Unidbg iOS 踩坑系列1 【持续更新】

已于 2022-08-02 15:43:40 修改
阅读量2.1k 收藏 2
点赞数
分类专栏: unidbg-学习系列(iOS) 文章标签: ios xcode macos 爬虫
于 2022-07-27 18:09:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jhjjknbn/article/details/126020172
版权
本文档记录了使用Unidbg进行iOS动态分析的过程,包括环境配置、ipa脱壳、dylib加载及系统调用解析。通过Unidbg的Unicorn虚拟机实现对iOS应用的分析,探讨了backend在指令转换中的作用,以及如何处理系统调用,特别是对svc指令的监控和处理。
摘要由CSDN通过智能技术生成

编写目的

记录下自己的使用过程,给各位踩坑的提供一些参考,文档仅供学习参考

Unidbg项目介绍

git项目介绍
核心思想:总的来说通过基于Unicorn虚拟机来加载应用程序(包括安卓、iOS、Mac)
来达到应用程序分析的目的,项目的源码仓库里有一些应用,可以好好看看

本地环境、设备介绍

  • macos 10.15.6
  • xcode
  • iphone7 越狱设备

clone代码

git clone https://github.com/zhkl0228/unidbg

由于版本更迭较快,可能部分文档落后于实际code

安装idea

好的生产工具可以帮助我们节约很多时间,下载安装idea

准备ipa

利用越狱设备+frida 脱壳自己要分析的ipa,项目代码demo中有个dy的例子,需要准备ipa文件

尝试iOS Demo

运行DyIpaTest,下面是日志输出

[main]
屏蔽敏感类名
@interface TaTaNetworkManager : NSObject {
	_Bool _pureChannelForJSONResponseSerializer;
	_Bool _isEncryptQuery;
	_Bool _isEncryptQueryInHeader;
	_Bool _isKeepPlainQuery;
	_Bool _dontCallbackInMainThread;
	Class _defaultJSONResponseSerializerClass;
	Class _defaultResponseModelResponseSerializerClass;
	Class _defaultBinaryResponseSerializerClass;
	Class _defaultRequestSerializerClass;
	Class _defaultResponseRreprocessorClass;
	NSDictionary * _commonParams;
	id _commonParamsblock;
	id _urlTransformBlock;
	id _urlHashBlock;
	NSString * _ServerConfigHostFirst;
	NSString * _ServerConfigHostSecond;
	NSString * _ServerConfigHostThird;
	NSString * _DomainBase;
	NSString * _DomainLog;
	NSString * _DomainMon;
	NSString * _DomainSec;
	NSString * _DomainChannel;
	NSString * _DomainISub;
	NSString * _getDomainDefaultJSON;
	NSString * _TokenHost;
	NSString * _StoreIdc;
	NSString * _UserId;
	NSString * _hostResolverRulesForTesting;
	id _requestFilterBlock;
	id _responseFilterBlock;
	id _addSecurityFactorBlock;
}

@property (retain, nonatomic) Class defaultJSONResponseSerializerClass;
@property (retain, nonatomic) Class defaultResponseModelResponseSerializerClass;
@property (retain, nonatomic) Class defaultBinaryResponseSerializerClass;
@property (retain, nonatomic) Class defaultRequestSerializerClass;
@property (retain, nonatomic) Class defaultResponseRreprocessorClass;
@property (copy, nonatomic) NSDictionary * commonParams;
@property (copy, nonatomic) id commonParamsblock;
@property (copy, nonatomic) id urlTransformBlock;
@property (nonatomic) _Bool pureChannelForJSONResponseSerializer;
@property (nonatomic) _Bool isEncryptQuery;
@property (nonatomic) _Bool isEncryptQueryInHeader;
@property (nonatomic) _Bool isKeepPlainQuery;
@property (copy, nonatomic) id urlHashBlock;
@property (copy, nonatomic) NSString * ServerConfigHostFirst;
@property (copy, nonatomic) NSString * ServerConfigHostSecond;
@property (copy, nonatomic) NSString * ServerConfigHostThird;
@property (copy, nonatomic) NSString * DomainBase;
@property (copy, nonatomic) NSString * DomainLog;
@property (copy, nonatomic) NSString * DomainMon;
@property (copy, nonatomic) NSString * DomainSec;
@property (copy, nonatomic) NSString * DomainChannel;
@property (copy, nonatomic) NSString * DomainISub;
@property (copy, nonatomic) NSString * getDomainDefaultJSON;
@property (copy, nonatomic) NSString * TokenHost;
@property (copy, nonatomic) NSString * StoreIdc;
@property (copy, nonatomic) NSString * UserId;
@property (copy, nonatomic) NSString * hostResolverRulesForTesting;
@property (copy, nonatomic) id requestFilterBlock;
@property (copy, nonatomic) id responseFilterBlock;
@property (nonatomic) _Bool dontCallbackInMainThread;
@property (copy, nonatomic) id addSecurityFactorBlock;

