iOS Internals and Security Testing
1.0.0
كنظام UNIX مطابق ، يعمل OS X مع الدلائل المعروفة المعروفة في جميع نكهات UNIX:
يضيف OS X الدلائل الخاصة الخاصة به إلى شجرة Unix ، تحت جذر النظام:
من منظور نظام الملفات ، يشبه iOS إلى حد كبير OS X ، مع الاختلافات التالية:
يمكن عدم الضغط على الملفات التي تحتوي على ملحق .IPA عن طريق تغيير الامتداد إلى .zip و unzipping.
/iTunesArtwork
/iTunesArtwork@2x
/iTunesMetadata.plist
/WatchKitSupport/WK
/META-INF
/Payload/
/Payload/<Application>.app/
/Payload/<Application>.app/<Application> ← Apple FairPlay DRM Encrypted Executable
/Payload/<Application>.app/Info.plist A file that contains some of the application specific configurations
/Payload/<Application>.app/_CodeSignature/ Contains a plist file with a signature over all files in the bundle
/Payload/<Application>.app/Assets.car Another zipped archive that contains assets (icons)
/Payload/<Application>.app/Frameworks/ Contains the app native libraries as .dylib or .framework files
/Payload/<Application>.app/PlugIns/ May contain app extensions as .appex files
/Payload/<Application>.app/Core Data It is used to save permanent data for offline use and sync across iCloud devices
/Payload/<Application>.app/PkgInfo An alternate way to specify the type and creator codes of your application or bundle
/Payload/<Application>.app/en.lproj, etc Language packs that contains resources for those specific languages
/var/containers/Bundle/Application/<UUID> Bundle directory; tampering invalidates signature
/var/mobile/Containers/Data/<UUID> Application runtime data
/var/mobile/Containers/Data/<UUID>/Documents/ Contains all the user-generated data
/var/mobile/Containers/Data/<UUID>/Library/ Contains all files that aren't user-specific – caches, preferences, cookies, plist files
/var/mobile/Containers/Data/<UUID>/Library/Caches/
Contains semi-persistent cached files
/var/mobile/Containers/Data/<UUID>/Library/Application Support/
Contains persistent files necessary for running the app
/var/mobile/Containers/Data/<UUID>/Library/Preferences/<bundle id>.plist
Properties that can persist after an application is restarted. Contains NSUserDefaults
/var/mobile/Containers/Data/<UUID>/tmp/ Temporary files that do not need to persist between app launches
ملفات PLIST هي ملفات XML منظمة تحتوي على أزواج ذات قيمة رئيسية تدعم أنواع الكائنات الأساسية ، مثل القواميس والقوائم والأرقام والسلاسل. عادة ما يكون كائن المستوى العلوي هو القاموس. يمكن أن يكون plist ملف ثنائي أو XML أو JSON .
| نوع مجردة | عنصر XML | فئة الكاكاو | نوع الأساس الأساسي |
|---|---|---|---|
| صفيف | <array> | NSArray | CFArray ( CFArrayRef ) |
| قاموس | <dict> | NSDictionary | CFDictionary ( CFDictionaryRef ) |
| خيط | <string> | NSString | CFString ( CFStringRef ) |
| بيانات | <data> | NSData | CFData ( CFDataRef ) |
| تاريخ | <date> | NSDate | CFDate ( CFDateRef ) |
| رقم - عدد صحيح | <integer> | NSNumber ( intValue ) | CFNumber ( CFNumberRef ، قيمة عدد صحيح) |
| رقم - نقطة عائمة | <real> | NSNumber ( floatValue ) | CFNumber ( CFNumberRef ، قيمة الفاصلة العائمة) |
| منطقية | <true/> أو <false/> | NSNumber ( boolValue == YES أو boolValue == NO ) | CFBoolean ( CFBooleanRef ؛ kCFBooleanTrue أو kCFBooleanFalse ) |
يحتوي info.plist قياسي على الإدخالات التالية:
plutil -convert xml1 binary_file.plist
plutil -convert xml1 data_file.json -o data_file.plist
https://docs.python.org/3/library/plistlib.html
التطبيقات التي يمكن للمستخدم الوصول إليها تشغيل كمستخدم الهاتف المحمول بينما يتم تشغيل عمليات النظام الحرجة كجذر . ومع ذلك ، يتيح صندوق الرمل تحكمًا أفضل في الإجراءات التي يمكن أن تؤديها عمليات وتطبيقات.
على سبيل المثال ، حتى إذا تم تشغيل عمليتين كمستخدم (الهاتف المحمول) نفسه ، فلا يُسمح لهما بالوصول إلى بيانات بعضهما البعض أو تعديلها .
يتم تثبيت كل تطبيق ضمن /var/mobile/Applications/<UUID> . Uuid عشوائي. بمجرد التثبيت ، تتمتع التطبيقات بإمكانية الوصول إلى بعض مناطق ووظائف النظام (SMS ، مكالمة هاتفية ...). إذا أراد تطبيق ما الوصول إلى منطقة محمية ، فسيظهر إذن يطلب المنبثقة .
يمكن لمطوري التطبيقات الاستفادة من واجهات برمجة تطبيقات حماية بيانات iOS لتنفيذ التحكم الدقيق للوصول إلى بيانات المستخدم المخزنة في ذاكرة الفلاش. تم تصميم واجهات برمجة التطبيقات فوق معالج جيب آمن (SEP). SEP هو معالج مشترك يوفر عمليات تشفير لحماية البيانات والإدارة الرئيسية . مفتاح الأجهزة الخاص بالجهاز- الجهاز UID (معرف فريد) -مدمج في الجيب الآمن ، مما يضمن سلامة حماية البيانات حتى عندما يتم اختراق kernel نظام التشغيل.
عند إنشاء ملف على القرص ، يتم إنشاء مفتاح AES سعة 256 بت بمساعدة مولد الأرقام العشوائية القائم على أجهزة Secure Enclave. ثم يتم تشفير محتوى الملف باستخدام المفتاح الذي تم إنشاؤه. وبعد ذلك ، يتم حفظ هذا المفتاح مشفرًا بمفتاح فئة إلى جانب معرف الفئة ، مع كل من البيانات المشفرة بواسطة مفتاح النظام ، داخل البيانات الوصفية للملف.
لفك تشفير الملف ، يتم فك تشفير البيانات الوصفية باستخدام مفتاح النظام. ثم باستخدام معرف الفصل ، يتم استرداد مفتاح الفئة لفك تشفير مفتاح لكل ملف وفك تشفير الملف.
يمكن تعيين الملفات إلى واحدة من أربع فئات حماية مختلفة ، والتي يتم شرحها بمزيد من التفصيل في دليل أمن iOS.
يحتوي كل تطبيق على دليل منزلي فريد من نوعه وهو عبارة عن رمل ، بحيث لا يمكنه الوصول إلى موارد النظام المحمية أو الملفات المخزنة بواسطة النظام أو بواسطة تطبيقات أخرى. يتم تنفيذ هذه القيود عبر سياسات Sandbox (AKA. ملفات التعريف ) ، والتي يتم فرضها بواسطة إطار التحكم الإلزامي للوصول BSD (MAC) الموثوق به عبر امتداد kernel.
يمكن تكوين بعض القدرات/الأذونات من قبل مطوري التطبيق (على سبيل المثال حماية البيانات أو مشاركة سلسلة المفاتيح) وسيصبح ساري المفعول مباشرة بعد التثبيت. ومع ذلك ، بالنسبة للآخرين ، سيُطلب من المستخدم صراحةً في المرة الأولى التي يحاول فيها التطبيق الوصول إلى مورد محمي .
السلاسل الغرض أو الاستخدام الوصف السلاسل هي نصوص مخصصة يتم تقديمها للمستخدمين في تنبيه طلب إذن النظام عند طلب إذن للوصول إلى البيانات أو الموارد المحمية.
إذا كان لديك رمز المصدر الأصلي ، يمكنك التحقق من الأذونات المضمنة في ملف Info.plist :
Info.plist وفتحه في المحرر الافتراضي وابحث عن المفاتيح التي تبدأ بـ "Privacy -" . يمكنك تبديل العرض لعرض القيم الأولية بالنقر بزر الماوس الأيمن واختيار "إظهار مفاتيح/قيم RAW" (بهذه الطريقة على سبيل المثال "Privacy - Location When In Use Usage Description" سيتحول إلى NSLocationWhenInUseUsageDescription ).
