iOS安全攻防(十六):使用introspy追踪分析应用程序

最新推荐文章于 2022-04-25 11:22:29 发布
最新推荐文章于 2022-04-25 11:22:29 发布
阅读量844 收藏
点赞数
分类专栏: iOS 安全

使用introspy追踪分析应用程序


原文地址:http://blog.csdn.net/yiyaaixuexi/article/details/18985131


如果你已阅读了《iOS安全攻防》系列专栏之前的文章,一定已经对静态以及运行时分析app有了一定的了解。
我们可以借助的分析工具很多,工具和工具之间一般没有什么优劣比较性,完全看个人习惯什么擅长什么。
多个工具多条路,那么本文将介绍追踪分析利器introspy。


对应iOS系统版本,下载适用的introspy工具包:introspy下载地址传送门

下载后,将其拷贝到设备中,并执行安装命令:

  1. # dpkg -i com.isecpartners.introspy-v0.4-iOS_7.deb   



重启设备:

  1. # killall SpringBoard  


到设置中,就可以查看到instrospy的设置选项了





在Introspy-Apps中选择要跟踪的app名称。
Instrospy-Settings则提供一些常规跟踪设置选项,默认是全部开启。


然后启动想要跟踪的应用程序,就可以直接查看log获取Instrospy为我们跟踪捕获的信息,这里以跟踪支付宝app为例。


打开支付宝app,选择添加银行卡,随意添加一个卡号,然后点击下一步





支付宝app反馈添加失败,该卡暂不支持,Instrospy捕获的信息也很清晰:





追踪信息被保存为一个数据库introspy-com.alipay.iphoneclient.db,存放在:
./private/var/mobile/Applications/4763A8A5-2E1D-4DC2-8376-6CB7A8B98728/Library/introspy-com.alipay.iphoneclient.db


也可以借助Introspy-Analyzer在本地将该数据库解析成一个直观的report.html查看 

Introspy-Analyzer下载地址传送门


将introspy-com.alipay.iphoneclient.db拷贝到本地,执行:

  1. python introspy.py -p ios --outdir Portal-introspy-html introspy-com.alipay.iphoneclient.db  


就会生成一个 Portal-introspy-html  文件夹,该目录下有 report.html ,用浏览器打开:

  1. open report.html   

就可以清晰的查看追踪信息了,主要分为DataStorage、IPC、Misc、Network、Crypto六大类信息。
举个例子,选择Crypto可以查看支付宝app采取了什么加密措施,如果你看过我之前的文章,一定会一眼就认出来手势密码的:




