关于ios:iOS逆向与安全fridatrace入门

0次阅读

共计 5954 个字符,预计需要花费 15 分钟才能阅读完成。

前言

frida-trace 是一个用于动静跟踪函数调用的工具。反对 android 和 ios。装置教程请参考官网。工欲善其事必先利其器。本文将以某 App 为示范,演示 frida-trace 的各种办法在 iOS 中的利用。

一、指标

让看文章的你在应用 frida-trace 时更得心应手。

二、工具

mac 零碎 frida:动静调试工具
已越狱 iOS 设施:脱壳及 frida 调试

三、应用

1. 命令格局

frida-trace [options] target
iOS 罕用的可选参数:

// 设施相干
-D    连贯到指定的设施,多个设施时应用。示例:frida-trace -D 555315d66cac2d5849408f53da9eea514a90547e -F 
-U    连贯到 USB 设施,只有一个设施时应用。示例 fria-trace -U -F

// 应用程序相干
-f    指标利用包名。spawn 模式。示例:frida-trace -U -f com.apple.www
-F    以后正在运行的程序。attach 模式示例。示例:frida-trace -U - F 或 frida-trae -UF
-n    正在运行的程序的名字。attach 模式。示例:frida-trace -U -n QQ
-N    正在运行的程序的包名。attach 模式。示例:frida-trace -U -N com.apple.www
-p    正在运行的程序的 pid。attach 模式。示例:frida-trace -U -p 2302
  
// 办法相干,以下参数在一条跟踪命令中可重复使用
-I    蕴含模块。示例:frida-trace -UF -I "libcommonCrypto*"
-X    不蕴含模块。示例:frida-trace -UF -X "libcommonCrypto*"
-i     蕴含 c 函数。示例:frida-trace -UF -i "CC_MD5"
-x     不包名 c 函数。示例:frida-trace -UF -i "*MD5" -x "CC_MD5"
-a     蕴含模块 + 偏移跟踪。示例:frida-trace -UF -a 模块名 \!0x7B7D48
-m     蕴含某个 oc 办法。示例:frida-trace -UF -m "+[NSURL URLWithString:]"
-M     不蕴含某个 oc 办法。示例:frida-trace -UF -M "+[NSURL URLWithString:]"
  
// 日志相干
-o    日志输入到文件。示例:frida-trace -UF -m "*[* URL*]" -o run.log

2. 常用命令

frida-trace 中的办法匹配命令反对含糊匹配,星号匹配 0 个或多个字符,问号匹配 1 个字符:

-m "-[NSURL *]"    // 匹配 NSURL 类的所有实例办法
-m "+[NSURL *]"    // 匹配 NSURL 类的所有类办法
-m "*[NSURL *]" // 匹配 NSURL 类的所有办法
-m "*[*URL *]"    // 匹配以 URL 结尾类的所有办法
-m "*[URL* *]"     // 匹配以 URL 结尾类的所有办法
-m "*[*URL* *]"    // 匹配蕴含 URL 的类的所有办法
-m "*[*URL* *login*]"    // 匹配蕴含 URL 的类的带 login 的所有办法
-m "*[????? *]"    // 匹配类名只有五个字符的类的所有办法

简而言之:

当你不确定你要跟踪的办法是类办法还是实例办法时,用星号代替

当你只晓得局部类名时,不确定的中央用星号代替

当你只晓得局部办法名时,不确定的中央用星号代替

当你不晓得办法名时,间接用星号代替

当你不晓得某个字母是大小写时,用问号代替

frida-trace 命令会在当前目录生成 ./__handlers__/ 文件夹内生成对应函数的 js 代码。当你须要打印入参,返回值。或批改入参,返回值时,可编辑对应的 js 文件。

  • 打印或批改 OC 办法的入参
$ frida-trace -UF -m "-[DetailViewController setObj:]"
Instrumenting...
-[DetailViewController setObj:]: Auto-generated handler at "/Users/witchan/__handlers__/DetailViewController/setObj_.js"
Started tracing 1 function. Press Ctrl+C to stop.

js 源码如下:

{onEnter(log, args, state) {var self = new ObjC.Object(args[0]);  // 以后对象
    var method = args[1].readUtf8String();  // 以后办法名
    log(`[${self.$className} ${method}]`);

    var isData = false;

    // 字符串
    // var str = ObjC.classes.NSString.stringWithString_("hi wit!")  // 对应的 oc 语法:NSString *str = [NSString stringWithString:@"hi with!"];
    // args[2] = str  // 批改入参

    // array
    // var 

    // 数组
    // var array = ObjC.classes.NSMutableArray.array();  // 对应的 oc 语法:NSMutableArray array = [NSMutablearray array];
    // array.addObject_("item1");  // 对应的 oc 语法:[array addObject:@"item1"];
    // array.addObject_("item2");  // 对应的 oc 语法:[array addObject:@"item2"];
    // args[2] = array; // 批改入参

    // 字典
    // var dictionary = ObjC.classes.NSMutableDictionary.dictionary(); // 对应的 oc 语法:NSMutableDictionary *dictionary = [NSMutableDictionary dictionary];
    // dictionary.setObject_forKey_("value1", "key1"); // 对应的 oc 语法:[dictionary setObject:@"value1" forKey:@"key1"]
    // dictionary.setObject_forKey_("value2", "key2"); // 对应的 oc 语法:[dictionary setObject:@"value2" forKey:@"key2"]
    // args[2] = dictionary; // 批改入参

