【iOS逆向与安全】frida-trace入门

前言

frida-trace是一个用于动态跟踪函数调用的工具。支持android和ios。安装教程请参考官网。工欲善其事必先利其器。本文将以某App为示范,演示frida-trace的各种方法在iOS中的应用。


一、目标

让看文章的你在使用frida-trace时更得心应手。

二、工具

  • mac系统
  • frida:动态调试工具
  • 已越狱iOS设备:脱壳及frida调试

三、使用

1.命令格式

frida-trace [options] target

iOS常用的可选参数:

// 设备相关
-D	连接到指定的设备,多个设备时使用。示例:frida-trace -D 555315d66cac2d5849408f53da9eea514a90547e -F 
-U	连接到USB设备,只有一个设备时使用。示例fria-trace -U -F

// 应用程序相关
-f	目标应用包名。spawn模式。示例:frida-trace -U -f com.apple.www
-F	当前正在运行的程序。attach模式示例。示例:frida-trace -U -F或frida-trae -UF
-n	正在运行的程序的名字。attach模式。示例:frida-trace -U -n QQ
-N	正在运行的程序的包名。attach模式。示例:frida-trace -U -N com.apple.www
-p	正在运行的程序的pid。attach模式。示例:frida-trace -U -p 2302
  
// 方法相关,以下参数在一条跟踪命令中可重复使用
-I	包含模块。示例:frida-trace -UF -I "libcommonCrypto*"
-X	不包含模块。示例:frida-trace -UF -X "libcommonCrypto*"
-i 	包含c函数。示例:frida-trace -UF -i "CC_MD5"
-x 	不包名c函数。示例:frida-trace -UF -i "*MD5" -x "CC_MD5"
-a 	包含模块+偏移跟踪。示例:frida-trace -UF -a 模块名\!0x7B7D48
-m 	包含某个oc方法。示例:frida-trace -UF -m "+[NSURL URLWithString:]"
-M 	不包含某个oc方法。示例:frida-trace -UF -M "+[NSURL URLWithString:]"
  
// 日志相关
-o	日志输出到文件。示例:frida-trace -UF -m "*[* URL*]" -o run.log

2.常用命令

frida-trace中的方法匹配命令支持模糊匹配,星号匹配0个或多个字符,问号匹配1个字符:

-m "-[NSURL *]"	// 匹配NSURL类的所有实例方法
-m "+[NSURL *]"	// 匹配NSURL类的所有类方法
-m "*[NSURL *]" // 匹配NSURL类的所有方法
-m "*[*URL *]"	// 匹配以URL结尾类的所有方法
-m "*[URL* *]" 	// 匹配以URL开头类的所有方法
-m "*[*URL* *]"	// 匹配包含URL的类的所有方法
-m "*[*URL* *login*]"	// 匹配包含URL的类的带login的所有方法
-m "*[????? *]"	// 匹配类名只有五个字符的类的所有方法

简而言之:

当你不确定你要跟踪的方法是类方法还是实例方法时,用星号代替

当你只知道部分类名时,不确定的地方用星号代替

当你只知道部分方法名时,不确定的地方用星号代替

当你不知道方法名时,直接用星号代替

当你不知道某个字母是大小写时,用问号代替

frida-trace命令会在当前目录生成./__handlers__/文件夹内生成对应函数的js代码。当你需要打印入参,返回值。或修改入参,返回值时,可编辑对应的js文件。

  • 打印或修改OC方法的入参

$ frida-trace -UF -m "-[DetailViewController setObj:]"
Instrumenting...
-[DetailViewController setObj:]: Auto-generated handler at "/Users/witchan/__handlers__/DetailViewController/setObj_.js"
Started tracing 1 function. Press Ctrl+C to stop.

js源码如下:

{
  onEnter(log, args, state) {
    var self = new ObjC.Object(args[0]);  // 当前对象
    var method = args[1].readUtf8String();  // 当前方法名
    log(`[${self.$className} ${method}]`);

    var isData = false;

    // 字符串
    // var str = ObjC.classes.NSString.stringWithString_("hi wit!")  // 对应的oc语法:NSString *str = [NSString stringWithString:@"hi with!"];
    // args[2] = str  // 修改入参

    // array
    // var 

    // 数组
    // var array = ObjC.classes.NSMutableArray.array();  // 对应的oc语法:NSMutableArray array = [NSMutablearray array];
    // array.addObject_("item1");  // 对应的oc语法:[array addObject:@"item1"];
    // array.addObject_("item2");  // 对应的oc语法:[array addObject:@"item2"];
    // args[2] = array; // 修改入参

    // 字典
    // var dictionary = ObjC.classes.NSMutableDictionary.dictionary(); // 对应的oc语法:NSMutableDictionary *dictionary = [NSMutableDictionary dictionary];
    // dictionary.setObject_forKey_("value1", "key1"); // 对应的oc语法:[dictionary setObject:@"value1" forKey:@"key1"]
    // dictionary.setObject_forKey_("value2", "key2"); // 对应的oc语法:[dictionary setObject:@"value2" forKey:@"key2"]
    // args[2] = dictionary; // 修改入参