sharpyl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS攻防 - (八)使用Introspy追踪分析iOS应用
VictorZhang
05-26 1424
使用Introspy追踪分析iOS应用转载自:http://wiki.jikexueyuan.com/project/ios-security-defense/introspy.html如果你已阅读了《 iOS 安全攻防》系列专栏之前的文章,一定已经对静态以及运行时分析 App 有了一定的了解。我们可以借助的分析工具很多,工具和工具之间一般没有什么优劣比较性,完全看个人习惯什么擅长什么。多个工具多
iOS安全攻防
brasbug的专栏
02-28 1208
iOS安全攻防(十二):iOS7的动态库注入 iOS系统不断升级,结构不断调整,所以我们可以利用的动态库注入方法也根据系统版本的不同而不同。   在此之前,我们可以利用环境变量 DYLD_INSERT_LIBRARY 来添加动态库,iOS7被成功越狱后,我们需要自己去探索实践iOS7动态库注入的方式。   本文将在iOS7.0.4环境下,以 hook 支付宝app 程
iOS之OC使用原生控件实现分享到QQ、微信、短信、微博等的两种方法
启程的博客
09-15 7036
现在任何一款APP都离不开“分享”,产品设计可能是觉得有分享能更好的推广自己的产品吧。。。 一种是使用UIActivityViewController, 另外一种是使用Social框架中的SLComposeViewController 一、UIActivityViewController 优缺点: /**  优点:使用简单、不用注册繁杂的分享平台账号、不用导入臃肿的SDK包  缺点
iOS URL Scheme 劫持-在未越狱的 iPhone 6上盗取支付宝和微信支付的帐号密码
qq_16121273的专栏
03-25 4381
该漏洞是 iOS 系统漏洞,和支付宝,微信 app 无关。本文只是拿支付宝和微 信作为演示漏洞的应用,其他应用同样可以中招,转发者请勿断章取义。 此漏洞是另一 个漏洞,和“在非越狱的 iPhone 6 (iOS 8.1.3) 上进行钓鱼攻击 (盗取 App Store 密码)”上利 用的漏洞无关,本人不会干用一个漏洞写两个文章灌水的事情。 该漏洞最早是由我在 FireEye
支付宝回调app失败
老明的专栏
12-30 3147
app迭代新版本,发现从支付宝支付完成后,返回客户端的方法不执行了 //支付宝客户支付端回调函数 - (BOOL)application:(UIApplication *)application handleOpenURL:(NSURL *)url { //解析url,处理结果 [self parse:url application:application]; retur
iOS应用程序开发:四栏UI元素使用指南
03-02
iOS应用程序开发时,UIKit框架提供了大量的UI元素共开发者使用。但开发者设计应用程序的用户界面时,一定要记得用户对于系统内置的那一套应用程序已经非常熟悉,所以开发者一定要正确的使用这些UI元素,遵循系统...
Routes-Old:iOS 交通追踪应用程序
06-08
路线 iOS 交通追踪应用程序应用程序将列出您提供的目的地和时间范围,并根据交通水平计算最佳离开时间。 该应用程序计算每天的旅行时间,并显示最佳出发时间。 如果您计划在一周内旅行,并且不知道什么时候出发...
iOS应用安全攻防视频.txt
06-10
下载是百度网盘。内容分11节课, 视频格式: .wmv
iOS应用安全攻防
04-04
iOS 安全 攻防,英语好的直接撸就好了,英语不好的权当学英语了
如何调试支付宝(iOS)
iOS_开发
04-09 2111
作者丨帕巴拉来源丨掘金链接:https://juejin.im/post/5e8083d06fb9a03c621663df前言最近在做的一件事情,从代码层面分析下各家小程序(微信、头条...
常用的iPhone app快捷url链接
热门推荐
m0_54115917的博客
04-25 3万+
版本一: 系统 短信 sms:// app store itms-apps:// 电话 tel:// 备忘录 mobilenotes:// 设置 prefs:root=SETTING E-Mail MESSAGE:// 支付宝 支付宝 alipay:// 蚂蚁庄园 alipays://platformapi/startapp?appId=66666674 蚂蚁森林 alipays://platformapi/star
visibilitychange ios设备不生效_如何调试支付宝(iOS)
weixin_39926311的博客
11-23 1157
作者丨帕巴拉来源丨掘金链接:https://juejin.im/post/5e8083d06fb9a03c621663df前言最近在做的一件事情,从代码层面分析下各家小程序(微信、头条、支付宝、百度)的启动性能,探究各家小程序的实现细节和差异。具体步骤如下:1、越狱砸壳获取ipa2、搭建调试壳工程3、注入callTrace分析代码4、hook小程序开始调用入口以及渲染完成入口, 加上ca...
