XCode调试越狱iOS上任意App和系统进程/查看界面元素 ...

作者：lichao890427 发布时间：3 天前

背景
近一年没发过帖子了，近几年一直在iOS系统深耕，现在分享一个我去年的研究成果，项目地址[https://github.com/lich4/debugserver_azj]。
此项目为增强越狱环境下iOS上的调试器功能。主要为以下几点：
[ol]

使XCode支持调试任意第三方签名的App或者进程，包括系统进程

使XCode支持查看任意App界面布局
笔者主要用的调试方式仍然是命令行远程调试，而图形化调试在某些情况下方便一些，如果开发了某些Tweak想要调试，使用XCode附加调试也能起到很好的效果
[/ol]
分析
笔者环境: XCode11.x + iOS12.x
先从XCode入手研究XCode怎么实现调试的，可以看到设备在首次连接到Mac上时，会挂一个/Developer分区进去，debugserver就在其中，此debugserver用于XCode调试有自己开发着签名的App。而挂载的dmg其实在/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport/12.5/DeveloperDiskImage.dmg
而Cydia源里其实也提供debugserver，此debugserver可以用于命令行远程调试任意进程，实际上是加了root权限和额外的entitlemet。XCode控制debugserver是通过lockdownd来通信的，此系统进程提供了USB相关的各种功能，例如XCode安装调试，还有爱思助手的各种功能，都要走lockdownd(如果想改爱思助手显示的设备参数其实也是从这里改)。
经过调试可以定位关键系统API为SMJobSubmit
{
EnvironmentVariables =    {
      "LOCKDOWN_MACH_SERVICE" = "lockdown.2144085414520.com.apple.debugserver";
};
KeepAlive = 0;
Label = "lockdown.2144085414520.com.apple.debugserver";
LaunchOnlyOnce = 1;
MachServices =    {
      "lockdown.2144085414520.com.apple.debugserver" = 1;
};
POSIXSpawnType = Interactive;
ProgramArguments =    (
      "/Developer/usr/bin/debugserver",
      "--lockdown",
      "--launch=frontboard"
);
RunAtLoad = 0;
UserName = mobile;
}
可以发现XCode使用了/Developer/usr/bin/debugserver。但由于debugserver缺少root权限以及entitlemet导致无法附加到系统进程，因此XCode正常情况无法调试系统进程和第三方App(MonkeyDev之类重打包不算)。那么直接换成Cydia源里的debugserver是否可行呢，经过笔者测试，那个debugserver也是无法使用的，因为苹果原生debugserver是支持--lockdown参数的，而Cydia源的却不支持，因此必须自行改版debugserver。这一步其实很简单，将Cydia源里的debugserver的entitlement，ldid签名到Developer的debugserver即可。
下一步，想办法让lockdownd使用我们改版debugserver，最直接的想法是做个dmg，让lockdown挂上去，然而经过逆向和测试发现DeviceSupport下的有DeveloperDiskImage.dmg和DeveloperDiskImage.dmg.signature，后者用于文件校验，且用到RSA加密了，无解。因此笔者考虑使用tweak来改lockdownd
编码
替换ProgramArguments中的debugserver为我们定制的debugserver即可
#include
#include
#import
static void nouse(){}
static void* _SMJobSubmit = (void*)nouse;
static void* _CFPropertyListCreateData = (void*)nouse;
static int last_inst_time = 0;
%hookf(CFDataRef, _CFPropertyListCreateData, CFAllocatorRef allocator, CFPropertyListRef propertyList, CFPropertyListFormat format, CFOptionFlags options, CFErrorRef* error) {
if (CFGetTypeID(propertyList) == CFDictionaryGetTypeID()) {
      NSDictionary* info = (__bridge NSDictionary*)propertyList;
      if (info[@"Service"] != nil && [info[@"Service"] isEqualToString:@"com.apple.mobile.installation_proxy"]) {
         last_inst_time = time(0);
      }
}
return %orig;
}
%hookf(Boolean, _SMJobSubmit, CFStringRef domain, CFDictionaryRef job, CFTypeID auth, CFErrorRef *outError) {
NSMutableDictionary* mjob = [(__bridge NSDictionary*)job mutableCopy];
if (job != nil && mjob[@"ProgramArguments"] != nil) {
      NSArray* argv = mjob[@"ProgramArguments"];
      NSString* full_cmd = [argv componentsJoinedByString:@" "];
      NSLog(@"debugserver_azj %@", full_cmd);
      NSString* path = argv.firstObject;
      if (time(0) - last_inst_time > 3) { // 防止影响Xcode安装调试普通App
         NSOperatingSystemVersion sysver = NSProcessInfo.processInfo.operatingSystemVersion;;
         int mv = sysver.majorVersion;
         if ([path isEqualToString:@"/Developer/usr/bin/debugserver"]) {
            NSMutableArray* margv = [argv mutableCopy];
            if (mv = 15) { // XCode 12+ is need for iOS15  // not test on iOS16+
                  margv[0] = @"/usr/bin/debugserver_azj15";
            }
            mjob[@"UserName"] = @"root";
            mjob[@"ProgramArguments"] = margv;
         } else if ([path isEqualToString:@"/Developer/usr/libexec/gputoolsd"]) {
            NSMutableArray* margv = [argv mutableCopy];
            if (mv = 15) { // not test on iOS16+
                  margv[0] = @"/usr/bin/gputoolsd_azj15";
            }
            mjob[@"UserName"] = @"root";
            mjob[@"ProgramArguments"] = margv;
         }
         job = (__bridge_retained CFDictionaryRef)mjob;
      }
}
return %orig;
}
%ctor {
_SMJobSubmit = dlsym(RTLD_DEFAULT, "SMJobSubmit");
_CFPropertyListCreateData = dlsym(RTLD_DEFAULT, "CFPropertyListCreateData");
}
使用
附加已有进程不必赘述，直接选择"Attach to Process by PID or Name"即可，这里谈下启动附加。由于进程在启动以后，再附加调试可能错过启动时刻的执行逻辑，因此可以在进程启动前就选择"Attach to Process by PID or Name"并指定进程名，然后启动进程，这样能实现启动时附加(底层是通过debugserver的-waitfor实现)
而获取界面元素则和正常开发相同，先暂停进程，然后选择"View Debugging" -> "Capture View Hierarchy"