+ (void)setMonitorBlock:(id)arg0;
+ (void)setLibraryImpl:(long)arg0;
+ (void)setGetDomainBlock:(id)arg0;
+ (void)setHttpDnsEnabled:(_Bool)arg0;
+ (void)setCityName:(id)arg0;
+ (long)getLibraryImpl;
+ (void)setFrontierUrlsCallbackBlock:(id)arg0;
+ (id)GetFrontierUrlsCallbackBlock;
+ (id)GetCityName;
+ (id)MonitorBlock;
+ (id)GetDomainBlock;
+ (_Bool)httpDnsEnabled;
+ (id)shareInstance;

- (void)setUserId:(id)arg0;
- (void)setDefaultJSONResponseSerializerClass:(Class)arg0;
- (void)setDefaultBinaryResponseSerializerClass:(Class)arg0;
- (void)setCommonParamsblock:(id)arg0;
- (void)setDefaultResponseRreprocessorClass:(Class)arg0;
- (void)setDefaultRequestSerializerClass:(Class)arg0;
- (void)setStoreIdc:(id)arg0;
- (void)setServerConfigHostFirst:(id)arg0;
- (void)setServerConfigHostSecond:(id)arg0;
- (void)setServerConfigHostThird:(id)arg0;
- (void)setDomainBase:(id)arg0;
- (void)setDomainLog:(id)arg0;
- (void)setDomainMon:(id)arg0;
- (void)setDomainSec:(id)arg0;
- (void)setDomainChannel:(id)arg0;
- (void)setDomainISub:(id)arg0;
- (void)setTokenHost:(id)arg0;
- (void)creatAppInfo;
- (void)setRequestFilterBlock:(id)arg0;
- (void)setResponseFilterBlock:(id)arg0;
- (void)setAddSecurityFactorBlock:(id)arg0;
- (void)setUrlTransformBlock:(id)arg0;
- (id)urlTransformBlock;
- (id)transferedURL:(id)arg0;
- (id)urlHashBlock;
- (_Bool)isEncryptQuery;
- (_Bool)isEncryptQueryInHeader;
- (_Bool)isKeepPlainQuery;
- (id)addSecurityFactorBlock;
- (id)requestFilterBlock;
- (id)responseFilterBlock;
- (void)setDefaultResponseModelResponseSerializerClass:(Class)arg0;
- (void)setCommonParams:(id)arg0;
- (void)setIsEncryptQuery:(_Bool)arg0;
- (void)setIsEncryptQueryInHeader:(_Bool)arg0;
- (void)setIsKeepPlainQuery:(_Bool)arg0;
- (void)setUrlHashBlock:(id)arg0;
- (void)setGetDomainDefaultJSON:(id)arg0;
- (void)setDontCallbackInMainThread:(_Bool)arg0;
- (id)commonParamsblock;
- (Class)defaultRequestSerializerClass;
- (Class)defaultResponseModelResponseSerializerClass;
- (Class)defaultResponseRreprocessorClass;
- (Class)defaultJSONResponseSerializerClass;
- (_Bool)pureChannelForJSONResponseSerializer;
- (void)setPureChannelForJSONResponseSerializer:(_Bool)arg0;
- (Class)defaultBinaryResponseSerializerClass;
- (_Bool)dontCallbackInMainThread;
- (id)getDomainDefaultJSON;
- (id)hostResolverRulesForTesting;
- (void)setHostResolverRulesForTesting:(id)arg0;
- (id)ServerConfigHostFirst;
- (id)ServerConfigHostSecond;
- (id)ServerConfigHostThird;
- (id)DomainBase;
- (id)DomainLog;
- (id)DomainISub;
- (id)DomainChannel;
- (id)DomainMon;
- (id)DomainSec;
- (id)TokenHost;
- (id)StoreIdc;
- (id)UserId;
- (void).cxx_destruct;
- (id)commonParams;

@end

运行过程

根据代码大致猜测ipa加载过程,这一部分比较考验阅读代码能力, 只能硬着头皮进去看实现,搜索相关的概念

  • 初始化ipaloader 64位加载器,传入ipa 路径和应用启动后的沙盒目录
  • 添加ipaloader的backend,这里的backend 应该是和unicorn相关的
  • 调用 load,解压 ipa 加载应用程序,从可执行文件的elf header 遍历load command,递归加载依赖
  • init
  • call entry, 调用可执行文件的entry

