ios逆向之frida安装与使用

原创
2020/06/21 11:56
阅读数 1.2K

一、安装frida

  1. 在mac安装python 3

    通过 brew install python3 指令安装python3,如下所示


  2. 在mac安装frida(客户端)

    通过 pip3 install frida-tools 指令安装frida,如下所示


  3. 在iOS设备安装frida(服务端)

    在cydia中添加frida源 https://build.frida.re,点击 添加源 进行添加,如下所示


  4. 在cydia添加frida源后,搜索frida,根据iOS设备版本安装对应的frida服务端,如下所示


二、frida的使用

  1. frida tools主要有Frida CLIfrida-psfrida-tracefrida-discoverfrida-ls-devicesfrida-kill等命令工具


  2. frida-ls-devices  查看电脑连接的iOS设备信息,主要包括UDID连接方式iOS设备名称,如下所示


  3. frida-ps -U  查看通过USB连接的iOS设备上运行的程序,如下所示


  4. frida-ps -Ua 查看正在运行的应用程序,如下所示


  5. frida-ps -Uai 查看iOS设备中已经安装的应用程序,如下所示


  6. frida-ps -D <UDID> 通过iOS设备的UDID查看iOS设备中应用程序中的pid、进程名,如下所示


  7. frida-trace -U -f <bundleId>  -m "-[* *]" 用于追踪iOS应用的方法调用,当然我们使用某个功能时,如果这个功能调用的方法包含有我们需要追踪的方法,则会打印出来。中括号中前面的*表示类,后面的*表示方法,可填写具体类名、方法名,也可用正则表示,如下所示



  8. frida-kill -D <UDID> <pid>  杀死指定UDID的iOS设备的具体进程,pid为该进程的进程号,如下所示


  9. 当然我们也可以通过python及JavaScript脚本来hook iOS设备中的应用程序,如下所示(该脚本主要是跟踪函数的调用堆栈)


    start_frida.py

    import frida, sys #导入frida模块script = 'find_threadTrace.js' #准备执行的frida javaScript脚本bundle = 'com.highaltitudehacks.dvia' #准备hook的app的bundleId
    f = open(script, "r") #打开frida脚本s = f.read() #读取frida脚本
    device = frida.get_usb_device(1000) #连接usb设备 1000表示超时pid = device.spawn([bundle]) #启动指定bundleId的appsession = device.attach(pid) #附加到appscript = session.create_script(s) #创建frida javaScript脚本script.load() #load脚本到app进程中 这样即注入成功device.resume(pid) #恢复app运行sys.stdin.read()#读取打印日志


find_threadTrace.js

if(ObjC.available){ //判断Object-C类方法是否已经加载进来    console.log('\n[*] Starting Hooking');    var _className = "JailbreakDetectionVC"; //类名    var _methodName = "- isJailbroken"; //方法名    var hooking = ObjC.classes[_className][_methodName]; //通过ObjC.classes返回当前注册类的映射表找到想要hook的类名、方法名    console.log('className is: ' + _className + ' and methodName is: ' + _methodName);
Interceptor.attach(hooking.implementation,{ //Interceptor.attach拦截函数 hooking.implementation即我们需要拦截的函数地址 是有一个 //NativePointer参数 //onEnter.function(args)被拦截函数调用之前回调 其中原始函数的参数使用args数组 有使用过Xposed则它有点类似于 XPosed 的 beforeHookedMethod onEnter: function(args) { //args[0]:self //args[1]:The selector //args[2]:方法的第一个参数开始 //如下代码则是我们在函数调用之前 打印函数的调用堆栈 便于回溯函数的整个调用过程 console.log(' hook success ') this._className = ObjC.Object(args[0]).toString(); this._methodName = ObjC.selectorAsString(args[1]); console.log('Detected call to: '); console.log(' ' + this._className + ' --> ' + this._methodName); console.log('isJailbroken called from:\n' + Thread.backtrace(this.context,Backtracer.ACCURATE) .map(DebugSymbol.fromAddress).join('\n') + '\n'); //print_arguments(args); }, //onLeave.function(returnValue)被拦截函数调用之后回调 其中returnValue表示原始函数的返回值 //有使用过Xposed则它有点类似于 Xposed 的 afterHookedMethod onLeave:function(returnValue){ //如下代码则是我们在函数调用之后 打印函数的返回值及函数返回值类型 console.log('Return value of: '); console.log(' ' + this._className + ' --> ' + this._methodName); var typeValue = Object.prototype.toString.call(returnValue); console.log("\t[-] Type of return value: " + typeValue); console.log("\t[-] Return Value: " + returnValue); } });}


执行后的结果,如下所示


还有更多frida脚本,如搜索类名的脚本、搜索方法名的脚本、hook方法的脚本、修改方法返回值的脚本,如下所示


有想要测试这些frida脚本及测试该文章所使用的iOS app(DamnVulnerableiOSApp.ipa)的童鞋,可以在公众号回复"frida-ios"获取百度盘下载链接,后续文章将分析该iOS app的更多功能,如下所示


本文分享自微信公众号 - 网络安全技术点滴分享(gh_c85d6ae14603)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部