إذا كان لديك فقط IPA:
Info.plist في Payload/<appname>.app/Info.plist .plutil -convert xml1 Info.plist ) كما هو موضح في الفصل "اختبار الأمن الأساسي IOS" ، القسم "ملف info.plist".UsageDescription <plist version="1.0">
<dict>
<key>NSLocationWhenInUseUsageDescription</key>
<string>Your location is used to provide turn-by-turn directions to your destination.</string>
يتم استخدام إمكانات الجهاز من قبل متجر التطبيقات للتأكد من إدراج الأجهزة المتوافقة فقط وبالتالي يُسمح بتنزيل التطبيق. تم تحديدها في ملف Info.plist للتطبيق ضمن [UIRequiredDeviceCapabilities](https://developer.apple.com/library/archive/documentation/General/Reference/InfoPlistKeyReference/Articles/iPhoneOSKeys.html#//apple_ref/doc/plist/info/UIRequiredDeviceCapabilities) مفتاح.
<key>UIRequiredDeviceCapabilities</key>
<array>
<string>armv7</string>
</array>
عادةً ما تجد قدرة ARMV7 ، مما يعني أن التطبيق يتم تجميعه فقط لمجموعة تعليمات ARMV7 ، أو إذا كان تطبيق عالمي 32/64 بت.
على سبيل المثال ، قد يعتمد التطبيق تمامًا على NFC للعمل (مثل تطبيق "قارئ علامة NFC"). وفقًا لمرجع توافق جهاز iOS المؤرشفة ، فإن NFC متاح فقط بدءًا من iPhone 7 (و iOS 11). قد يرغب المطور في استبعاد جميع الأجهزة غير المتوافقة عن طريق تعيين قدرة جهاز nfc .
الاستحقاقات هي أزواج القيمة الرئيسية التي يتم تسجيل الدخول إلى تطبيق ما وتسمح للمصادقة بما يتجاوز عوامل وقت التشغيل ، مثل معرف مستخدم UNIX. نظرًا لأن الاستحقاقات موقعة رقميًا ، فلا يمكن تغييرها. يتم استخدام الاستحقاقات على نطاق واسع من قبل تطبيقات النظام والدمات لإجراء عمليات مميزة محددة تتطلب خلاف ذلك العملية لتشغيلها كجذر. هذا يقلل إلى حد كبير من إمكانية تصعيد الامتياز من خلال تطبيق النظام أو الخفي.
على سبيل المثال ، إذا كنت ترغب في تعيين إمكانية "حماية البيانات الافتراضية" ، فستحتاج إلى الانتقال إلى علامة التبويب إمكانات في XCode وتمكين حماية البيانات . يتم كتابة هذا مباشرة بواسطة XCode إلى ملف <appname>.entitlements كإحساس com.apple.developer.default-data-protection مع القيمة الافتراضية NSFileProtectionComplete . في IPA ، قد نجد هذا في embedded.mobileprovision .
<key>Entitlements</key>
<dict>
...
<key>com.apple.developer.default-data-protection</key>
<string>NSFileProtectionComplete</string>
</dict>
بالنسبة للقدرات الأخرى مثل HealthKit ، يجب أن يُطلب من المستخدم إذنًا ، وبالتالي لا يكفي إضافة الاستحقاقات ، يجب إضافة مفاتيح وسلاسل خاصة إلى ملف Info.plist للتطبيق.
يعد الجيب الآمن جزءًا من A7 و SOCs الأحدث المستخدمة لحماية البيانات ومعرف اللمس ومعرف الوجه. الغرض من الجيب الآمن هو التعامل مع المفاتيح والمعلومات الأخرى مثل القياسات الحيوية الحساسة بما يكفي لعدم التعامل مع معالج التطبيق. يتم عزله بفلتر الأجهزة بحيث لا يمكن لـ AP الوصول إليه. إنه يشارك ذاكرة الوصول العشوائي مع AP ، ولكن جزء من ذاكرة الوصول العشوائي - TZ0 مشفرة. The Secure Enclave نفسه عبارة عن قلب معالج AKF قابل للتفاضل 4 ميجابايت يسمى معالج Enclave Secure (SEP). تتشابه التكنولوجيا المستخدمة مع ARM's TrustZone/Securcore ولكنها تحتوي على رمز خاص لـ Apple KF Core بشكل عام و SEP على وجه التحديد.
يحتوي SOC في كل جهاز على معالج AES مع مفتاح GID ومفتاح UID .
إن معرف الجهاز الفريد (UID) ومعرف مجموعة الجهاز (GID) هما مفاتيح AES 256 بت (UID) أو تجميعها (GID) في معالج التطبيق أثناء التصنيع. لا يمكن لأي برنامج أو برامج ثابتة قراءتها مباشرة ؛ يمكنهم فقط رؤية نتائج عمليات التشفير أو فك التشفير التي يتم تنفيذها باستخدامها. يعد UID فريدًا لكل جهاز ولا يتم تسجيله بواسطة Apple أو أي من مورديها. يعد GID شائعًا لجميع المعالجات في فئة من الأجهزة ويستخدم كمستوى إضافي من الحماية عند توصيل برامج النظام أثناء التثبيت واستعادة. يساعد دمج هذه المفاتيح في السيليكون في منعهم من العبث أو تجاوزه ، أو الوصول إليه خارج محرك AES.
مفتاح GID ( مفتاح معرف المجموعة ) هو مفتاح AES 256 بت مشاركة جميع الأجهزة مع نفس معالج التطبيق. مفتاح GID هو جزء من كيفية تشفير iOS البرامج على الجهاز. هذا مكون واحد من نظام أمن iOS ، والذي يتضمن أيضًا توقيعات SHSH. هذا المفتاح مختلف في كل نموذج Apple SOC.
لم يتم استخراج مفتاح GID حتى الآن من أي جهاز ، وبالتالي فإن الطريقة الوحيدة لاستخدامه هي المرور عبر محرك AES نفسه.
لكن
يمكن الحصول على GID من خلال إجراء هجوم التمهيد البارد باهظ الثمن (https://en.m.wikipedia.org/wiki/cold_boot_attack) والإجراء التالي الذي لا يقل تكلفة لمسح SOC باستخدام lithnology-beam-lithographer/-beam-lithographer/-beam. مثل هذه التجربة باهظة الثمن ومعقدة بشكل غير مبرر ، لذلك لم يحدث أبدًا لأي شخص لمحاولة تنفيذها باستثناء المختبر الخاص Cellebrite. لا يشارك Cellebrite أبحاثها.
مفتاح UID ( مفتاح المعرف الفريد للجهاز ) هو مفتاح أجهزة AES 256 بت ، فريد من نوعه لكل iPhone.
يتم حساب بعض المفاتيح المشتقة بواسطة خدمة kernel IoAesaccelerator في Boot. يتم إنشاء هذه المفاتيح عن طريق تشفير القيم الثابتة إما باستخدام مفتاح UID (معرف 0x7D0) أو مفتاح GID (معرف 0x3E8).
المفتاح 0x835- تم إنشاؤه عن طريق تشفير 0x01010101010101010101010101010101 مع مفتاح UID. تستخدم لحماية البيانات.
المفتاح 0x836- تم إنشاؤه بواسطة تشفير 0x00E5A0E6526FAE66C5C1C6D4F16D6180 مع uid-key. يتم حساب هذا بواسطة kernel أثناء الاستعادة ، ولكن يتم صفره أثناء التمهيد العادي. يتم حسابه أيضًا بواسطة جهاز تحميل الإقلاع الآمن ، والاستخدام الوحيد المعروف هو فك تشفير LLB في NOR. مثل 0x835 ، يختلف عن كل جهاز.
