Hopper Disassembler是个非常好用的逆向工具，在其官网上还提供了Demo版，不过有半小时的限制。这次我们要逆向的对象就是Hopper Disassembler v2.8.1，目的有三：

• 取消半小时时间限制
• 导出程序
• 在Hopper内使用GDB

- 仅供逆向研究，不放出任何已破解的程序，Hopper绝对是物超所值的。

- Shut up and take my money!

这个版本的Hopper还没有做太多防范，我们甚至可以直接class-dump出它的头文件。

$ class-dump -H -o Hopper /Applications/Hopper Disassembler.app/Contents/MacOS/Hopper Disassembler

话不多说，先以register做为关键字搜索吧。

根据文件名，至少能看出HopperAppDelegate应该是比较关键的。打开一看，这一串函数立刻就暴露了：

- (BOOL)checkSavedRegistration;
- (id)registrationOrderID;
- (id)registrationName;
- (id)registrationData;
- (id)registrationOrderID:(id)arg1;
- (id)registrationName:(id)arg1;
- (BOOL)checkRegistrationLicense:(id)arg1;

那么这些利用Objective-C的runtime就能搞定。

搞定后启动Hopper，没有了原来的"Try the demo"，可是半小时后还是会弹出试用结束的Alert。这一次我们以expire为关键字搜索。

看来是HopperDocument呢。果然：

- (id)expired:(id)arg1;

那么这个继续用runtime搞定。再次打开Hopper，半小时后，没有了试用到期的alert了。不过，这还不完美，因为我们还不能保存修改后的可执行文件，也不能在Hopper内使用GDB。

可是我们明明已经把能Hook的都给Hook了啊，还能想到的，那就是在执行「保存」和「GDB」时，还有别的函数在检查，而且很有可能不是Objective-C写的。

这一次就让我们用Hopper来反编译Hopper吧！以子之矛，攻子之盾！

在Hopper的搜索框里输入gdb，可以看到很多相关的函数

不过这其中有一个和刚才的expired处于同一个类中，也就是toggleGDBWindow. 从字面上来看，切换GDB窗口，应该就是我们想要找的了。

跳到这个方法的汇编中，可以看见它调用了一个C函数，getApplicationStatus。

这个C函数返回的值保存在eax中，随后的

test eax, eax
je 0x10001ed4d

即 if (eax == 0) { goto loc_0x10001ed4d;}

函数返回0则跳转到0x10001ed4d处，那么0x1000ed4d是什么呢？

已经很明显了呢，那么我们的目标就是这个getApplicationStatus函数了。

可是Hook C函数，在iOS上我们有CydiaSubstrate的MSFindSymbol帮我们，可是Mac上呢？对于私有C函数，我们似乎是无能为力。

不管怎么说，先看看这个C函数的汇编码吧。

很简单的调用，就是返回了currentStatus的值。再看一下这个函数的Cross References呢。

很多地方都用到了啊，那么我们只要小小的修改一下函数返回值不就全搞定了吗？

不过不能用runtime搞定的话，我们就来简单粗暴的方法吧！直接修改机器码！

如果我们能把

mov eax, dword [ds:___currentStatus_1004bec90]

改为我们想要的

mov eax, 0x1

就大功告成了。

在这一句汇编的左边，我们可以看见它的机器码：8B051AC74B00

于是借助Hex编辑器，搜索8B051AC74B00

仅仅拿到这些还不够，我们还需要知道mov eax, 0x1的机器码，这又得靠Hopper了，虽然不能直接保存。

于是我们就得到了机器码B801000000，不过这比原来的差一个字节，没关系，用nop补上吧～（nop的机器码和刚才一样的方法得到）

于是我们把8B051AC74B00替换为B80100000090

保存之后再打开Hopper，点击GDB

再试试保存功能、

嗯，没问题了呢！