对于未越狱的iOS,苹果官方开放给第三方直接访问iOS文件系统的接口非常有限,开发者只需要遵循规定,参考文档即可完成工作。因此,纯粹的App Store开发者可能对iOS系统结构一无所知。
因为权限极低,来自App Store的普通App(以下简称StoreApp)不能访问自身目录以外的绝大多数文件。而iOS一旦越狱,来自Cydia的App就可以拥有比StoreApp更高的权限,从而访问全系统文件;来自Cydia的iFile即是iOS上一个老牌的第三方文件管理App,如图2-1所示。
图2-1 iFile
还可以在AFC2服务的帮助下,通过iFunBox等PC端软件访问iOS全系统文件,如图2-2所示。
因为要逆向的对象来自于iOS,所以能够访问iOS全系统文件是开展iOS逆向工程的首要前提。
图2-2 iFunBox
iOS是由OSX演化而来的,而OSX则是基于UNIX操作系统的。这三者虽然有很大区别,但它们血脉相连。从Filesystem Hierarchy Standard和hier(7)中,可以一窥iOS目录结构的设计标准。
Filesystem Hierarchy Standard(以下简称FHS)为类UNIX操作系统的文件目录结构制定了一套标准,它的初衷之一是让用户预知文件或目录的存放位置。OSX在此基础上形成了自己的hier(7)框架。类UNIX操作系统的常见目录结构如下所示。
·/:根目录,以斜杠表示,其他所有文件和目录在根目录下展开。
·/bin:“binary”的简写,存放提供用户级基础功能的二进制文件,如ls、ps等。
·/boot:存放能使系统成功启动的所有文件。iOS中此目录为空。
·/dev:“device”的简写,存放BSD设备文件。每个文件代表系统的一个块设备或字符设备,一般来说,“块设备”以块为单位传输数据,如硬盘;而“字符设备”以字符为单位传输数据,如调制解调器。
·/sbin:“system binaries”的简写,存放提供系统级基础功能的二进制文件,如netstat、reboot等。
·/etc:“Et Cetera”的简写,存放系统脚本及配置文件,如passwd、hosts等。在iOS中,/etc是一个符号链接,实际指向/private/etc。
·/lib:存放系统库文件、内核模块及设备驱动等。iOS中此目录为空。
·/mnt:“mount”的简写,存放临时的文件系统挂载点。iOS中此目录为空。
·/private:存放两个目录,分别是/private/etc和/private/var。
·/tmp:临时目录。在iOS中,/tmp是一个符号链接,实际指向/private/var/tmp。
·/usr:包含了大多数用户工具和程序。/usr/bin包含那些/bin和/sbin中未出现的基础功能,如nm、killall等;/usr/include包含所有的标准C头文件;/usr/lib存放库文件。
·/var:“variable”的简写,存放一些经常更改的文件,比如日志、用户数据、临时文件等。其中/var/mobile和/var/root分别存放了mobile用户和root用户的文件,是重点关注的目录。
上述目录中的内容多用于系统底层,逆向难度较大,作为初学者,暂时不用在其中投入太多精力。建议初学者从学和练的角度出发,循序渐进,由易到难,先从熟悉的内容开刀,这样效率更高。
作为iOS开发者,日常操作所对应的功能模块大多来自iOS的独有目录,如下所示。
图2-3 /Applications
·/Applications:存放所有的系统App和来自于Cydia的App,不包括StoreApp,如图2-3所示。
·/Developer:如果一台设备连接Xcode后被指定为调试用机(如图2-4所示),Xcode就会在iOS中生成这个目录,其中会含有一些调试需要的工具和数据,它的目录结构如图2-5所示。
图2-4 指定设备为调试用机
·/Library:存放一些提供系统支持的数据,其结构如图2-6所示。其中/Library/MobileSubstrate下存放了所有基于CydiaSubstrate(原名MobileSubstrate)的插件。
·/System/Library:iOS文件系统中最重要的目录之一,存放大量系统组件,其目录结构如图2-7所示。
对于该目录,在逆向工程的初学阶段,需要重点关注的有:
图2-5 /Developer
图2-6 /Library
图2-7 /System/Library
·/System/Library/Frameworks和/System/Library/PrivateFrameworks:存放iOS中的各种framework,其中出现在SDK文档里的只是冰山一角,还有数不清的未公开功能等待我们去挖掘。
·/System/Library/CoreServices里的SpringBoard.app:iOS桌面管理器(类似于Windows里的explorer),是用户与系统交流的最重要中介。
“/System”目录下的玄机远不止上面提到的3个目录这么简单,更多的进阶内容,会在http://bbs.iosre.com 持续讨论。
·/User:用户目录,实际指向/var/mobile,其目录结构如图2-8所示。
这个目录里存放大量用户数据,比如:
·/var/mobile/Media/DCIM下存放照片;
·/var/mobile/Media/Recordings下存放录音文件;
·/var/mobile/Library/SMS下存放短信数据库;
·/var/mobile/Library/Mail下存放邮件数据。
另外一个非常重要的子目录是/var/mobile/Containers,存放StoreApp。值得注意的是,App的可执行文件在bundle与App中的数据目录被分别存放在/var/mobile/Containers/Bundle和/var/mobile/Containers/Data这两个不同目录下,如图2-9所示。
对iOS目录结构的初步了解有助于在发现感兴趣的功能后,想要定位其对应的文件时有规律可循。上面的介绍只是整个iOS目录结构的九牛一毛,更详细的讨论,尽在http://bbs.iosre.com 。
图2-8 /User
图2-9 /var/mobile/Containers
iOS是一个多用户操作系统。“用户”是一个抽象的概念,它代表对操作系统的所有权和使用权。比如,mobile用户无法调用reboot命令重启iOS,而root用户却可以;“组”是用户的一种组织方式,一个组可以包含多个用户,一个用户也可以属于多个组。
iOS中的每个文件都有一个属主用户和一个属主组,或者说这个用户和这个组拥有这个文件;每个文件都具有一系列权限,简单地说,权限的作用在于说明文件的属主用户能做什么,属主组能做什么,以及其他所有人能做什么。iOS用3位(bit)来表示文件的权限,从高位到低位分别是r(read)权限、w(write)权限,以及x(execute)权限。文件与用户的关系存在以下三种可能性:
·此用户是属主用户;
·此用户不是属主用户,但在属主组里;
·此用户既不是属主用户,又不在属主组里。
所以需要用3*3位来表示一个文件的权限,如果某一位为1,则这一位代表的权限生效,否则无效。例如,111101101代表rwxr-xr-x,即该文件的属主用户拥有r、w、x权限,而属主组和其他所有人只具有r和x权限;同时,二进制的111101101转换成十六进制是755,也是一种常见的权限表示法。
事实上,除r、w、x权限外,文件还可以拥有SUID、SGID和sticky等特殊权限,它们的应用频率不高,因此不占用单独的权限位,而是以简化形式出现在x权限所在的权限位中。在iOS逆向工程初学阶段,一般接触不到这些特殊权限,仅作简单了解即可。如果你对它们感兴趣,可以阅读http://thegeekdiary.com/what-is-suid-sgid-and-sticky-bit/ ,也可以来http://bbs.iosre.com 参与讨论。