المفتاح 0x837 - تم إنشاؤه بواسطة تشفير 0x345A2D6C5050D058780DA431F0710E15 مع مفتاح GID S5L8900 ، مما أدى إلى 0x188458A6D15034DFE386F23B61D43774 . يتم استخدامه كمفتاح تشفير لملفات IMG2. مع إدخال IMG3 في iPhone OS 2.0 ، يتم استخدام KBAGs الآن بدلاً من مفتاح 0x837 . نظرًا لأن إصدارات iPhone OS 1.x تم استخدامها فقط على iPhone و iPod Touch (كلاهما يستخدم S5L8900) لا تهم القيم المشفرة للمعالجات الأخرى.
المفتاح 0x838- تم إنشاؤه عن طريق تشفير 0x8C8318A27D7F030717D2B8FC5514F8E1 مع مفتاح UID. مفتاح آخر قائم على uid-aes-key ، يتم استخدامه لتشفير كل شيء ما عدا LLB في NOR (iboot ، devicetree ، الصور).
المفتاح 0x899- تم إنشاؤه بواسطة تشفير 0xD1E8FCB53937BF8DEFC74CD1D0F1D4B0 مع uid-key. استخدام غير معروف.
المفتاح 0x89A- تم إنشاؤه عن طريق تشفير 0xDB1F5B33606C5F1C1934AA66589C0661 مع مفتاح UID ، والحصول على مفتاح خاص بالجهاز. تستخدم على أجهزة A4. يتم استخدامه لتشفير النقطات shsh على الجهاز.
KEY 0x89B- تم إنشاؤه بواسطة تشفير 0x183E99676BB03C546FA468F51C0CBD49 مع مفتاح UID. يتم استخدامه لتشفير مفتاح قسم البيانات.
المفتاح 0x8A3- تم إنشاؤه عن طريق تشفير 0x568241656551e0cdf56ff84cc11a79ef مع مفتاح UID (باستخدام AES-256-CBC). يتم استخدامه أثناء ترقيات البرامج على A12 وبعد ذلك لتشفير قيمة "المولد" (باستخدام AES-128-CBC) قبل تجزئها لتصبح NONCE.
مزيد من المعلومات: https://css.csail.mit.edu/6.858/2020/readings/ios-security-may19.pdf
https://www.securitylab.ru/contest/428454.php
https://www.securitylab.ru/contest/429973.php
تحتوي ملفات الوحدة النمطية لـ Objective-C على امتداد ".M" (إذا تم استخدام مزيج من C ++ و Objective-C ، امتداد ".mm"). ملفات الرأس - ".h". يجب تخصيص جميع كائنات الفئات التي تم إنشاؤها في Objective-C في كومة. لذلك ، فإن نوع المعرف ، وهو مؤشر لكائن من أي فئة (في الواقع ، باطل *) ، يكتسب أهمية خاصة. يشار إلى مؤشر فارغ باسم NIL الثابت. وبالتالي ، يمكن إلقاء مؤشر إلى أي فصل على نوع الهوية. تنشأ مشكلة: كيفية معرفة الفئة التي ينتمي إليها الكائن المختبئ تحت الهوية؟ يتم ذلك بفضل ISA Sistariant ، والذي يوجد في أي كائن من فئة يرث فئة قاعدة خاصة NSObject (تعني بادئة NS للخطوة التالية). ISA Sistariant هو من فئة النوع المحجوز. يتيح لك كائن من هذا النوع معرفة أسماء الفئة الخاصة به والفئة الأساسية ، ومجموعة من ثبات الفئة ، وكذلك النماذج الأولية لجميع الأساليب التي قام بها هذا الكائن وعناوينهم (من خلال قائمة محلية من المختارين). تبدأ جميع الكلمات المحجوزة في Congive-C بخلاف C الكلمات المحجوزة برمز @(على سبيل المثال protocol ، @selector ، interface). عادةً ما تبدأ أسماء ثواري الفئة الناطقين (private ، @protected) مع السطح السفلي. بالنسبة للسلاسل ، يحتوي الكاكاو على فئة NSString مفيدة للغاية. تتم كتابة ثابت السلسلة من هذه الفئة باسم "Hello World" ، وليس كقوة C المعتادة "Hello World". يمكن أن يأخذ نوع Bool (char غير موقّع بشكل أساسي) القيم الثابتة نعم ولا. جميع الكلمات المحجوزة الخاصة بـ C (والتي تختلف عن لغة C وتوجد في ملف الرأس OBJC/OBJC.H) أدناه:
يبدأ @interface إعلان فئة أو فئة (فئة هي امتداد فئة بدون ميراث)
@end إكمال الإعلان تعريف أي فئة أو فئة أو بروتوكول
يحد @private نطاق الثوابات الفئة إلى أساليب الفصل (على غرار C ++)
@protected تقف بشكل افتراضي. يحد من نطاق الثوابات الطبقية إلى طرق الطبقة وطرق الفئات المشتقة (على غرار C ++)
@public يزيل قيود النطاق (على غرار C ++)
يحدد @try كتلة مع استثناء محتمل رمي (على غرار C ++)
@throw يلقي كائن استثناء (على غرار C ++)
@catch() يتعامل مع الاستثناء الذي تم إلقاؤه في كتلة @السابقة (على غرار C ++)
يحدد @finally الكتلة بعد كتلة @التي يتم تمرير التحكم إليها بغض النظر عما إذا كان الاستثناء قد تم إلقاؤه أم لا
@class مختصرة شكل إعلان الفئة (الاسم فقط (على غرار C ++))
@selector(method_name) إرجاع المحدد المترجم لاسم الطريقة method_name
@protocol(protocol_name) إرجاع مثيل من فئة البروتوكول المسماة protocol_name
@encode(type_spec) تهيئة سلسلة أحرف سيتم استخدامها لتشفير البيانات من النوع type_spec
يحدد @synchronized() كتلة من التعليمات البرمجية التي تم تنفيذها بواسطة مؤشر ترابط واحد فقط في أي نقطة زمنية محددة
يبدأ @implementation في تحديد فئة أو فئة
يبدأ @protocol إعلان بروتوكول (مماثل لفئة C ++ التي تتكون من وظائف افتراضية نقية)
لإجبار كائن على تنفيذ طريقة ، تحتاج إلى إرسال رسالة تسمى نفس الطريقة المطلوبة. تسمى هذه الرسالة محدد الطريقة. بناء الجملة للإرسال هو كما يلي:
[receiver method];
- (void) addObject: (id) otherObject;
إذا وضعت علامة زائد + في بداية النموذج الأولي للأسلوب ، فسيتم اعتبار هذه الطريقة طريقة فئة ، وبطبيعة الحال ، لن تقبل المعلمة الذاتية الضمنية (وهذا يشبه إعلان طريقة ثابتة في C ++). وبدون وجود عيسى ثابت من الكائن الذي أشار إليه الذات ، لن يعمل المؤشر الفائق بالطبع. وبالتالي ، يتم الإعلان عن النموذج الأولي لأي طريقة مثل هذا:
- | + (<return type>) mainMethodNamePart
[: (<type of first parameter>) nameOfFirstFormalParameter
[[optionalMethodNamePart]: (<type of second parameter>) secondFormalParameterName] ...
]
على سبيل المثال:
+ (Class)class;
+ (id)alloc;
- (id)init;
- (void)addObject: (id)anObject;
+ (NSString *)stringWithCString: (const char*)aCString usingUncoding: (enum NSStringEncoding)encoding;
- (NSString *)initStringWithFormat: (NSString *)format, ...;
وثائق مطور Apple
https://developer.apple.com/library/archive/documentation/macosx/conceptual/osx_technology_overview/systemframeworks/systemframeworks.html
https://www.theiphonewiki.com/wiki//system/library/frameworks
يتم تخزين الأطر في عدة مواقع على نظام الملفات:
بالإضافة إلى ذلك ، قد تتضمن التطبيقات أطر عملها الخاصة.
وثائق مطور Apple - الشبكة
وثائق مطور Apple - NetWorkextension
وثائق مطور Apple - NetWorkingDriverKit
معظم التطبيقات التي قد تواجهها الاتصال بنقاط النهاية البعيدة. حتى قبل إجراء أي تحليل ديناميكي (مثل التقاط وحركة المرور) ، يمكنك الحصول على بعض المدخلات أو نقاط الدخول الأولية عن طريق تعداد المجالات التي من المفترض أن يتواصل التطبيق إليها.
