ios逆向之frida简单教程

1. 准备：

mac电脑
越狱好的手机
一个待分析的app

2. app砸壳

文章参考https://www.jianshu.com/p/80c1311530c3

3. 反编译出头文件

文章参考https://www.jianshu.com/p/c4272fce6703

4. frida安装

电脑直接运行以下命令

pip install frida-tools

参考官方
https://frida.re/docs/ios/
手机端打开Cydia搜索frida安装

5. frida-ps使用

# 将Frida通过USB连接到iPad，并列出正在运行的进程
frida-ps -U# 运行中的应用程序列表
frida-ps -Ua# 已安装的应用程序列表
frida-ps -Uai# 把Frida连接到特定的设备上
frida-ps -D 0216027d1d6d3a03

6. 分析砸壳之后导出的头文件

这一步只能靠日常经验去猜，比如接口请求一般都是request、response等关键字。
或者结合android端的命名（前提分析了android的APP）

7. 结合frida-trace去分析

官方文档https://frida.re/docs/frida-trace/
比如下面的命令

frida-trace -m "+[JDYUserContextManager sharedInstance]" -U 千牛

追踪JDYUserContextManager类，sharedInstance方法的调用
也可以使用*模糊追踪，比如
-m 包含指定方法
-M 排除指定方法
-U usb连接

frida-trace -m "+[JDYUserContextManager shared*]" -U 千牛

8. frida代码的编写

新建两个文件
qianniu.py

import frida, sys #导入frida模块
script = 'qianniu.js' #准备执行的frida javaScript脚本
bundle = 'com.taobao.sellerplatform' #准备hook的app的bundleIdf = open(script, "r") #打开frida脚本
s = f.read() #读取frida脚本device = frida.get_usb_device(1000) #连接usb设备 1000表示超时
pid = device.spawn([bundle]) #启动指定bundleId的app
session = device.attach(pid) #附加到app
script = session.create_script(s) #创建frida javaScript脚本
script.load() #load脚本到app进程中 这样即注入成功
device.resume(pid) #恢复app运行
sys.stdin.read()#读取打印日志

qianniu.js

if(ObjC.available){ //判断Object-C类方法是否已经加载进来console.log('hello world!')
}

9. hook指定方法

// 普通参数
function hook01(){let class_name = 'JDYUserContextManager'let method = '+ sharedInstance'let sharedInstance = ObjC.classes[class_name][method]let oldImpl = sharedInstance.implementationsharedInstance.implementation = ObjC.implement(sharedInstance,function(handle,selector,arg1,arg2){ // 如果有参数的话，就是第三个参数为该方法的第一个参数：args[n-2]// 查看值console.log("arg1",new ObjC.Object(arg1))let result = oldImpl(handle,selector,arg1,arg2)return result})
}// 参数类型为NSStackBlock
let method = '+ autoLogin:session:callBack:'let impl = ObjC.classes.ALBBSessionRpcService[method]const oldImpl = impl.implementation;impl.implementation = ObjC.implement(impl, function(handle,selector,arg1,arg2,arg3) {try{console.log("arg1",new ObjC.Object(arg1))console.log("arg2",arg2,JSON.stringify(new ObjC.Object(arg2)))console.log("arg3",arg3,new ObjC.Object(arg3)) //此参数为NSStackBlockvar block = new ObjC.Block(arg3);const appCallback = block.implementation;block.implementation = function (resp)  {console.log(resp) // ALBBResponseconst result = appCallback(resp);return result;};var ret = oldImpl(handle,selector,arg1,arg2,arg3);// console.log(ret)}catch(err){console.log(err)}return ret});

设置属性@property

let obj = ObjC.classes.ALBBRPCInfo['new']()
obj.token()； // 获取属性
obj['setToken:']('token值') // 设置属性

创建String类型

let arg1 = ObjC.classes.NSString['alloc']()['initWithString:']('我的字符串参数')

创建Block

const pendingBlocks = new Set();
let newReplyBlock = new ObjC.Block({// 类型签名，可以通过hook指定方法的block参数打印new ObjC.Block(resultCallback).typestypes:'v12@?0B8', implementation: function () {pendingBlocks.delete(newReplyBlock);}
});

获取指定类型的签名

ObjC.classes.Foo['- connection:didReceiveResponse:'].types
// 或
new ObjC.Block(resultCallback).types

获取指定对象的参数列表

obj.$ivars

###10. 调用指定方法

代码1

需要调用类的头文件

@interface ALBBSessionModel : NSObject
{
}
+ (id)getUserId;

调用代码

let userid = new ObjC.Object(ObjC.classes.ALBBSessionModel['+ getUserId']())

代码2

需要调用类的头文件

@interface JDYLoginCenterProtocolIMP : NSObject <JDYLoginCenterProtocol, JDYILoginService>
{
}
- (void)fastSwitchUserWithUserId:(id)arg1 resultCallback:(CDUnknownBlockType)arg2;

调用代码

let userid = ObjC.classes.NSString['alloc']()['initWithString:']('3109007973')
const pendingBlocks = new Set();var newReplyBlock = new ObjC.Block({types:'v12@?0B8',implementation: function () {pendingBlocks.delete(newReplyBlock);}
});let obj = ObjC.classes.JDYLoginCenterProtocolIMP['new']()
obj['- fastSwitchUserWithUserId:resultCallback:'](userid,newReplyBlock)

11. 日志查看

安装

brew install libimobiledevice

idevicesyslog日志查看工具
查看帮助

idevicesyslog --help

匹配关键字

idevicesyslog -m JDYLoginCenterProtocolIMP

更多关于frida的学习，可以参考
https://codeshare.frida.re/