Backend

这里先给一个backend的仓库地址dynarmic
可以从文章中大致猜测出来,backend起到的作用是将arm指令翻译成宿主机的指令,比如你的电脑是英特尔cpu,而你运行的程序是arm 程序, 这中间有个指令转换的过程才能正常运行。

SYSCall系统调用

这个也是虚拟机的核心,这里大家先了解svc 指令,以及svc handler,还有ios的系统调用号
当svc 0x80 指令执行时,触发操作系统系统调用,有个调用编号,在linux头文件中往往_NR开头,这里nr是指number的意思,部分app会调用svc 0x80 来直接调用系统调用,比如自己汇编实现ptrace,绕过libc等上层函数。
在unidbg 中检测到svc 指令时,会去读取x16寄存器的值,匹配遍历syscall调用号(NR),调用相关的处理函数
截图代码来自unidbg

有空了就写点 ,关个注,评个论。

踩缝纫机的coder
关注
专栏目录
Unidbg源码分析系列-- unidbg-ios分析(四)
Tasfa的博客
10-16 472
慢慢写 先买的肯定会值得的,后续专栏补充完肯定会涨价。
7.62.2版本unidbg调用方式
Codeooo 博客
12-12 6221
最新version:7.62.2运行截图: 源码展示:
京东加密参数Unidbg生成
sinat_16259557的博客
10-25 277
通过 `application.properties` 自行修改服务的地址(默认`0.0.0.0`就行)和端口(默认是`9090`)使用maven的package即可,之后会发现生成一个target目录其中里面就有jar包了。3.运行 `UnidbgServerApplication.java` 即可启动服务。Controller示例文件文件参考`SignController.py`配置好maven环境的前提下,项目主目录执行。### Python调用示例。### curl调用示例。### 使用jar包。
Unidbg使用指南
最新发布
小李的便利店
08-12 1162
Unidbg使用指南
unidbg:允许您模拟Android ARM32和/或ARM64本机库以及实验性iOS模拟
01-31
unidbg 允许您模拟Android ARM32和/或ARM64本机库以及实验性iOS ARM32模拟。 这是一个教育性项目,旨在了解有关ELF文件格式和ARM汇编的更多信息。 需要您自担风险使用它 ! 执照 unidbg使用来自软件库。 unidbg开发人员Idea企业许可证受支持。 可用于编辑unidbg源。 src / test目录下的简单测试 更多测试 产品特点 JNI调用API的仿真,因此可以调用JNI_OnLoad。 支持JavaVM,JNIEnv。 仿真系统调用指令。 支持ARM32和ARM64。 内联钩子,感谢 。 Android导入挂钩,这要感谢 。 iOS,底物和钩。 支持简单的控制台调试器,gdb存根,实验性IDA android调试器服务器,指令跟踪,内存读/写跟踪。 支持iOS objc和Swift运行时。 支持后端。 支持Apple M1虚拟机管理程序后端。 谢谢
unidbg ida7.5 调试
JackBoy的博客
05-06 1395
修改以下两个文件 com.github.unidbg.debugger.DebugServer byte IDA_PROTOCOL_VERSION_V7 = 0x1A; // IDA Pro v7.x com.github.unidbg.debugger.ida.AndroidServer case 0xa: { long value = Utils.unpack_dd(buffer); long b = Utils.unpac
APP逆向 day24unidbg
往日情怀酿作酒
07-30 3138
unidbg是一个Java开源项目,可以帮助我们去模拟一个安卓或IOS设备,用于去执行so文件中的算法,从而不需要再去逆向他内部的算法它是一个基于 unicorn 的逆向工具,可以直接调用Android和iOS中的 so 文件允许您模拟 Android native library 和 实验性的 iOS 模拟而在什么时候使用unidbg呢?
Android免so逆向框架unidbg入门及浅析
zhonglunshun的专栏
01-12 1171
本文来自互联网,我只是收集整理,unidbg作者写这个东西不容易,有条件的小伙伴可以去支持一下unidbg是一个允许你用来模拟执行Android的ELF和的IOS的MachO原生文件。Elf文件:从组成结构上可以看得出他主要是服务于section的,而section又是so的资源,所以狭义上我们可以理解成此表为告诉计算机要怎么加载解析so资源的一张表.
UE4 windows打包IOS 记录
a648929081的专栏
01-19 1234