عادةً ما تكون هذه المجالات موجودة كسلاسل داخل الثنائي للتطبيق. يمكن للمرء استخراج المجالات عن طريق استرداد السلاسل باستخدام rabin2 -zz <path_to_binary> أو في IDA Pro. يتمتع الخيار الأخير بميزة واضحة: يمكن أن يوفر لك سياقًا ، حيث ستتمكن من معرفة السياق الذي يتم فيه استخدام كل مجال عن طريق التحقق من المراجع المتقاطعة.
من هنا يمكنك استخدام هذه المعلومات لاستخلاص المزيد من الأفكار التي قد تكون مفيدة لاحقًا أثناء التحليل ، على سبيل المثال ، يمكنك مطابقة المجالات مع الشهادات المثبتة أو تنفيذ المزيد من الاستطلاع على أسماء النطاقات لمعرفة المزيد عن البيئة المستهدفة.
يمكن أن يكون تنفيذ الاتصالات الآمنة والتحقق منها عملية معقدة وهناك العديد من الجوانب التي يجب مراعاتها. على سبيل المثال ، تستخدم العديد من التطبيقات بروتوكولات أخرى بصرف النظر عن HTTP مثل XMPP أو حزم TCP العادية ، أو تنفيذ شهادة الشهادة في محاولة لردع هجمات MITM.
تم تقديم إطار الشبكة في مؤتمر Apple Worldwide Developers (WWDC) في عام 2018 وهو بديل لواجهة برمجة تطبيقات Sockets. يوفر إطار الشبكات منخفضة المستوى هذا الفصول لإرسال وتلقي البيانات مع دعم شبكات ديناميكية ودعم للأمان ودعم الأداء.
يتم تمكين TLS 1.3 افتراضيًا في إطار الشبكة ، إذا تم استخدام الوسيطة using: .tls . هذا هو الخيار المفضل على إطار النقل الآمن القديم.
تم بناء URLSession على إطار الشبكة ويستخدم نفس خدمات النقل. يستخدم الفصل أيضًا TLS 1.3 افتراضيًا ، إذا كانت نقطة النهاية هي HTTPS.
يجب استخدام URLSession لاتصالات HTTP و HTTPS ، بدلاً من استخدام إطار الشبكة مباشرة. يدعم الفئة كل من مخططات URL ويتم تحسينها لمثل هذه الاتصالات. إنه يتطلب رمزًا أقل من الغلاية ، مما يقلل من الميل للأخطاء وضمان اتصالات آمنة افتراضيًا. يجب استخدام إطار الشبكة فقط عندما يكون هناك متطلبات شبكات منخفضة المستوى و/أو متطورة.
تتضمن وثائق Apple الرسمية أمثلة على استخدام إطار الشبكة لتنفيذ NetCat و URLSession لجلب بيانات الموقع إلى الذاكرة.
https://developer.limneos.net/
https://www.theiphonewiki.com/wiki//system/library/privateframeworks
يمكن العثور على أحدث أداة لجهازك هنا https://canijailbreak.com
يتم كتابة هذا البحث بشكل أساسي لأجهزة iPhone CheckRa1ned 5s من X مع iOS 10-15 ويمكن تحديثها على المدى الطويل إذا تم إصدار أداة bootrom pwnage جديدة. تحقق من ذلك https://www.theiphonewiki.com/wiki/bootrom#bootrom_exploits
https://repo.chariz.com على سبيل المثال)killall SpringBoardافتح .DEB/.IPA ملف مع مدير ملفات FILZA واضغط على التثبيت ، إذا رأيت خطأً في تثبيت .DEB ، حاول العثور على جميع التبعيات وتثبيتها
تثبيت appsync الموحد من https://cydia.akemi.ai/ repo
https://apt.bingner.com/
https://apt.thebigboss.org/repofiles/cydia/
https://cydia.saurik.com
https://repo.dynastic.co/
https://getdelta.co/
https://cokepokes.github.io/
https://cydia.akemi.ai/
https://nscake.github.io/
https://repo.chariz.com/
https://mrepo.org/
https://rejail.ru/
https://repo.hackyouriphone.org/
https://build.frida.re/ - فريدا
https://cydia.radare.org/ - Radare2
تثبيت على سطح المكتب
brew install libimobiledevice ideviceinstaller libirecovery
sudo port install idevicerestore
قائمة idevice_id قائمة بأجهزة أو جهاز طباعة اسم جهاز معين idevicebackup إنشاء أو استعادة النسخ الاحتياطي للأجهزة idevicecrashreport Legacy idevicedebug idevicebackup2 إنشاء أو استعادة النسخ الاحتياطية للأجهزة التي تعمل على idevicedebugserverproxy iOS 4 أو الأحدث يتفاعل الاتصال من جهاز لتصحيح الأخطاء عن بُعد idevicediagnostics مع واجهة التشخيص للجهاز ideviceenterrecovery جعل الجهاز يدخل وضع الاسترداد ideviceimagemounter Mount Disk Disk على الجهاز ideviceinfo عرض معلومات idevicescreenshot idevicename idevicepair لقطة شاشة من جهاز idevicesetlocation للجهاز المتصل على موقع جهاز ترحيل idevicesyslog الجهاز لجهاز متصل
ideviceinstaller --list-apps
ideviceinstaller --install <Application.ipa>
ideviceinstaller --uninstall <bundle id>
idevicedebug -d run <bundle id>
irecovery --shell بالتواصل مع جهاز iBOOT/IBSS OF IOS
idevicerestore --latest استعادة برنامج ثابت جديد لجهاز idevicerestore --erase --latest
إجبار استعادة مع محو جميع البيانات
inetcat الأداة المساعدة لفضح اتصال خام لجهاز iproxy 2222:22 ربط المنفذ المحلي 2222 وإعادة توجيهه إلى 22 من جهاز USB الأول
تثبيت على الجهاز قناة ملف Apple "2"
استخدم imazing أو ifunbox للوصول إلى نظام الملفات
قم بتثبيت مدير ملفات Filza
تثبيت openssh على الجهاز وقم بالتشغيل على سطح المكتب:
iproxy 2222:22
ssh -p 2222 root@localhost
كلمة مرور iOS الافتراضية root هي alpine . لا تقم بتغييره إذا كان لديك ذاكرة سيئة
التثبيت على جهاز Newterm 2 من https://repo.chariz.com لاستخدام المحطة المحلية
cd /private/var/containers/Bundle/Application/<guid>/myapp.app
// Contains compiled code, statically linked files, compressed NIB files.
cd /private/var/mobile/Containers/Data/Application/
ls -lrt // Your freshly installed IPA is at the bottom of list
cd [app guid]/Documents/
cd [app guid]/Library/
/private/var/Keychains
TrustStore.sqlite3
keychain-2.db
pinningrules.sqlite3
// Extract IPA (whether App Store encrypted or not)
scp -r -P 2222 root@localhost:/var/containers/Bundle/Application/<app GUID>/hitme.app ~/hitme.app
// Different to SSH, the uppercase P for Port with SCP. Order important.
scp -P 2222 root@localhost:/var/root/overflow.c localfilename.c
// from Jailbroken device to local machine
// Caution:no space after the root@localhost: Otherwise you copy the entire filesystem!
scp -P 2222 root@localhost:/private/var/mobile/Containers/Data/Application/<App GUID>/Library/Caches/Snapshots/com.my.app
// from local machine to remote Jailbroken device
scp -P 2222 hello.txt root@localhost:/var/root/
تثبيت libflex والثني من https://nscake.github.io/
افتح Newterm وتشغيل killall SpringBoard
يمكنك الآن تحميل Flex داخل أي تطبيق بواسطة LongPress على شريط الحالة
Frida هي مجموعة أدوات للأجهزة الثنائية الديناميكية التي تتيح لنا تنفيذ البرامج النصية في البرامج التي تم تأمينها مسبقًا. باختصار ، يتيح لك Frida ضخ قصاصات JavaScript في التطبيقات الأصلية على Windows و Mac و Linux و iOS و Android.
