struct stat *) = stat;
    if ((ret = dladdr(func_stat, &dylib_info))) {
        if (strcmp(dylib_info.dli_fname,"/usr/lib/system/libsystem_kernel.dylib") != 0) {
            return 已越狱;
        }
    }
  • 原理3:一般反越狱插件会hook_dyld_get_image_name这个方法,导致匹配不到,可以利用image加载时的回调来从MachO Header中检测动态库信息,需要注意的是使用dladdr检测库信息的时候,也可能被强制返回错误,需要进一步做一下判断
  • 关键函数:dladdr
+ (void)load {
  static dispatch_once_t onceToken;
  dispatch_once(&onceToken, ^{
    _dyld_register_func_for_add_image(_check_image);
  });
}
static void _check_image(const struct mach_header *header, intptr_t slide) {
    char *path = "/usr/lib/substrate";
    Dl_info info;

    dladdr(header, &info);
    if(info.dli_fname != NULL) {
        if (strstr(info.dli_fname,path)) {
        	return 已越狱;
        }
    }
}

环境变量检测

  • 原理:注入动态库时都是通过 DYLD_INSERT_LIBRARIES 注入动态库,通过检测当前程序运行的环境变量判断是否越狱
  • 关键函数:getenv
if(!(NULL == getenv("DYLD_INSERT_LIBRARIES"))) {
	return 已越狱;
}

系统调用检测

  • 原理:与其他检测方式的原理相同,只是调用方式不同
  • 关键函数:syscall(SYS_syscall、SYS_access、SYS_stat、SYS_stat64、SYS_open、SYS_lstat、SYS_lstat64等)
if(syscall(SYS_access, "/bin/sh", F_OK) == 0){
	return 已越狱;
}

指令集调用检测

  • 原理:与系统调用的原理一样,只不过并不使用系统已经封装好的函数syscall,而是直接使用汇编执行
  • 关键函数:svc 0x80(SYS_syscall、SYS_access、SYS_stat、SYS_stat64、SYS_open、SYS_lstat、SYS_lstat64等)
MOV             X0, #0
MOV             W16, #1  //SYS_exit
SVC             0x80

其他方式检测

  • 原理1:查看是否有注入异常的类

  • 关键函数:NSClassFromString等

  • 原理2:检测沙箱完整性,如未越狱的设备无法fork子进程等

  • 关键函数:fork、posix_spawn、popen、system等

  • 原理3:检测能否执行ssh本地连接,在绝大多数的越狱设备上,一般会安装OpenSSH,如果能检测到ssh连接成功,则说明为越狱机

posted @ 2022-09-07 17:49  移动安全星球  阅读(734)  评论(0编辑  收藏  举报