    // 字节
    var data = ObjC.classes.NSMutableData.data(); // 对应的oc语法:NSMutableData *data = [NSMutableData data];
    var str = ObjC.classes.NSString.stringWithString_("hi wit!")  // 获取一个字符串。 对应的oc语法:NSString *str = [NSString stringWithString:@"hi with!"];
    var subData = str.dataUsingEncoding_(4);  // 将str转换为data,编码为utf-8。对应的oc语法:NSData *subData = [str dataUsingEncoding:NSUTF8StringEncoding];
    data.appendData_(subData);  // 将subData添加到data。对应的oc语法:[data appendData:subData];
    args[2] = data; // 修改入参
    isData = true;

    // 更多数据类型:https://developer.apple.com/documentation/foundation

    var before = args[2];

    // 注意,日志输出请直接使用log函数。不要使用console.log()
    if (isData) {
    	// 打印byte对象
      var after = new ObjC.Object(args[2]); // 打印NSData
      var outValue = after.bytes().readUtf8String(after.length()) // 将data转换为string
      log(`before:=${before}=`);
      log(`after:=${outValue}=`);
    } else {
    	// 打印字符串、数组、字段
      var after = new ObjC.Object(args[2]); // 打印出来是个指针时,请用该方式转换后再打印
      log(`before:=${before}=`);
      log(`after:=${after}=`);
    }

    // 如果是自定义对象时,使用以上方法无法打印时,请使用以下方法:
    // var customObj = new ObjC.Object(args[0]); // 自定义对象
    // // 打印该对象所有属性
    // var ivarList = customObj.$ivars;
    // for (key in ivarList) {
    //   log(`key${key}=${ivarList[key]}=`);
    // }

    // // 打印该对象所有方法
    // var methodList = customObj.$methods;
    // for (var i=0; i<methodList.length; i++) {
    //   log(`method=${methodList[i]}=`);
    // }
  },
  onLeave(log, retval, state) {

  }
}

  • 修改OC方法的返回值

$ frida-trace -UF -m "-[DetailViewController obj]"
Instrumenting...
-[DetailViewController obj]: Loaded handler at "/Users/witchan/__handlers__/DetailViewController/obj.js"
Started tracing 1 function. Press Ctrl+C to stop.

js源码如下:

{
  onEnter(log, args, state) {

  },
  onLeave(log, retval, state) {
    // 字符串
    var str = ObjC.classes.NSString.stringWithString_("hi wit!")  // 对应的oc语法:NSString *str = [NSString stringWithString:@"hi with!"];
    retval.replace(str)  // 修改返回值
    var after = new ObjC.Object(retval); // 打印出来是个指针时,请用该方式转换后再打印
    log(`before:=${retval}=`);
    log(`after:=${after}=`);

    // 其他数据类型,请往上看
  }
}
  • 打印C函数的入参和返回值

$ frida-trace -UF -i "CC_MD5"
Instrumenting...
CC_MD5: Loaded handler at "/Users/witchan/__handlers__/libcommonCrypto.dylib/CC_MD5.js"
Started tracing 1 function. Press Ctrl+C to stop.

js源码如下:

{
  onEnter(log, args, state) {
    // 注意。c方法里的参数直接从下标0开始
    this.args0 = args[0];	
    this.args2 = args[2];
    this.backtrace = 'CC_MD5 called from:\n' +
        Thread.backtrace(this.context, Backtracer.ACCURATE)
        .map(DebugSymbol.fromAddress).join('\n') + '\n';
  },
  onLeave(log, retval, state) {
    
    var ByteArray = Memory.readByteArray(this.args2, 16);
    var uint8Array = new Uint8Array(ByteArray);

    var str = "";
    for(var i = 0; i < uint8Array.length; i++) {
        var hextemp = (uint8Array[i].toString(16))
        if(hextemp.length == 1){
            hextemp = "0" + hextemp
        }
        str += hextemp;
    }
    log(`CC_MD5(${this.args0.readUtf8String()})`);   
    log(`CC_MD5()=${str}=`);
    log(this.backtrace);	// 打印函数调用栈
  }
}
  • 常用frida-trace命令

跟踪单个方法:frida-trace -UF -m "-[DetailViewController obj]"

跟踪多个方法:frida-trace -UF -m "-[DetailViewController obj]" -m "+[NSURL URLWithString:]"

跟踪某个类的所有方法:frida-trace -UF -m "*[DetailViewController *]"

跟踪某个类的所有方法并排除viewDidLoad方法:frida-trace -UF -m "*[DetailViewController *]" -M "-[DetailViewController viewDidLoad]"

跟踪整个App中包含sendMsg关键词的所有方法:frida-trace -UF -m "*[* *sendMsg*]"

需要忽略某个字母的大小写,请使用?代替sendMsg中的M:frida-trace -UF -m "*[* *send?sg*]"