أضف Frida Repo إلى Cydia - https://build.frida.re/
إذا لم يكن لديك بيثون 3:
brew install pyenv
pyenv install 3.9.0 (أو أحدث المتاحة)
ثم تثبيت
pip3 install frida-tools
قائمة frida-ls-devices الأجهزة المتاحة
frida-ps -U اذكر جميع أسماء عمليات التشغيل و PIDS على جهاز USB
frida-ps -Uai قائمة جميع التطبيقات المثبتة على جهاز USB
frida-ps -Ua قائمة جميع التطبيقات التي تعمل على جهاز USB
قائمة frida-ls-devices جميع الأجهزة المرفقة
frida-ps -D 0216027d1d6d3a03 قم بتوصيل FRIDA بالجهاز المحدد
أداة frida-discover لاكتشاف الوظائف الداخلية في عملية
frida-trace -U Twitter -i "*URL*" تتبع واجهات برمجة التطبيقات الأصلية
frida-trace -U -f com.toyopagroup.picaboo -I "libcommonCrypto*"
قم بتشغيل مكالمات API و Trace Crypto API
frida-trace -U Twitter -m "-[NSURL* *HTTP*]" تتبع واجهة برمجة تطبيقات الهدف-C
frida -U -n Twitter -l inject.js حقن البرنامج النصي في عملية على جهاز USB عبر Reply
frida -n cat Connect to Cat
frida -f foobar Force Open Foobar
frida -U -f foobar --no-pause مفتوح على USB وبدء القوة. يبدأ تشغيل التطبيق
frida-ps -U | grep -i myapp أحصل على معرف عملية التطبيق المستهدف من جهاز USB المتصل
frida -U -f foobar --no-pause -q --eval 'console.log("Hi Frida");'
قم بتشغيل البرنامج النصي وتوقف فريدا
في هذه المرحلة ، تم تخزين وظائفنا NativeFunction في متغير play_sound . نسميها تمامًا مثل الوظيفة العادية play_sound() وتذكر أيضًا إعطاء معلمة الإدخال ( int ): play_sound(1007)
وضع كل شيء معًا:
var address = Module.findExportByName('AudioToolbox', 'AudioServicesPlaySystemSound')
var play_sound = new NativeFunction(address, 'void', ['int'])
play_sound(1007)
يجب عليك الحصول على مثيل للكائن أولاً ، إما:
var instance = ObjC.classes.ClassName.alloc().init();ObjC.choose , like - if you know there's only one instance already created somewhere on the heap - you can to something like var instance = ObjC.chooseSync(ObjC.classes.ClassName)[0];var instance = ObjC.classes.MySingleton.getInstance().myInterestingInstance();and then call the method on the instance:
instance.setSomething();
or, if the method signature takes an argument, like - setSomething: , you can also pass the argument (just remember to put a _ instead of ObjC's : ):
instance.setSomething_(argument);
frida -U "My App" // Attach Frida to app over USB
Process.id
419
Process.getCurrentThreadId()
3843
var b = "hello frida"
console.log(b)
"hello frida"
c = Memory.allocUtf8String(b)
"0x1067ec510"
Memory.readUtf8String(c)
"hello frida"
console.log(c)
0x1067ec510
console.log(c.readUtf8String(5))
hello
console.log(c.readUtf8String(11))
hello frida
ptrToC = new NativePointer(c);
"0x1067ec510"
console.log(ptrToC)
0x1067ec510
console.log(ptrToC.readCString(8))
hello fr
Memory.readUtf8String(ptrToC)
"hello frida"
Objective-C's syntax includes the : and @ characters. These characters were not used in the Frida Javascript API .
// Attach to playground process ID
frida -p $(ps -ax | grep -i -m1 playground |awk '{print $1}')
ObjC.available
true
ObjC.classes.UIDevice.currentDevice().systemVersion().toString()
"11.1"
ObjC.classes.NSBundle.mainBundle().executablePath().UTF8String()
ObjC.classes.UIWindow.keyWindow().toString()
RET: <WKNavigation: 0x106e165c0>
// shows Static Methods and Instance Methods
ObjC.classes.NSString.$ownMethods
ObjC.classes.NSString.$ivars
var myDate = ObjC.classes.NSDate.alloc().init()
console.log(myDate)
2019-04-19 19:03:46 +0000
myDate.timeIntervalSince1970()
1555700626.021566
myDate.description().toString()
"2019-04-19 19:03:46 +0000"
var a = ObjC.classes.NSUUID.alloc().init()
console.log(a)
4645BFD2-94EE-413D-9CE5-8982D41ED6AE
a.UUIDString()
{
"handle": "0x7ff3b2403b20"
}
a.UUIDString().toString()
"4645BFD2-94EE-413D-9CE5-8982D41ED6AE"
var b = ObjC.classes.NSString.stringWithString_("foo");
b.isKindOfClass_(ObjC.classes.NSString)
true
b.isKindOfClass_(ObjC.classes.NSUUID)
false
b.isEqualToString_("foo")
true
b.description().toString()
"foo"
var c = ObjC.classes.NSString.stringWithFormat_('foo ' + 'bar ' + 'lives');
console.log(c)
foo bar lives
var url = ObjC.classes.NSURL.URLWithString_('www.foobar.com')
console.log(url)
www.foobar.com
url.isKindOfClass_(ObjC.classes.NSURL)
true
console.log(url.$class)
NSURL
var b = ObjC.classes.NSString.stringWithString_("foo");
var d = ObjC.classes.NSData
d = b.dataUsingEncoding_(1) // NSASCIIStringEncoding = 1, NSUTF8StringEncoding = 4,
console.log(d)
<666f6f> // This prints the Hex value "666f6f = foo"
d.$className
"NSConcreteMutableData"
var x = d.CKHexString() // Get you the Byte array as a Hex string
console.log(x)
666f6f
x.$className
"NSTaggedPointerString"
var newStr = ObjC.classes.NSString.stringWithUTF8String_[d.bytes]
// demoapp is the iOS app name
myapp=$(ps x | grep -i -m1 demoapp | awk '{print $1}')
frida-trace -i "getfsent*" -p $myapp
// Connect to process with Frida script
frida --codeshare mrmacete/objc-method-observer -p 85974
Process.enumerateModules()
// this will print all loaded Modules
Process.findModuleByName("libboringssl.dylib")
{
"base": "0x1861e2000",
"name": "libboringssl.dylib",
"path": "/usr/lib/libboringssl.dylib",
"size": 712704
}
Process.findModuleByAddress("0x1c1c4645c")
{
"base": "0x1c1c2a000",
"name": "libsystem_kernel.dylib",
"path": "/usr/lib/system/libsystem_kernel.dylib",
"size": 200704
}
DebugSymbol.fromAddress(Module.findExportByName(null, 'strstr'))
{
"address": "0x183cb81e8",
"fileName": "",
"lineNumber": 0,
"moduleName": "libsystem_c.dylib",
"name": "strstr"
}
Module.findExportByName(null, 'strstr')
"0x183cb81e8"
Module.getExportByName(null,'strstr')
"0x183cb81e8"
Process.findModuleByAddress("0x183cb81e8")
{
"base": "0x183cb6000",
"name": "libsystem_c.dylib",
"path": "/usr/lib/system/libsystem_c.dylib",
"size": 516096
}
a = Process.findModuleByName("Reachability")
a.enumerateExports()
....
{
"address": "0x102fab020",
"name": "ReachabilityVersionString",
"type": "variable"
},
{
"address": "0x102fab058",
"name": "ReachabilityVersionNumber",
"type": "variable"
}
....
...
..
frida -U -f funky-chicken.debugger-challenge --no-pause -q --eval 'var x={};Process.enumerateModulesSync().forEach(function(m){x[m.name] = Module.enumerateExportsSync(m.name)});' | grep -B 1 -A 1 task_threads
"address": "0x1c1c4645c",
"name": "task_threads",
"type": "function"
frida -U -f funky-chicken.debugger-challenge --no-pause -q --eval 'var x={};Process.findModuleByAddress("0x1c1c4645c");'
{
"base": "0x1c1c2a000",
"name": "libsystem_kernel.dylib",
"path": "/usr/lib/system/libsystem_kernel.dylib",
"size": 200704
}
[objc_playground]-> var a = ObjC.classes.NSString.stringWithString_("foo");
[objc_playground]-> a.superclass().toString()
"NSString"
[objc_playground]-> a.class().toString()
"NSTaggedPointerString"
// PASTE THIS CODE INTO THE FRIDA INTERFACE...