支付宝集成核心问题总结
kaka_2928的博客
07-08 702
支付宝集成核心的2个问题总结
ios跟踪工具introspy使用
dizhen6286的博客
08-11 197
1.cydia安装introspy,前提要安装Applist (雷锋源) 2.设置中有introspy-Apps instrospy-Settings选项。 可以选择需要跟踪的app以及跟踪内容 3.用Introspy-Analyzer分析其结果 1) 安装 sudo pip install git+https://github.com/iSECPartne...
iOS安全些许经验和学习笔记
zhangmiaoping23的专栏
03-30 1223
转:http://bbs.pediy.com/showthread.php?p=1422762#post1422762 标 题: 【原创】iOS安全些许经验和学习笔记 作 者: MonkeyKey 时 间: 2016-03-30,16:32:32 链 接: http://bbs.pediy.com/showthread.php?t=209014        其实我接触iOS逆向
JAVA实践期末复习题.docx
07-10
JAVA实践期末复习题.docx
C4D修复缩略图-放在C4D根目录右键管理员运行修复缩略图
07-10
C4D修复缩略图-放在C4D根目录右键管理员运行修复缩略图
基于单片机的红外测油仪的研究
07-09
水资源是人类社会的宝贵财富,在生活、工农业生产中是不可缺少的。随着世界人口的增长及工农业生产的发展,需水量也在日益增长,水已经变得比以往任何时候都要珍贵。但是,由于人类的生产和生活,导致水体的污染,水质恶化,使有限的水资源更加紧张。长期以来,油类物质(石油类物质和动植物油)一直是水和土壤中的重要污染源。它不仅对人的身体健康带来极大危害,而且使水质恶化,严重破坏水体生态平衡。因此各国都加强了油类物质对水体和土壤的污染的治理。对于水中油含量的检测,我国处于落后阶段,与国际先进水平存在差距,所以难以满足当今技术水平的要求。为了取得具有代表性的正确数据,使分析数据具有与现代测试技术水平相应的准确性和先进性,不断提高分析成果的可比性和应用效果,检测的方法和仪器是非常重要的。只有保证了这两方面才能保证快速和准确地测量出水中油类污染物含量,以达到保护和治理水污染的目的。开展水中油污染检测方法、技术和检测设备的研究,是提高水污染检测的一条重要措施。通过本课题的研究,探索出一套适合我国国情的水质污染现场检测技术和检测设备,具有广泛的应用前景和科学研究价值。 本课题针对我国水体的油污染,探索一套检测油污染的可行方案和方法,利用非分散红外光度法技术,开发研制具有自主知识产权的适合国情的适于野外便携式的测油仪。利用此仪器,可以检测出被测水样中亚甲基、甲基物质和动植物油脂的污染物含量,为我国众多的环境检测站点监测水体的油污染状况提供依据。
计算机试卷7.doc
最新发布
07-10
### 内容概要 《计算机试卷1》是一份综合性的计算机基础和应用测试卷,涵盖了计算机硬件、软件、操作系统、网络、多媒体技术等多个领域的知识点。试卷包括单选题和操作应用两大类,单选题部分测试学生对计算机基础知识的掌握,操作应用部分则评估学生对计算机应用软件的实际操作能力。 ### 适用人群 本试卷适用于: - 计算机专业或信息技术相关专业的学生,用于课程学习或考试复习。 - 准备计算机等级考试或职业资格认证的人士,作为实战演练材料。 - 对计算机操作有兴趣的自学者,用于提升个人计算机应用技能。 - 计算机基础教育工作者,作为教学资源或出题参考。 ### 使用场景及目标 1. **学习评估**:作为学校或教育机构对学生计算机基础知识和应用技能的评估工具。 2. **自学测试**:供个人自学者检验自己对计算机知识的掌握程度和操作熟练度。 3. **职业发展**:帮助职场人士通过实际操作练习,提升计算机应用能力,增强工作竞争力。 4. **教学资源**:教师可以用于课堂教学,作为教学内容的补充或学生的课后练习。 5. **竞赛准备**:适合准备计算机相关竞赛的学生,作为强化训练和技能检测的材料。 试卷的目标是通过系统性的题目设计,帮助学生全面复习和巩固计算机基础知识,同时通过实际操作题目,提高学生解决实际问题的能力。通过本试卷的学习与练习,学生将能够更加深入地理解计算机的工作原理,掌握常用软件的使用方法,为未来的学术或职业生涯打下坚实的基础。
程序员移动开发中的iOS安全攻防知识分享
09-22
"程序员移动开发中的iOS安全攻防知识分享" 在iOS移动开发中,安全攻防是不可或缺的重要一环。本资源主要涵盖了iOS安全领域的多个关键知识点,包括Hook原理、LLDB命令、Mach-O文件、dyld动态链接库、应用签名与重...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值