经本人完整之后,已经成功在windows PC上将UE4项目打包IOS。本文主要记录过程,并介绍在Windows PC上将UE4 项目打包IOS 的方法,包含配置证书、配置Mac,编译及打包等几个方面。 一般的,UE4开发主要在win平台进行,主要原因是渲染和平台支持优于Mac。到了打包时,仅蓝图的ios项目可以在window进行编译及打包(此方法本文不做说明),而C++ ios项目必须在Mac机器进行编译及打包,所以这就决定了Windows开发,Mac打包的主要路线。 那么,我们先要有台Mac
iOS精品资源汇总(持续更新)
iOS逆向与安全
10-09 5642
文章目录引言I、iOS自定义视图相关热门资源1.1 《用户协议及隐私政策》弹框1.2 电子签名1.3 商品详情页1.4 上传图片视图的封装【支持删除和添加】1.5 查看风险商户的证明材料,图片支持滑动切换1.6 iOS 常用动画【 定点缩放弹窗】1.7 iOS抽奖转盘:概率抽奖算法 & 转盘算法 & 转盘主视图的实现思路1.8 自定义相机( 银行卡/身份证识别OCR、矩形边缘识别)1.9 收银app必备模块:iOS折扣计算器1.10 通讯录1.11 限定文本输入框输入特定的字符个数1.12
【安卓逆向】酷狗音乐dfid逆向分析
chqi987333的博客
09-02 4357
酷狗音乐dfid逆向分析
Java程序经编译后会产生什么
weixin_51136573的博客
12-04 5764
编译以后会生成 .class文件,也就是字节码文件:byte code java程序在编译(javac .java文件名 指令)后会产生字节码文件,也就是.class文件。 根据虚拟机所在系统的不同将字节码文件转变为不同的可执行文件,这也是java程序可跨平台的根据。 ...
Unidbg调用-补环境V2
dafan0的博客
06-29 144
补环境。
Android(9) Unidbg添加SpringBoot Web服务
逆向随笔
05-31 1075
文章目录1. 添加Server模块方法① unidbg作为模块引入方法② Web作为模块引入2. 配置Server模块3. 编写Unidbg代码3. 修改SpringBoot配置、服务 1. 添加Server模块 方法① unidbg作为模块引入 IDEA新建SpringBoot项目 从已存在的模块中导入Unidbg 方法② Web作为模块引入 IDEA打开Unidbg项目,新建SpringBoot模块 2. 配置Server模块 修改pom.xml文件,添加依赖 <dependenc
Unidbg 问题汇总(一)
lilac的博客
06-22 5303
1.Long参数的传递 假设一个native函数中参数是long类型,比如这样 在编译成arm32的SO时,一定概率会被转成两个int. long a = 0x1000L → int a1 = 0,int a2 = 0x1000 在Unidbg主动调用时,一定要记得处理,否则会出问题.这是一个常见问题,JAVA层传入的时间戳,常常就是jlong. 处理办法有2 1是按照SO的情况,传给它两个int 2是按照传入诸如 long tm= 1621265630L;的标准写法,Unidbg自动帮我们分割成两个
某东app sign算法 unidbg操作
qq_41823971的博客
01-13 3306
package com.com.dta.jd; import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Module; import com.github.unidbg.linux.android.AndroidEmulatorBuilder; import com.github.unidbg.linux.android.AndroidResolver; import com.github.unidbg.linux.andro.
unidbg 跑淘宝sgmain系列调用 libsgmain.so
六桥风月IT随笔
05-24 3970
手机淘宝 官方版本号:v8.8.0 更新时间:2019年06月29日 普通下载优先地址 package com.bytedance.frameworks.core.encrypt; import java.io.File; import java.io.IOException; import java.util.HashMap; import java.util.Map; import java.util.Set; import com.github.unid...
Android逆向-实战so分析-某洲_v3.5.8_unidbg学习
哔_哩哩!的博客
07-20 5327
文章目录1.unidbg的介绍2.unidbg的安装2.1.下载unidbg工具2.2.导入IDEA2.3.验证导入是否成功3.unidbg的使用3.1.目标方法静态分析3.2.模拟执行目标方法3.3.算法分析3.3.1.OLLVM去混淆3.3.2.指令级TraceJNIEnv、jobject、jclassJNIEnv指针是什么东西?jobject和jclass又有什么区别? 1.unidbg的介绍 unidbg是一款基于unicorn的用来模拟执行so的逆向工具,可以让安全研究人员直接在PC上运行andr
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值