Interceptor.attach(ObjC.classes.NSTaggedPointerString['- isEqualToString:'].implementation, {
onEnter: function (args) {
var str = new ObjC.Object(ptr(args[2])).toString()
console.log('[+] Hooked NSTaggedPointerString[- isEqualToString:] ->' , str);
}
});
// TRIGGER YOUR INTERCEPTOR
[objc_playground_2]-> a.isEqualToString_("foo")
[+] Hooked NSTaggedPointerString[- isEqualToString:] -> foo
1 // TRUE
[objc_playground_2]-> a.isEqualToString_("bar")
[+] Hooked NSTaggedPointerString[- isEqualToString:] -> bar
0 // FALSE
// frida -U -l open.js --no-pause -f com.yd.demoapp
// the below javascript code is the contents of open.js
var targetFunction = Module.findExportByName("libsystem_kernel.dylib", "open");
Interceptor.attach(targetFunction, {
onEnter: function (args) {
const path = Memory.readUtf8String(this.context.x0);
console.log("[+] " + path)
}
});
frida-trace --v Check it works frida-trace --help Excellent place to read about Flags frida-trace -f objc_playground Spawn and NO trace frida-trace -m "+[NSUUID UUID]" -U "Debug CrackMe" Trace ObjC UUID static Class Method frida-trace -m "*[ComVendorDebugger* *]" -U -f com.robot.demo.app ObjC wildcard trace on Classes frida-trace -m "*[YDDummyApp.UserProfileMngr *]" -U -f com.robot.demo.app Trace mangled Swift functions frida-trace -i "getaddrinfo" -i "SSLSetSessionOption" -U -f com.robot.demo Trace C function on iOS frida-trace -m "*[*URLProtection* *]" -U -f com.robot.demo For https challenge information frida-trace -m "*[NSURLSession* *didReceiveChallenge*]" -U -f com.robot.demo Check whether https check delegate used frida-trace -U -f com.robot.demo.app -I libsystem_c.dylib Trace entire Module. frida-trace -p $myapp -I UIKit Trace UIKit Module. frida-trace -f objc_playground -I CoreFoundation Trace CoreFoundation Module. frida-trace -I YDRustyKit -U -f com.yd.mobile Trace my own module. frida-trace -m "-[NSURLRequest initWithURL:]" -U -f com.robot.demo Get app files and APIs frida-trace -m "-[NSURL initWithString:]" -U -f com.robot.demo Find the API endpoints frida-trace -m "*[NSURL absoluteString]" -U -f com.robot.demo My favorite of these
frida-trace -i "*strcpy" -f hitme aaaa bbbb
Instrumenting functions...
_platform_strcpy: Loaded handler at "/.../__handlers__/libSystem.B.dylib/_platform_strcpy.js"
Started tracing 1 function. Press Ctrl+C to stop.
Edit the auto-generated, template Javascript file.
-----------
onEnter: function (log, args, state) {
// strcpy() arg1 is the Source. arg0 is the Destination.
console.log('n[+] _platform_strcpy()');
var src_ptr = args[1].toString()
var src_string = Memory.readCString(args[1]);
var src_byte_array = Memory.readByteArray(args[1],4);
var textDecoder = new TextDecoder("utf-8");
var decoded = textDecoder.decode(src_byte_array);
console.log('[+] src_ptrt-> ' , src_ptr);
console.log('[+] src_stringt-> ' + src_string);
console.log('[+] src_byte_arrayt-> ' + src_byte_array);
console.log('[+] src_byte_array sizet-> ' + src_byte_array.byteLength);
console.log('[+] src_byte_array decodedt-> ' + decoded);
},
النتائج:
[+] _platform_strcpy()
[+] src_ptr -> 0x7ffeefbffaa6
[+] src_string -> aaaa
[+] src_byte_array -> [object ArrayBuffer]
[+] src_byte_array size -> 4
[+] decoded -> aaaa
[+] _platform_strcpy()
[+] src_ptr -> 0x7ffeefbffaab
[+] src_string -> bbbb
[+] src_byte_array -> [object ArrayBuffer]
[+] src_byte_array size -> 4
[+] decoded -> bbbb
frida-ps -Uai // get your bundle ID
frida --codeshare mrmacete/objc-method-observer -U -f funky-chicken.push-demo
[+] At the Frida prompt...
observeSomething('*[ABC* *]'); // any Class beginning with ABC, regardless of instance or static class
observeSomething('-[WKWebsiteDataStore httpCookieStore]');
observeSomething('-[WKWebAllowDenyPolicyListener *]');
observeSomething('-[WKWebView loadRequest:]'); // dump the URL to hit
observeSomething('-[WKWebView load*]'); // you get all HTML, js, css, etc
observeSomething('-[WKWebView loadHTMLString:baseURL:]') // really effective; see the entire request
observeSomething('-[WKWebView *Agent]'); // try to see if somebody set a custom UserAgent
observeSomething('*[* isEqualToString*]'); // watch string compares
bash -c "exec -a YDFooBar ./frida-server &"
frida-server -l 0.0.0.0:19999 &
frida-ps -ai -H 192.168.0.38:19999
frida-trace -m "*[NSURLSession* *didReceiveChallenge*]" -H 192.168.0.38:19999 -f com.youdog.rusty.tinyDormant
Objection is a runtime mobile exploration toolkit powered by Frida to assess the security posture of mobile applications without needing to write scripts .
pip3 install objection
objection device_type Get information about an attached device
objection explore Start the objection exploration REPL
objection explore --startup-command 'ios jailbreak simulate'
objection explore --startup-command 'ios jailbreak disable'
Early Instrumentation
ls
env This will print out the locations of the applications Library, Caches and Documents directories
!<shell command> Run OS command
file download <remote path> [<local path>]
file upload <local path> [<remote path>]
Upload/Download
file cat <file> View file
memory dump all <local destination> memory dump from_base <base_address> <size_to_dump> <local_destination>
Dump all memory/Dump part
memory list modules List loaded modules in memory
memory list exports <module_name> Exports of a loaded module
memory search "<pattern eg: 41 41 41 ?? 41>" (--string) (--offsets-only)
memory write "<address>" "<pattern eg: 41 41 41 41>" (--string)
Search/Write
sqlite connect pewpew.sqlite Query the sqlite database
sqlite execute schema Have a look at the table structure
sqlite execute query select * from data;
Execute any query
import <local path frida-script> Import frida script
jobs list List running scripts/jobs
jobs kill <job id> Kill script/job
ios plist cat credentials.plist Read plist file
ios info binary Inspect binary info
ios sslpinning disable --quiet Disable SSL pinning
ios jailbreak simulate Simulate a jailbroken environment to understand how an application behaves
ios jailbreak disable Jailbreak detection bypass
ios nsuserdefaults get Dump NSUserDefaults
ios nsurlcredentialstorage dump Dump NSURLCredentialStorage
ios keychain dump Dump app keychain
ios cookies get Get secure flags and sensitive data stored in cookies
ios monitor crypto monitor Hooks CommonCrypto to output information about cryptographic operation
ios ui dump Dump UI hierarchy
ios ui alert "<message>" Show alert
env Local app paths
ios bundles list_bundles List bundles of the application
ios bundles list_frameworks List external frameworks used by the application
ios hooking list classes List classes of the app
ios hooking search classes <str> Search a class that contains a string
ios hooking list class_methods List methods of a specific class
ios hooking search methods <str> Search a method that contains a string
ios hooking watch class <class_name>
Hook all the methods of a class, dump all the initial parameters and returns
ios hooking watch method "-[<class_name> <method_name>]" --dump-args --dump-return --dump-backtrace
Hook an specific method of a class dumping the parameters, backtraces and returns
ios hooking set return_value "-[<class_name> <method_name>]" false
This will make the selected method return the indicated boolean
ios hooking generate simple <class_name>
Generate hooking template.
r2 frida://device-id/Snapchat Attach to a running app using the display name.
r2 frida://attach/usb//Gadget Attach to the Frida Gadget
r2 frida://device-id//com.snapchat.android Spawn an app using two // and the package name.
r2 frida://spawn/usb/device-id/com.android.app Or explicitly using the word spawn
r2 frida://spawn/usb//com.android.app Or without entering the device-id
=!? Get the list of commands
=!?~^i :
i Show target information
ii[*] List imports
il List libraries
is[*] <lib> List symbols of lib (local and global ones)
iE[*] <lib> Same as is, but only for the export global ones
iEa[*] (<lib>) <sym> Show address of export symbol
isa[*] (<lib>) <sym> Show address of symbol
ic <class> List Objective-C classes or methods of <class>
ip <protocol> List Objective-C protocols or methods of <protocol>
=!i Shows target information
=!i* Shows target information in r2 form
.=!i* Radare2 imports all the dynamic binary data from Frida. Eg: which architecture, endianness, pointer size, etc...
