越狱基础知识
越狱工具,是利用漏洞获取iOS设备的root权限,从而控制系统。越狱工具安装后会释放必备命令(如dpkg,rm,kill,bash,…)和越狱应用商店(Cydia,Sileo),同时安装Hook框架(Substrate/Substitute)。 iOS10及以下的越狱均是完美越狱,而11及以上均为不完美越狱,每次重启后反越狱状态会掉。目前出现的越狱工具主要有3种安装方式:IPA签名安装,网页安装,USB安装,其中网页安装是利用iOS10的Safari漏洞,将越狱工具(如h3lix)安装到系统中。笔者目前使用的是Checkra1n,直接USB连接手机即可安装,无需考虑签名等问题。下表为iOS8以后的越狱工具统计,更详细的越狱工具可在这里查到https://www.reddit.com/r/jailbreakhttps://www.theiphonewiki.com
Hook框架(Substrate/Substitute),实现了C函数的内联Hook以及ObjC消息的Hook。Substitute本为Substrate的一个替代品,然而目前不太稳定,有很多函数会Hook失败,所以很多基于Substrate的软件,在Substitute下会崩溃。笔者用过Unc0ver和Checkra1n,Unc0ver默认安装Substitute,而Checkra1n默认安装Substrate。Substrate/Subtitute是打包在越狱工具中的,而除了这2个Hook框架以外,Frida内自带一套Hook框架,另外Dobby(前身Hookzz)是一款稳定性不错的的开源Hook框架(优于Substitute)(注1)。另外某些越狱工具内置了作者自己开发的hook框架。
- 越狱工具之间对Hook框架的争夺也是白热化,Unc0ver越狱后,会强制屏蔽掉dlsym获取MSHookFunction函数,即便用户手动加载了Substrate或者Hookzz,也会获取不到函数!!!,这波操作太骚
常见越狱工具一览
越狱工具 | 安装方式 | 适配系统 | 网址 |
---|---|---|---|
Pangu | IPA | 8/9 | http://www.pangu.io |
Yalu | IPA | 8/10 | http://yalu.qwertyoruiop.com |
Meridan | IPA | 10 ARM64 | http://meridian.sparkes.zone |
TotallyNotSpyware | 网页 | 10 ARM64 | http://totally-not.spyware.lol |
H3lix | IPA | 10 ARM | http://h3lix.tihmstar.net |
doubleH3lix | IPA | 10 ARM64 | http://doubleh3lix.tihmstar.net |
Electra | IPA | 11 | http://coolstar.org/electra |
Chimera | IPA | 12/13 | http://chimera.coolstar.org |
Odyssey | IPA | 13 | http://theodyssey.dev |
Taurine | IPA | 14 | http://taurine.app |
Unc0ver | IPA | 11-14 | http://www.unc0ver.dev |
Checkra1n | USB | 12-14 ARM64 | http://checkra.in |
Palera1n | USB | 15-16 ARM64 | https://palera.in/ |
Dopamine | TIPA | 15-16 ARM64e | https://ellekit.space/dopamine/ |
Fugu | IPA | 13/14/15 ARM64e | https://github.com/pinauten/Fugu15 |
Xina | IPA | 15 ARM64e | https://github.com/NotDarkn/XinaA15 |
注意: Palera1n支持有根和无根越狱,支持A12以下(6S-X)的设备;Dopamine只支持无根越狱,支持A12及以上(XR-?)的设备
提供企业签越狱工具的网站
https://app.ignition.fun
https://next.tweakboxapp.com
https://geekben.org/apps
https://www.niqiuge.com/pc/yy/index.php?id=1
https://app.initnil.com/
http://jabizb.cn/
https://erjihui.vip/
https://yueyu.cydiavip.com/
https://app.ambier.cn/#/ios
https://www.cydialmg.vip/yueyu/
https://www.niqiuge.com
http://jb.aptso.cn/
https://app.nk8686.com/
https://yueyu.cydiami.com/
https://www.limufang.com/post/509.html#i-5
http://kzddck.cn/cer/
网页越狱(iOS9-10)
http://ai.id64.com/jian/ios10/index.html (10 64bit)
http://ai.id64.com/jian/xia/doubleH3lix/index.html (10 64bit)
http://ai.id64.com/jian/tiao1/H3lix/index.html (10 32bit)
http://ai.id64.com/yyu/index.html (9.2-9.3)
http://jb92.i4.cn (9.2-9.3)
越狱工具的安装
以上谈到了如何获取越狱工具,下面来谈如何安装IPA。苹果系统在非越狱状态下,安装的任何App都要对IPA做签名才可以安装。苹果的签名有以下几种
- 个人签,年费99美元,设备数限制为100,有效期1年
- 企业签,年费299美元,无设备数限制,只能公司内部使用不能发布到AppStore,安装后需手动信任证书
由此,IPA的安装也有以下方式
- 下载企业签版App,直接安装即可(Safari下载IPA——信任企业签——安装成功)。这种方式无需考虑签名问题,但是由于经常被举报导致企业签掉签,从而无法下载安装。
- 若越狱工具提供源码,那么可以用XCode编译出IPA,使用自己的appid签名安装即可
- 若越狱工具不提供源码,那么下载其包含的IPA,然后用CydiaImpactor/AltDeploy/AltStore进行签名。此类工具需要用到苹果账号
- 如果使用Checkra1n,那么只需要将手机使用USB连电脑进行安装即可,整个过程较为简单且失败率接近0
CydiaImpactor使用
支持Windows/Linux/Mac。下载安装http://www.cydiaimpactor.com,将手机通过USB连接电脑,CydiaImpactor菜单——设备——安装App,输入苹果账号密码即可自动安装。注意如果苹果账号开启了两步验证那么需要输入的不是密码而是16位App专用密码,App专用密码在这里生成:https://appleid.apple.com/account/manage。笔者一直使用该工具安装IPA。
AltStore使用
支持Windows/Mac。下载安装https://altstore.io,将手机通过USB连接电脑,在AltServer中安装AltStore,在手机中输入苹果账号,AltStore便安装于手机中,在AltStore中安装IPA即可。
AltDeploy使用
支持Mac。下载安装https://github.com/pixelomer/AltDeploy/releases,将手机通过USB连接电脑,打开Mac自带邮箱App,然后输入苹果账号安装IPA。AltDeploy是基于AltStore开发的,与AltStore不同的是AltStore运行在手机端,更方便一些。
重签&续签
签名快到期时需要进行重签,避免过期了无法运行App。AltStore可以进行手动重签。而Reprovision(Cydia里安装)可以自动续签。
第三方UDID签
此类在线服务不需要电脑只需要iPhone就可以签名,此类工具是整合了多个开发者账号做成的,按月按设备收费,通常一个月几十块钱比较贵,在2020年前后比较火,github上有项目可以自动搭建这种呢udid签平台
SideLoadly
用侧载技术签名IPA,支持USB&Wifi连接手机进行签名,支持iOS7以上的系统,只需要一个AppID账号即可。方便且免费
TrollStore
利用系统签名漏洞进行永久签,是个IPA,需要先用AppID将自身IPA安装到iOS系统(需要电脑),然后就可无限制签名任意App。支持iOS14-17.0系统
轻松签/全能签等
利用TrollStore做成的第三方服务,无需电脑,支持iOS14-17.0系统