Frida学习笔记(iOS为主)(不定时更新)

已于 2022-06-23 15:36:30 修改
阅读量2.6k 收藏 13
点赞数
分类专栏: 逆向 #iOS逆向 文章标签: ios 安全
于 2021-12-06 22:47:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/121758208
版权

目录

1. 基础

1.1 字符串处理

const NSString = ObjC.classes.NSString

# 创建字符串
var mystr = NSString.stringWithString_("Example");

1.2 根据关键字搜索方法并Hook

var resolver = new ApiResolver('objc');

// enumerateMatches() 中参数为正则表达式,格式为 *[* *]
resolver.enumerateMatches('*[aa* bbb*]',{
    onMatch: function(match){
        console.log(match['name'] + ":" +match['address']);
        var method = match['name'];
        var implementation = match['address'];

        if (method.indexOf(".cxx_destruct") == -1 ){
            try{
                Interceptor.attach(ptr(implementation), {
                    onEnter: function(args){
                        console.log("======onenter=======");
                        console.log("[*] Method Name: " + method);
                      	// args[0]指向类本身
                        // args[1]指向selector
                      	// oc的参数从args[2]开始
                        console.log("[*] args[2]: " + args[2]);
                      
                      	// 实体化为oc类
                        var arg2 = new ObjC.Object(args[2]);
                        console.log(arg2.toString());
                    },
                    onLeave: function(retval){
                        console.log("======onleave=======");
                        console.log("[*] Method Name: " + method);
                        console.log("\t[-] retval: " + retval);
                    }
                });
            } catch(err){
                console.log("[!] Exception: " + err.message);
            }
        }
    },
    onComplete: function(){}
});

1.3 直接Hook类方法

var hook = ObjC.classes.DeviceManager['+ isDeviceJailed'];
Interceptor.attach(hook.implementation, {
    onEnter: function (args) {
      },
     onLeave:function(retval){
        retval.replace(0x0);
     }
});

1.4 OC类常用参数

var cwObj = new ObjC.Object(args[0]);
console.log(`==> classname ${cwObj.$className}`);				// 类名
console.log(`==> ownmethods ${cwObj.$ownMethods}`); 		// 类方法
console.log(`==> methods ${cwObj.$methods}`);						// 类方法,包含父类方法

var ivars = cwObj.$ivars;																// 类参数
console.log(`==> _movieURL ${ivars.param1}`);

1.5 直接调用OC类方法

类似字符串处理的方式

const UIImage = ObjC.classes.UIImage;

var path = 'path/myphoto.jpg'

var img = UIImage.imageWithContentsOfFile_(path); //UIImage

1.6 查看应用运行目录

这里使用基于frida的一个工具objection

objection  -g [AppName] explore

env

2. 进阶

2.1 根据地址Hook方法

先获取当前运行的Module名称, 一般和ipa包的名字时一致的

var modules = Process.enumerateModules();
for(var i=0;i<modules.length;i++){
		console.log(`== Name: ${modules[i].name}  <${modules[i].base}>`);
}

利用目标函数的相对地址获取绝对地址并hook

/**
* 根据module名字和目标方法的偏移地址获得方法的绝对地址
*/
function get_func_addr(module, offset) {
    // 根据名字获取module地址
    var base_addr = Module.findBaseAddress(module);
    console.log("base_addr: " + base_addr);
  
    console.log(hexdump(ptr(base_addr), {
              length: 16,
              header: true,
              ansi: true
    }));
  
    var func_addr = base_addr.add(offset);
    if (Process.arch == 'arm')
       return func_addr.add(1);  //如果是32位地址+1
    else
       return func_addr;
 }

// 获取目标函数的绝对地址
var func_addr = get_func_addr('Myapp', 0x387C04);
console.log('func_addr: ' + func_addr);

Interceptor.attach(ptr(func_addr), {
    onEnter: function(args) {
        console.log("====onEnter=====");
        console.log("arg0: " + args[0]);
        console.log(hexdump(ptr(args[0]), {
            length: 64,
            header: false,
            ansi: false
        }))
        console.log("arg1: " + args[1]);
        console.log("arg2: " + args[2]);
    },
    onLeave: function(retval) {
        console.log("====onLeave=====");
        console.log("arg0: " + retval);
        console.log(hexdump(ptr(retval), {
            length: 64,
            header: true,
            ansi: true
        }))
    }
});