.=!iE* Radare2 imports all the dynamic export data from Frida for all the dynamic libraries.
.=!iE* <lib> Radare2 imports all the dynamic export data from Frida for only one specific library.
.=!ii* Radare2 imports all the dynamic import data from Frida.
=!ii <lib> List imports. Commonly used with the symbol ~ , which is the internal grep of r2 .
=!ii* <lib> List imports in r2 form.
=!il List libraries. Commonly used with the symbol ~ , which is the internal grep of r2.
=!iE <lib> List exports of library(ies)
=!iEa (<lib>) <sym> Show address of export symbol
=!iEa* (<lib>) <sym> Show address of export symbol in r2 format
=!isa[*] (<lib>) <sym> Show address of symbol
=!ic List classes
=!/ keyword Search hex/string pattern in memory ranges (see search.in=?)
> =!?~^/ :
/[x][j] <string|hexpairs> Search hex/string pattern in memory ranges (see search.in=?)
/w[j] string Search wide string
/v[1248][j] value Search for a value honoring e cfg.bigendian of given width
> =!?~^d :
db (<addr>|<sym>) List or place breakpoint
db- (<addr>|<sym>)|* Remove breakpoint(s)
dc Continue breakpoints or resume a spawned process
dd[-][fd] ([newfd]) List, dup2 or close filedescriptors
dm[.|j|*] Show memory regions
dma <size> Allocate bytes on the heap, address is returned
dmas <string> Allocate a string inited with on the heap
dmad <addr> <size> Allocate bytes on the heap, copy contents from
dmal List live heap allocations created with dma[s]
dma- (<addr>...) Kill the allocations at (or all of them without param)
dmp <addr> <size> <perms> Change page at
dmm List all named squashed mapsdmh List all heap allocated chunksdmhj List all heap allocated chunks in JSONdmh* Export heap chunks and regions as r2 flagsdmhm Show which maps are used to allocate heap chunksdp Show current piddpt Show threadsdr Show thread registers (see dpt)dl libname Dlopen a librarydl2 libname [main] Inject library using Frida's >= 8.2 new APIdt (<addr>|<sym>) ... Trace list of addresses or symbolsdth (<addr>|<sym>) (x y..) Define function header (z=str,i=int,v=hex barray,s=barray)dt- Clear all tracingdtr <addr> (<regs>...) Trace register valuesdtf <addr> [fmt] Trace address with format (^ixzO) (see dtf?)dtSf[*j] [sym|addr] Trace address or symbol using the stalker (Frida >= 10.3.13)dtS[*j] seconds Trace all threads for given seconds using the stalkerdi[0,1,-1] [addr] Intercept and replace return value of addressdx [hexpairs] Inject code and execute it (TODO)dxc [sym|addr] [args..] Call the target symbol with given args e[?] [a[=b]] List/get/set config evaluable vars
[0x00000000] > = ! e
e patch.code=true
e search.in=perm:r--
e search.quiet=false
e stalker.event=compile
e stalker.timeout=300
e stalker.in=raw =!. script.js
=!ic List iOS classes
More info: https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06c-reverse-engineering-and-tampering#tampering-and-runtime-instrumentation
Frida GUI.
Frida GUI.
Frida GUI. https://github.com/FuzzySecurity/Fermion
More info:
https://frida.re/docs/examples/ios/
https://frida.re/docs/frida-trace/
https://frida.re/docs/examples/ios/
https://github.com/sensepost/objection/wiki/Using-objection
Apple's Entitlements Troubleshooting – https://developer.apple.com/library/content/technotes/tn2415/_index.html
Apple's Code Signing – https://developer.apple.com/support/code-signing/
Cycript Manual – http://www.cycript.org/manual/
Frida iOS Tutorial – https://www.frida.re/docs/ios/
Frida iOS Examples – https://www.frida.re/docs/examples/ios/
r2frida Wiki – https://github.com/enovella/r2frida-wiki/blob/master/README.md
Charlie Miller, Dino Dai Zovi. The iOS Hacker's Handbook. Wiley, 2012 – https://www.wiley.com/en-us/iOS+Hacker's+Handbook-p-9781118204122
Jonathan Levin. Mac OS X and iOS Internals: To the Apple's Core. Wiley, 2013 – http://newosxbook.com/MOXiI.pdf
Install SSL Kill Switch 2 from https://github.com/nabla-c0d3/ssl-kill-switch2/releases/
Open your settings and enable SSL Kill Switch 2
Run Charles on PC.
Install Charles Root Certificate on iOS device:
Help → SSL Proxing → Install Charles Root Certificate on Mobile Device or Remote Browser.
The following window will appear:
Depending on your network architecture the IP address Charles is running on may differ.
Proxy → SSL Proxying Settings... → Add (Include) → Host: * ; ميناء: *
Since all binary files inside an .ipa are encrypted with AES and being decrypted with a private key by Secure Enclave Processor at the runtime there is a few ways to decrypt it:
If you don't have Node.js:
brew install nvm
nvm install node
To dump decrypted ipa using bagbak utility install it on desktop:
sudo npm install -g bagbak
Then download your application from the App Store and dump:
bagbak <bundle id or name> --uuid <uuid> --output <output>
There are several ways to run the hardware AES engine:
Patch iBoot to jump to aes_crypto_cmd
Use OpenIBoot
Use XPwn with a kernel patch
Use Greenpois0n console:
ideviceenterrecovery
irecovery --shell
go aes dec <file>
Use ipwndfu
Use checkra1n
Run checkra1n with -p to run into pongoOS (https://github.com/checkra1n/pongoOS) and use the aes command over USB
If you want to disassemble an application from the App Store, remove the FairPlay DRM first.
After decrypting .ipa file open app binary in disassembler like IDA Pro .
In this section the term "app binary" refers to the Macho-O file in the application bundle which contains the compiled code, and should not be confused with the application bundle - the IPA file.
If you have a license for IDA Pro, you can analyze the app binary using IDA Pro as well.
To get started, simply open the app binary in IDA Pro.
Upon opening the file, IDA Pro will perform auto-analysis, which can take a while depending on the size of the binary. Once the auto-analysis is completed you can browse the disassembly in the IDA View (Disassembly) window and explore functions in the Functions window, both shown in the screenshot below.
https://github.com/ChiChou/IDA-ObjCExplorer/blob/master/ObjCExplore.py – Obj-C Classes Explorer for IDA Pro. Just press Ctrl + Shift + E .
https://github.com/avast/retdec-idaplugin – RetDec decompiler for IDA Pro. Just press Ctrl + D .
https://github.com/zynamics/objc-helper-plugin-ida – zynamics Objective-C helper script.
https://github.com/techbliss/Frida_For_Ida_Pro – Connect frida.
https://github.com/vadimszzz/idapython/blob/master/cortex_m_firmware.py – IDA Python module for loading ARM Cortex M firmware.
https://github.com/saelo/ida_scripts/blob/master/kernelcache.py – Identify and rename function stubs in an iOS kernelcache.
https://github.com/luismiras/IDA-iOS-scripts/blob/master/find_iOS_syscalls.py – Find iOS syscalls.
https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/listAllKEXT.py – List all Kexts.
https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/findSyscallTable.py – This script searches the iOS syscall table within the iOS kernelcache.
https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/fixupSysctlSet.py – This script ensures that all sysctl_oid structures referenced by the sysctl_set segment are marked correctly.
https://github.com/bazad/ida_kernelcache – An IDA Toolkit for analyzing iOS kernelcaches.