截屏2023-07-15 12.12.59.png (2.25 MB, 下载次数: 0)
下载附件
2023-7-15 12:16 上传

注意
本插件在iOS9/10/12/13/14/15 iPhone5s/6/6s/7/X上均做过测试，XCode11.7完美支持iOS9-14
[ol]

安装完本插件需要重新插拔USB，以便注入到lockdownd生效。

若App有反调试，需要先想办法去除反调试

若调试老型号手机出现Jetsam相关错误，为调试时内存占用过大被系统kill，需要开发tweak使用memorystatus_control修改下进程权限。这种情况笔者在分析iOS10的SpringBoard界面元素时遇到过

附加时间: iOS15 > iOS13/14 > iOS12 ... ；iOS15上附加进程速度会比较慢，笔者测附加Safari在2分钟左右

XCode12.x附加调试iOS15的SpringBoard会因为时间过长而导致桌面被系统kill，但XCode13.x却可以

本插件只增强附加调试，会影响XCode调试普通App，所以代码中设置last_inst_time用于记录IPA安装时间避开XCode安装调试。(其实也可以在设置里增加开关来控制是否root身份启动debugserver不过那样更麻烦一些)。

亲测支持无根越狱(dopamine已测)，arm64e架构，安装我提供的release里arm64e的deb即可
[/ol]
后记(2024年6月)
之前遇到lldb卡几分钟的主要原因是DeviceSupport文件不正确导致lldb从内存读取符号，所以速度缓慢，需要先用高版本XCode生成正确的DeviceSupport再进行调试

进程, 系统

XCode调试越狱iOS上任意App和系统进程/查看界面元素

相关帖子

热门主题

去医院看发烧，检查花了 640

有个小问题，进来看看

公众号刷粉有能做的吗？

黑五 VPS 求推荐 4C8G 亚太或者美西地区月

将表格导入到 Confluence，有什么好办法？

一个优秀的女站长，背后一定有十个优秀的男

搬家的感觉是真不得劲啊

每天手动复制粘贴十几条还是这个鸟样！要不

做一个影视导航CMS

这个导航网站模板怎么样

热门板块

公告

网站帮助 - Yoo趣儿

我们的愿景

在 Yoo趣儿投放广告

Yoo趣儿网站用户应遵守规则