2.1 Hook Native方法

const resolver = new ApiResolver('module');
resolver.enumerateMatches('exports:*CGGeometry*!*Rect*',{
        onMatch: function(match){
            console.log(match['name'] + ":" +match['address']);
            var method = match['name'];
            var implementation = match['address'];
    
            if (method.indexOf(".cxx_destruct") == -1 ){
                try{
                    Interceptor.attach(ptr(implementation), {
                        onEnter: function(args){
                            console.log("======onenter=======");
                            console.log("[*] Method Name: " + method);
                            console.log(args[0]);
                            console.log(hexdump(ptr(args[0]), {
                                length: 64,
                                header: true,
                                ansi: true
                            }))    
                        },
                        onLeave: function(retval){
                            console.log("======onleave=======");
                            console.log("[*] Method Name: " + method);
                            console.log("\t[-] retval: " + retval);
                        }
                    });
                } catch(err){
                    console.log("[!] Exception: " + err.message);
                }
            }
        },
        onComplete: function(){}
    });

2.3 向内存中写入数据

var array = [0xaa, 0x12, 0x22];

// 直接写数据可能存在权限问题,先修改内存权限
Memory.protect(targetAddr, array.length, 'rw-');

// 写入数据
Memory.writeByteArray(targetAddr, array);

2.4 直接调用Native方法

/** 
 * 调用NativeFunction,利用CoreMedia中的方法,从CMSampleBuffer中提取ImageBuffer 
 */
const CMSampleBufferGetImageBufferPtr = Module.getExportByName('CoreMedia','CMSampleBufferGetImageBuffer');

const CMSampleBufferGetImageBuffer = new NativeFunction(CMSampleBufferGetImageBufferPtr, 'pointer', ['pointer']);

var cvPixelBufferPtr = CMSampleBufferGetImageBuffer(bufferPtr);