日志过多时,可保存到文件:frida-trace -UF -m "*[* *sendMsg*]" -o run.log

跟踪某个动态库:frida-trace -UF -I "libcommonCrypto*"

跟踪某个c函数:frida-trace -UF -i "CC_MD5"

跟踪sub_1007B7D48函数:frida-trace -UF -a xxxxx\!0x7B7D48

总结

以上就是关于frida-trace的基本使用,希望能帮助到大家。同时也建议大家阅读官方文档:https://frida.re/docs/frida-trace/

提示:阅读此文档的过程中遇到任何问题,请关注公众号【移动端Android和iOS开发技术分享】或加QQ群【812546729

IMG_4048

原文链接:https://www.cnblogs.com/witchan/p/16904169.html

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:【iOS逆向与安全】frida-trace入门 - Python技术站

(0)
上一篇 2023年4月17日
下一篇 2023年4月17日

相关文章

  • [Android开发学iOS系列] ViewController

    iOS ViewController 写UIKit的代码, ViewController是离不开的.本文试图讲讲它的基本知识, 不是很深入且有点杂乱, 供初级选手和跨技术栈同学参考. What is a View Controller iOS中的View Controller非常像Android中的Activity. 它负责用户界面的展示, 有一些生命周期的…

    IOS 2023年4月18日
    00
  • 2022超详细流程ios APP最新打包上线教程,保证一看就会!

    这篇文章主要是想要给大家讲述一下APP打包上线到APP Store的详细流程。作为一名开发人员,上架APP是必须要会的,否则出去都不好意思说自己是iOS程序员。而且上线过APP的小伙伴肯定都知道,iOSAPP上线相比安卓的APP上线要复杂麻烦很多,一不小心就会掉进坑里。所以下面我将会带着大家一步一步的学习如何打包上线一个APP和那些年我们遇到的坑。 好了,下…

    IOS 2023年4月18日
    00
  • [一句话说iOS]dispatch如何造成死锁

    dispatch_sync执行了两件事:把代码块放入指定线程的任务队列中、堵塞当前线程直到代码块执行结束,如果出现了堵塞的线程和代码块所在的线程为同一线程的话,这个时候代码无法在此线程执行继续下去,即造成了死锁。 – (void)viewDidLoad { [super viewDidLoad]; dispatch_sync(dispatch_get_mai…

    IOS 2023年4月17日
    00
  • 公有云、私有云、混合云都是什么?有没有通俗一点的答案?企业选哪一种云比较好?

        很多同学都觉得公有云、私有云、混合云这些概念的认识比较混乱,开始我面对网上很多专业的解释不明所以,直到我遇到这个说法:   大白话解释一下 你娶了一个老婆,这叫传统IT架构。 你觉得一个老婆不够,这叫传统企业CIO的困境。 你又娶了一个老婆,这叫双活数据中心。 你在外地又娶了一个小老婆,这叫两地三中心容灾。 你娶了很多风格气质各异的小老婆,以至于形成…

    IOS 2023年4月17日
    00
  • 内存管理(二)之别小看了Tagged-Pointer关键时刻起到大作用

    本文主要研究Tagged Pointer技术,针对该技术需要解决的问题、以及在实际应用中的价值做一些简单的探讨。 如果你想要更进一步,去挖掘Tagged Pointer是如何实现的,可以参考Friday Q&A 2012-07-27: Let’s Build Tagged Pointers和objc源码。 另外,本文中涉及到的示例代码,请在真机iOS…

    IOS 2023年4月18日
    00
  • 2023年2月苹果最新屏蔽系统更新描述文件

    有相当一部分 iPhone 用户会拒绝iOS更新最新系统,不管是因为各种BUG还是因为其他优化方面的问题,他们都会选择一个自己觉得均衡的系统版本,安逸养老。 但是苹果 iOS 系统如果你不及时更新推送版本的话,就会在手机桌面「设置」上方出现角标数字红点,系统设置中也会出现红点提示。强迫症患者表示简直受不了,那么有没有什么办法能解决呢?   屏蔽系统更新 以前…

    IOS 2023年4月17日
    00
  • 盘点| 有哪些比较新的好用的React Native 开发工具?

    2015年,FaceBook首次开发并发布React Native框架,用于构建原始的移动应用程序。React Native的特点是使用JavaScript和React编写应用程序代码,而不是其他移动应用程序开发框架,同时利用iOS和Android平台的原始组件和API,从而实现更快、更有效的开发流程。今天就来跟大家分享 React Native 中一些新的…

    IOS 2023年4月25日
    00
  • ios animation 动画学习总结

    目录 一、前言 二、UIView Animation 2.1 简单动画 2.2 关键帧动画 2.3 View 的转换 三、CALayer Animation 一、前言 动画一直是 iOS 开发中很重要的一部分。设计良好,效果炫酷的动画往往能对用户体验的提升起到很大的作用,在这里将自己学习 iOS 动画的体会记录下来,希望能对别人有所帮助。 iOS 的动画框架…

    IOS 2023年4月18日
    00
合作推广
合作推广
分享本页
返回顶部