• 只要APP發(fā)布到了AppStore， AppStore都對(duì)APP進(jìn)行了加殼操作

• PP助手上下載的APP，都是已經(jīng)破解過(guò)的APP

• 什么是加殼？
  利用特殊的算法，對(duì)可執(zhí)行文件的編碼進(jìn)行改變（比如壓縮、加密），以達(dá)到保護(hù)程序代碼的目的

脫殼

• 摘掉殼程序，將未加密的可執(zhí)行文件還原出來(lái)

脫殼工具

• Clutch：https://github.com/KJCracks/Clutch

• dumpdecrypted：https://github.com/stefanesser/dumpdecrypted/

• AppCrackr、Crackulous

如何驗(yàn)證可執(zhí)行文件是否已經(jīng)脫殼?

• 使用MachView打開(kāi)可執(zhí)行文件，來(lái)查看LC_ENCRYPTION_INFO_64 下的 Crypt ID 的類(lèi)型
• 使用 otool -l XXX | grep XXXX

wdeiMac:~ www1$ otool -l WeChat | grep crypt
     cryptoff 16384
    cryptsize 55721984
      cryptid 1

注：以上所說(shuō)的 cryptid 對(duì)應(yīng)著下面圖中的宏定義

image