2.5 对Native指针的操作

例如打印模板地址的字符串

// args[1] 目标地址
// args[2]要打印的字符串的长度
new NativePointer(args[1]).readCString(parseInt(args[2]))
Morphy_Amo
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
Frida系列--AES逆向解密篇
Tasfa的博客
04-07 2853
CCCrypt等Frida 解密函数解析
frida破解aes对称加密算法
不仅仅是个程序员的博客
07-15 1110
CCCrypt 在iOS的对称加密算法中,常用的是aes,对应的是C函数 CCCrypt函数。 CCCryptorStatus CCCrypt( CCOperation op, /* kCCEncrypt, etc. */ CCAlgorithm alg, /* kCCAlgorithmAES128, etc. */ CCOptions options, /* kCCOptionPKCS7Padding, etc. */ const v
安卓APP逆向进阶-Frida介绍
gap12521的专栏
06-24 1112
函数 Hook: 可以动态 hook 应用程序内部的函数,能够检查、修改或者替换函数的行为,用于绕过应用程序的安全检查、改变应用程序的逻辑或注入自定义功能。Frida 是一款开源的动态代码检测工具,可以用于分析和修改移动应用程序的行为。应用程序检测和仪表化: 可以对应用程序进行动态检测和分析,添加日志记录、跟踪或性能分析等功能,用于调试、性能分析和复杂行为的调查。自动化和脚本化: Frida 提供了强大的脚本引擎,可以用于自动化复杂的任务和工作流,如大规模的应用程序分析、模糊测试和安全测试。
ios+app抓包及frida绕过(学习笔记
tddjjjxxx的博客
10-31 2026
1、将砸壳后的可执行文件放到IDA中打开,shift+fn+f12打开可执行文件中的所有字符串,再CTRL+C搜索字符串,选择后按X查看该字符串(请关闭代理)的引用。注:一般来说,程序实现某一功能是定义一个函数,然后用到时去调用这个函数,所有‘请关闭代理’这个字符串会出现多次,只需找到实现检测代理功能的函数地址即可,忽略调用检测代理函数的函数。)放到IDA中,全局搜索程序提示的关键字,定位到该关键字所在的函数,使用frida注入js修改函数的返回值(检测结果),从而实现绕过。
frida学习笔记——目录
PDD123的专栏
04-02 159
frida
FridaHOOK 学习笔记2
天在等我,菜鸟想飞
08-31 3012
frida
Android逆向学习Frida逆向与抓包实战学习笔记(持续更新中)
OrientalGlass的博客
05-27 3379
注意:由于frida更新较快,需要保证objection版本的发布时间在frida之后.最新的objection版本为1.11.0,对应的frida版本最大为14.2.14,frida-tools为9.2.2。在上面的参数中,-U指定usb设备,-l指定注入脚本所在路径,最后的androdi.process.media则是设备上正在运行的进程名。注意:调用这两个函数输出的结果是在android studio控制台,不在frida控制台,frida控制台输出的是js脚本中的内容.
IOS逆向之frida安装
Codeooo 博客
02-28 1万+
谁让他低版本,不支持 CrackerXI砸壳呢,当时你要是使用 frida-ios-dump 也是可以的;可以cmd 运行 frida --version 来查看电脑及python的版本,这些都要 对应起来;首先手机要越狱,这个就不说了,博主就是咸鱼搞了个160的苹果6,若要安装ios最近版本,直接添加frida源,搜下载即可;然后呢,从git安装我现在用的 15的大版本;且支持11-13系统吧,太低的支持不了;在cydia中添加frida源。安装即是运行,直接查看进行;默认密码 alpine。
iOS逆向之hook框架frida的安装和使用
热门推荐
╰つ栺尖篴夢ゞ
10-23 4万+
一、Frida Frida 是一款基于 Python + javascript 的 hook 框架,通杀 android\iOS\linux\win\osx 各平台。Frida 原理是手机端安装一个 server 程序把手机端的端口转到 PC 端写的 python 脚本进行通信,而 Python 脚本中采用 javascript 语言编写 hook 代码。 ① install frida on device Start Cydia and add Frida’s repository by navig
iOS安全】越狱iOS安装Frida | 安装指定版本Frida | Frida使用
Juruo@Security
12-28 3289
iOS安全】越狱iOS安装Frida | 安装指定版本Frida
frida-ios-dump-master.zip
09-21
frida-ios-dump-master.zip
frida-ios-hook:一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值
04-27
Frida iOS挂钩一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值。 对于Android平台: : 环保操作系统支持作业系统支持的著名的苹果系统 :check_mark_button: 主要的Linux :check_mark_button: 子视窗 ...
安卓逆向学习笔记Frida Stalker Trace算法.docx
03-19
### 安卓逆向学习笔记Frida Stalker Trace算法 #### 一、引言 在安卓逆向工程领域,动态分析工具如Frida因其灵活性和强大的功能备受推崇。其中,Frida Stalker作为Frida的一个重要插件,能够帮助开发者和安全...
安卓逆向学习笔记之使用frida改进FART.docx
03-29
### 安卓逆向学习笔记之使用frida改进FART #### 一、FART工具原理及工作流程 FART(Find And Replace Tool)是一种针对Android应用进行逆向工程的工具,主要用于查找并替换Android应用中的指定代码或数据。本文档...
安卓逆向学习笔记Frida 辅助分析ollvm指令替换
03-09
### 安卓逆向学习笔记Frida 辅助分析ollvm指令替换 #### 一、概述 本文档旨在探讨如何使用Frida工具辅助进行Android应用逆向工程中的ollvm指令替换技术。逆向工程是软件安全领域的一个重要组成部分,通过分析二...
iOS】—— retain\release实现原理和属性关键字
qq_72437394的博客
07-25 772
首先来看一下retain的源码: 我们根据图来看一下retain步骤:看一下release的源代码: 我们根据图来看一下release步骤:属性关键字是用来修饰属性的关键字,保证程序的正常执行。weak将常用来修饰OC对象数据类型,修饰的对象释放之后,指针会自动置nil,这是弱引用的表现。**在ARC的环境下,为了避免循环引用,delegate往往是用的是weak修饰。在MRC下使用assgin修饰。**当某个对象不再拥有strong类型的指向的时候对象就会被释放,即使还有weak类型的指针指向它,wea
iOS】——Block循环引用
最新发布
m0_73974920的博客
07-25 1052
此时self持有block,block弱引用self,弱引用会自动变为nil,强持有中断,所以不会引起循环引用。weakSelf被强引用了就不会自动释放,因为strongWeak只是一个临时变量,它的声明周期只在block内部,block执行完毕后,strongWeak就会释放,而弱引用weakSelf也会自动释放。在上面代码中,person对象强持有block对象,在block语法中,block对象又强持有person对象,此时达成互相强持有,谁也无法释法谁,造成循环引用。对person产生强引用。
iOS 系统通用测试点
qq_20033739的博客
07-24 376
iOS 系统测试是确保在苹果 iOS 平台上运行的应用程序或系统功能的质量、稳定性和安全性的重要过程。- 测试应用在不同型号的 iPhone 和 iPad 上的运行情况,包括最新款和一些较旧但仍有一定用户量的设备。- 针对不同的 iOS 版本进行测试,包括最新发布的版本以及一些较旧但仍被广泛使用的版本。- 如果应用支持多种语言和地区设置,测试不同语言和地区的显示和功能是否正常。- 测试在不同网络条件下(如 Wi-Fi、移动数据)的数据加载速度。- 检查应用在不同版本操作系统上的功能表现、界面显示和性能。
ios安装frida
09-05
安装Frida工具在iOS设备上有几个步骤。首先,您需要越狱您的iOS设备。然后,您可以通过在越狱手机上安装frida来获得Frida工具。您可以通过打开手机上的Cydia,添加软件源(https://build.frida.re),然后搜索并安装Frida来完成这一步骤。另外,您还需要在您的Mac上安装Frida的相关组件。您可以使用brew安装Python 3,然后使用pip3命令安装frida-tools和frida。安装完这些组件后,您就可以使用Frida工具进行iOS设备的应用分析和调试了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [ios脱壳工具frida使用教程和各种踩坑总结(app store可用脱壳)](https://blog.csdn.net/boildoctor/article/details/122769942)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值