演示环境

iphone 10+ 越狱

Frida 15.2.2

python3

mac中安装Frida(客户端)

pip3  install frida==15.2.2 pip3  install frida-tools==11.0.0 pip3  install objection==1.11.0

在iOS设备安装frida(服务端)

越狱手机上安装frida

打开手机上的cydia,添加软件源,地址: https://build.frida.re
然后搜索:Frida
点击安装

frida tools主要有Frida CLIfrida-psfrida-tracefrida-discoverfrida-ls-devicesfrida-kill等命令工具

Frida常用命令

1.

查看电脑连接的iOS设备信息,主要包括UDID连接方式iOS设备名称,如下所示

frida-ls-devices

2.

查看通过USB连接的iOS设备上运行的程序,如下所示

frida-ps -U

3.

查看正在运行的应用程序,如下所示

frida-ps -Ua

4.

查看iOS设备中已经安装的应用程序,如下所示

frida-ps -Uai

5.

通过iOS设备的UDID查看iOS设备中应用程序中的pid、进程名,如下所示

frida-ps -D <UDID>

6.

hook手机进程6663的CCCrypt函数,去掉-U则hook电脑App

frida-trace -U -i CCCrypt 6663

7.

hook OC函数

frida-trace -U -m "+[BeaconEncryptUtil enCryptDES:key:iv:]" 6533

8.

hook C/C++函数

frida-trace -i "SSL_write" xxxAPP

9.

用于追踪iOS应用的方法调用,当然我们使用某个功能时,如果这个功能调用的方法包含有我们需要追踪的方法,则会打印出来。中括号中前面的表示类,后面的表示方法,可填写具体类名、方法名,也可用正则表示,如下所示

frida-trace -U -f <bundleId> -m "-[* *]"

frida-trace -U -f com.saurik.Cydia -m " -[UnityURLRequest wantCertificateCallback]" 

10.

杀死指定UDID的iOS设备的具体进程,pid为该进程的进程号

frida-kill -D <UDID> <pid>

JavaScript脚本

执行login.js脚本hook xxxAPP,并启动xxxAPP

frida --no-pause -f xxxAPP /Contents/MacOS/xxxA -l js/login.js

python及JavaScript脚本

start_frida.py

import frida, sys #导入frida模块script = 'find_threadTrace.js' #准备执行的frida javaScript脚本bundle = 'com.highaltitudehacks.dvia' #准备hook的app的bundleId f = open(script, "r") #打开frida脚本s = f.read() #读取frida脚本 device = frida.get_usb_device(1000) #连接usb设备 1000表示超时pid = device.spawn([bundle]) #启动指定bundleId的appsession = device.attach(pid) #附加到appscript = session.create_script(s) #创建frida javaScript脚本script.load() #load脚本到app进程中 这样即注入成功device.resume(pid) #恢复app运行sys.stdin.read()#读取打印日志

find_threadTrace.js

if(ObjC.available){ //判断Object-C类方法是否已经加载进来    console.log('\n[*] Starting Hooking');    var _className = "JailbreakDetectionVC"; //类名    var _methodName = "- isJailbroken"; //方法名    var hooking = ObjC.classes[_className][_methodName]; //通过ObjC.classes返回当前注册类的映射表找到想要hook的类名、方法名    console.log('className is: ' + _className + ' and methodName is: ' + _methodName);     Interceptor.attach(hooking.implementation,{ //Interceptor.attach拦截函数 hooking.implementation即我们需要拦截的函数地址 是有一个    //NativePointer参数    //onEnter.function(args)被拦截函数调用之前回调 其中原始函数的参数使用args数组 有使用过Xposed则它有点类似于 XPosed 的 beforeHookedMethod        onEnter: function(args) {            //args[0]:self            //args[1]:The selector            //args[2]:方法的第一个参数开始            //如下代码则是我们在函数调用之前 打印函数的调用堆栈 便于回溯函数的整个调用过程            console.log(' hook success ')            this._className = ObjC.Object(args[0]).toString();            this._methodName = ObjC.selectorAsString(args[1]);            console.log('Detected call to: ');            console.log(' ' + this._className + ' --> ' + this._methodName);            console.log('isJailbroken called from:\n' + Thread.backtrace(this.context,Backtracer.ACCURATE)            .map(DebugSymbol.fromAddress).join('\n') + '\n');            //print_arguments(args);        },        //onLeave.function(returnValue)被拦截函数调用之后回调 其中returnValue表示原始函数的返回值        //有使用过Xposed则它有点类似于 Xposed 的 afterHookedMethod        onLeave:function(returnValue){            //如下代码则是我们在函数调用之后 打印函数的返回值及函数返回值类型            console.log('Return value of: ');            console.log(' ' + this._className + ' --> ' + this._methodName);            var typeValue = Object.prototype.toString.call(returnValue);            console.log("\t[-] Type of return value: " + typeValue);            console.log("\t[-] Return Value: " + returnValue);        }    });}

参考:

ios逆向之frida简单教程

ios逆向之frida安装与使用基础

Q.E.D.

  • reword 您的打赏,就是俺创作的动力