TrollStore巨魔商店

本网站为微信公众号：心科技，复刻汉化版本的TrollStore（巨魔商店 ）

TrollStore官网：https://ios.cfw.guide/installing-trollstore/

TrollStore 是一个永久签名的禁闭应用程序，可以永久安装您在其中打开的任何 IPA。

它之所以有效，是因为 AMFI/CoreTrust 错误，其中 iOS 不会验证用于签署二进制文件的根证书是否合法。

TrollStore 是一种工具，它使用协同设计绕过以及另一个漏洞利用，以便使用应用程序运行所需的任何权利对任何应用程序进行永久签名。

安装 TrollStore 是一个过程，该过程因您运行的设备和 iOS 而异，因此，根据所述组合，下面附上不同的指南

卸载应用程序

从 TrollStore 安装的应用程序只能从 TrollStore 本身卸载，点击应用程序或在“应用程序”选项卡中向右滑动以将其删除。

持久性帮助程序

TrollStore 中使用的 CoreTrust 错误仅足以安装“系统”应用程序，这是因为 FrontBoard 每次在启动用户应用程序之前都会进行额外的安全检查（它调用 libmis）。不幸的是，无法安装新的“系统”应用程序，这些应用程序通过图标缓存重新加载而保留下来。因此，当 iOS 重新加载图标缓存时，所有 TrollStore 安装的应用程序（包括 TrollStore 本身）都将恢复为“用户”状态，并且将不再启动。

解决此问题的唯一方法是将持久性帮助程序安装到系统应用程序中，然后可以使用此帮助程序将 TrollStore 及其已安装的应用程序重新注册为“系统”，以便它们再次可启动，TrollStore 设置中提供了此选项。

在越狱的 iOS 14 上，当 TrollHelper 用于安装时，它位于 /Applications 中，并将通过图标缓存重新加载作为“系统”应用程序持续存在，因此 TrollHelper 被用作 iOS 14 上的持久性助手。

URL 方案

从 1.3 版开始，TrollStore 取代了系统 URL 方案“apple-magnifier”（这样做是为了使“越狱”检测无法像 TrollStore 具有唯一 URL 方案时那样检测 TrollStore）。此 URL 方案可用于直接从浏览器安装应用程序，格式如下：

apple-magnifier://install?url=<URL_to_IPA>

在未安装 TrollStore （1.3+） 的设备上，这只会打开放大镜应用程序。

特征

IPA 中的二进制文件可以具有任意权利，使用 ldid 和您想要的权利 （） 进行虚假签名，TrollStore 将在安装时使用伪造的根证书对它们进行签名时保留这些权利。这为您提供了很多可能性，下面将解释其中的一些可能性。ldid -S<path/to/entitlements.plist> <path/to/binary>

被禁止的权利

A15+ 上的 iOS 12 禁止了以下三项与运行未签名代码相关的权利，如果没有 PPL 绕过，这些是不可能获得的，使用它们签名的应用程序将在启动时崩溃。

com.apple.private.cs.debugger

dynamic-codesigning

com.apple.private.skip-library-validation

取消沙盒

您的应用可以使用以下权利之一以非沙盒方式运行：

<key>com.apple.private.security.container-required</key>
<false/>

<key>com.apple.private.security.no-container</key>
<true/>

<key>com.apple.private.security.no-sandbox</key>
<true/>

The third one is recommended if you still want a sandbox container for your application.

You might also need the platform-application entitlement in order for these to work properly:

<key>platform-application</key>
<true/>

Please note that the platform-application entitlement causes side effects such as some parts of the sandbox becoming tighter, so you may need additional private entitlements to circumvent that. (For example afterwards you need an exception entitlement for every single IOKit user client class you want to access).

为了让应用具有并能够访问其自己的数据容器，可能需要额外的权利：com.apple.private.security.no-sandboxplatform-application

<key>com.apple.private.security.storage.AppDataContainers</key>
<true/>

根助手

当您的应用未沙盒化时，您可以使用 posix_spawn 生成其他二进制文件，也可以使用以下权利以 root 身份生成二进制文件：

<key>com.apple.private.persona-mgmt</key>
<true/>

您还可以将自己的二进制文件添加到您的 app bundle 中。

之后，您可以使用 TSUtil.m 中的 spawnRoot 函数以 root 身份生成二进制文件。

使用TrollStore无法实现的事情

• 获得适当的平台化 （TF_PLATFORM / CS_PLATFORMIZED)
• 生成启动守护程序（需要CS_PLATFORMIZED)
• 将调整注入系统进程（需要用户空间 PAC 旁路和 PMAP 信任级别旁路）TF_PLATFORM

致谢和延伸阅读

@LinusHenze - 发现了允许 TrollStore 工作的 CoreTrust 错误。

Fugu15 介绍

撰写有关CoreTrust错误的更多信息。