    // 字节
    var data = ObjC.classes.NSMutableData.data(); // 对应的 oc 语法:NSMutableData *data = [NSMutableData data];
    var str = ObjC.classes.NSString.stringWithString_("hi wit!")  // 获取一个字符串。对应的 oc 语法:NSString *str = [NSString stringWithString:@"hi with!"];
    var subData = str.dataUsingEncoding_(4);  // 将 str 转换为 data, 编码为 utf-8。对应的 oc 语法:NSData *subData = [str dataUsingEncoding:NSUTF8StringEncoding];
    data.appendData_(subData);  // 将 subData 增加到 data。对应的 oc 语法:[data appendData:subData];
    args[2] = data; // 批改入参
    isData = true;

    // 更多数据类型:https://developer.apple.com/documentation/foundation

    var before = args[2];

    // 留神,日志输入请间接应用 log 函数。不要应用 console.log()
    if (isData) {
        // 打印 byte 对象
      var after = new ObjC.Object(args[2]); // 打印 NSData
      var outValue = after.bytes().readUtf8String(after.length()) // 将 data 转换为 string
      log(`before:=${before}=`);
      log(`after:=${outValue}=`);
    } else {
        // 打印字符串、数组、字段
      var after = new ObjC.Object(args[2]); // 打印进去是个指针时,请用该形式转换后再打印
      log(`before:=${before}=`);
      log(`after:=${after}=`);
    }

    // 如果是自定义对象时,应用以上办法无奈打印时,请应用以下办法:// var customObj = new ObjC.Object(args[0]); // 自定义对象
    // // 打印该对象所有属性
    // var ivarList = customObj.$ivars;
    // for (key in ivarList) {//   log(`key${key}=${ivarList[key]}=`);
    // }

    // // 打印该对象所有办法
    // var methodList = customObj.$methods;
    // for (var i=0; i<methodList.length; i++) {//   log(`method=${methodList[i]}=`);
    // }
  },
  onLeave(log, retval, state) {}}
  • 批改 OC 办法的返回值
$ frida-trace -UF -m "-[DetailViewController obj]"
Instrumenting...
-[DetailViewController obj]: Loaded handler at "/Users/witchan/__handlers__/DetailViewController/obj.js"
Started tracing 1 function. Press Ctrl+C to stop.

js 源码如下:

{onEnter(log, args, state) { },
  onLeave(log, retval, state) {
    // 字符串
    var str = ObjC.classes.NSString.stringWithString_("hi wit!")  // 对应的 oc 语法:NSString *str = [NSString stringWithString:@"hi with!"];
    retval.replace(str)  // 批改返回值
    var after = new ObjC.Object(retval); // 打印进去是个指针时,请用该形式转换后再打印
    log(`before:=${retval}=`);
    log(`after:=${after}=`);

    // 其余数据类型,请往上看
  }
}
  • 打印 C 函数的入参和返回值
$ frida-trace -UF -i "CC_MD5"
Instrumenting...
CC_MD5: Loaded handler at "/Users/witchan/__handlers__/libcommonCrypto.dylib/CC_MD5.js"
Started tracing 1 function. Press Ctrl+C to stop.

js 源码如下:

{onEnter(log, args, state) {
    // 留神。c 办法里的参数间接从下标 0 开始
    this.args0 = args[0];    
    this.args2 = args[2];
    this.backtrace = 'CC_MD5 called from:\n' +
        Thread.backtrace(this.context, Backtracer.ACCURATE)
        .map(DebugSymbol.fromAddress).join('\n') + '\n';
  },
  onLeave(log, retval, state) {var ByteArray = Memory.readByteArray(this.args2, 16);
    var uint8Array = new Uint8Array(ByteArray);

    var str = "";
    for(var i = 0; i < uint8Array.length; i++) {var hextemp = (uint8Array[i].toString(16))
        if(hextemp.length == 1){hextemp = "0" + hextemp}
        str += hextemp;
    }
    log(`CC_MD5(${this.args0.readUtf8String()})`);   
    log(`CC_MD5()=${str}=`);
    log(this.backtrace);    // 打印函数调用栈
  }
}
  • 罕用 frida-trace 命令
跟踪单个办法:`frida-trace -UF -m "-[DetailViewController obj]"`

跟踪多个办法:`frida-trace -UF -m "-[DetailViewController obj]" -m "+[NSURL URLWithString:]"`

跟踪某个类的所有办法:`frida-trace -UF -m "*[DetailViewController *]"`

跟踪某个类的所有办法并排除 viewDidLoad 办法:`frida-trace -UF -m "*[DetailViewController *]" -M "-[DetailViewController viewDidLoad]"`

跟踪整个 App 中蕴含 sendMsg 关键词的所有办法:`frida-trace -UF -m "*[* *sendMsg*]"`

须要疏忽某个字母的大小写,请应用? 代替 sendMsg 中的 M:`frida-trace -UF -m "*[* *send?sg*]"`

日志过多时,可保留到文件:`frida-trace -UF -m "*[* *sendMsg*]" -o run.log`

跟踪某个动静库:`frida-trace -UF -I "libcommonCrypto*"`

跟踪某个 c 函数:`frida-trace -UF -i "CC_MD5"`

跟踪 sub_1007B7D48 函数:`frida-trace -UF -a xxxxx\!0x7B7D48`

总结

以上就是对于 frida-trace 的根本应用,心愿能帮忙到大家。同时也倡议大家浏览官网文档:https://frida.re/docs/frida-t…

提醒:浏览此文档的过程中遇到任何问题,请关注公众号【挪动端 Android 和 iOS 开发技术分享】或加 QQ 群【812546729

正文完
ios
发表至: ios
2022-11-18
 0
关于ios:ios-app上架流程是什么怎样避免提交审核被拒
iOS无侵入埋点方案如何实现
关于ios:Swift-Learning-Summary-Subscripts
关于ios:如何将16进制转换为中文

站内搜索

-「