You can use class-dump to get information about methods in the application's source code.
Note the architectures: armv7 (which is 32-bit) and arm64 . This design of a fat binary allows an application to be deployed on all devices. To analyze the application with class-dump, we must create a so-called thin binary, which contains one architecture only:
iOS8-jailbreak:~ root# lipo -thin armv7 DamnVulnerableIOSApp -output DVIA32
And then we can proceed to performing class-dump:
iOS8-jailbreak: ~ root# class-dump DVIA32
@interface FlurryUtil : ./DVIA/DVIA/DamnVulnerableIOSApp/DamnVulnerableIOSApp/YapDatabase/Extensions/Views/Internal/
{
}
+ (BOOL)appIsCracked ;
+ (BOOL)deviceIsJailbroken ; Note the plus sign, which means that this is a class method that returns a BOOL type. A minus sign would mean that this is an instance method. Refer to later sections to understand the practical difference between these.
Strings are always a good starting point while analyzing a binary, as they provide context to the associated code. For instance, an error log string such as "Cryptogram generation failed" gives us a hint that the adjoining code might be responsible for the generation of a cryptogram.
In order to extract strings from an iOS binary, you can use GUI tools such as Ghidra or Cutter or rely on CLI-based tools such as the strings Unix utility strings <path_to_binary> or radare2's rabin2 rabin2 -zz <path_to_binary> . When using the CLI-based ones you can take advantage of other tools such as grep (eg in conjunction with regular expressions) to further filter and analyze the results.
نانومتر
nm libprogressbar.a | less
rabin2
rabin2 -s file
radare2
is~FUNC
Check URLs:
strings <binary inside app bundle> | grep -E 'session|https'
strings <binary inside app bundle> | grep -E 'pinning'
rabin2 -qz <binary inside app bundle> // in Data Section
rabin2 -qzz <binary inside app bundle> // ALL strings in binary
jtool -dA __TEXT.__cstring c_playground
Dumping C-Strings from address 0x100000f7c (Segment: __TEXT.__cstring)..
Address : 0x100000f7c = Offset 0xf7c
0x100000f7c: and we have a winner @ %ldr
0x100000f98: and that's a wrap folks!r
IDA Pro can be used for obtaining cross references by right clicking the desired function and selecting Show xrefs .
w0 = 32-bitx0 = 64-bitwzr or xzr . Write to = discard, read from = 0 .sp - unlike other instruction sets, never modified implicitly (eg no push / pop ).pc , not modifiable directly.str ).mov to copy one register to another, eg mov x0, x1 -> x0 = x1 .0 loaded from wzr / xzr .orr x0, xzr, 5 .movz + movk , eg: movz x0 , 0x1234 , lsl 32
movk x0 , 0x5678 , lsl 16
movk x0 , 0x9abcx0 = 0x123456789abc .movn for negative values, eg movn x0, 1 -> x0 = -1 .lsl and lsr instructions = logic-shift-left and logic-shift-right, eg lsl x0, x0, 8 -> x0 <<= 8 .lsl and lsr not only used as instructions, but also as operands to other instructions (see movz above).asl for arithmetic shift also exists, but less frequently used.ldr and str with multiple variations and addressing modes:ldr x0, [x1] -> x0 = *x1str x0, [x1] -> *x1 = x0ldr x0, [x1, 0x10] -> x0 = *(x1 + 0x10)ldp / stp to load/store two registers at once behind each other, eg:stp x0, x1, [x2] -> *x2 = x0; *(x2 + 8) = x1;xN for 64-bit, wN for 32-bitldrh / srth for 16-bitldrb / strb for 8-bitldrsw x0, [x1] -> load 32-bit int, sign extend to 64-bitldrsh x0, [x1] -> load 16-bit int, sign extend to 64-bitldrsb x0, [x1] -> load 8-bit int, sign extend to 64-bitstr instructions)ldr x0, [x1, 0x10]ldr x0, [x1, 0x10]! (notice the ! ) -> x1 += 0x10; x0 = *x1;ldr x0, [x1], 0x10 -> x0 = *x1; x1 += 0x10;adr x0, 0x12345 (only works for small offset from PC)adrp + add : adrp x0 , 0xffffff8012345000 ; "address of page", last 12 bits are always zero
add x0 , x0 , 0x678ldr .Note: Only dealing with integral types here. The rules change when floating-point is involved.
x0 - x7 first 8 arguments, rest on the stack (low address to high) with natural alignment (as if they were members of a struct)x8 pointer to where to write the return value if >128 bits, otherwise scratch registerx9 - x17 scratch registersx18 platform register (reserved, periodically zeroed by XNU)x19 - x28 callee-savedx29 frame pointer (basically also just callee-saved)x30 return addressx19 - x28 usually start like this: stp x24 , x23 , [ sp , - 0x40 ] !
stp x22 , x21 , [ sp , 0x10 ]
stp x20 , x19 , [ sp , 0x20 ]
stp x29 , x30 , [ sp , 0x30 ]
add x29 , sp , 0x30 ldp x29 , x30 , [ sp , 0x30 ]
ldp x20 , x19 , [ sp , 0x20 ]
ldp x22 , x21 , [ sp , 0x10 ]
ldp x24 , x23 , [ sp ], 0x40
retadd sp, sp, 0x... and sub sp, sp, 0x... .x0 - x7 come before variadic arguments on the stack, naturally aligned.x0 .x0 , the second/upper half in x1 .x8 to where the result is written.nzcv holds condition flags (Negative, Zero, Carry, oVerflow).instr.cond ), others as source operands ( instr ..., cond ). List of condition codes:eq / ne = equal/not equallt / le / gt / ge = less than/less or equal/greater than/greater or equal (signed)lo / ls / hi / hs = lower/lower or same/higher/higher or same (unsigned)cs / cc = carry set/carry clear are aliases of hs / lo .cmp = most common/basic compare instruction, sets condition flags. أمثلة: cmp x0 , x1
cmp x0 , 3cmn = compare negativetst = bitwise testadds / adcs = add/add with carrysubs / sbcs = subtract/subtract with carrynegs / ngcs = negate/negate with carrycset = conditional set, eg: cmp x0 , 3
cset x0 , lox0 = (x0 < 3)csel = conditional select, eg: cmp x0 , 3
csel x0 , x1 , x2 , lox0 = (x0 < 3) ? x1 : x2ccmp = conditional compare, eg: cmp x0 , 3
ccmp x0 , 7 , 2 , hs
b.hi 0xffffff8012345678hi condition will be true if x0 < 3 || x0 > 7 (third ccmp operand is raw nzcv data).b = simple branch, jump to PC-relative address. b 0xffffff8012345678 cmp x0 , 3
b.lo 0xffffff8012345678 ; jump to 0xffffff8012345678 if x < 3cbz / cbnz = compare-branch-zero and compare-branch-non-zero. cmp xN , 0
b.eq 0x... cmp xN , 0
b.ne 0x...if(x) or if(!x) .)tbz / tbnz = test single bit and branch if zero/non-zero.tbz x0, 3, ... translates to if((x0 & (1 << 3)) == 0) goto ... .bl = branch-and-link (eg bl 0xffffff8012345678 )x30 and jump to PC-relative address. Used for static function calls.blr = branch-and-link to register (eg blr x8 )x30 and jump to address in x8 . Used for calls with function pointers or C++ virtual methods.br = branch to register (eg br x8 )x8 . Used for tail calls.ret = return to address in register, default: x30x30 (eg ret x8 ), but compiler doesn't usually generate that.nop = do nothingsvc = make a system call using an immediate value (eg svc 0x80 ). Note that the immediate value is separate from the syscall number. XNU ignores the immediate and expects the syscall number in x16 .. = special symbol that refers to the address of the instruction it is used in (eg adr x0, . )Install the following prerequisites:
brew install ldid xz
Set up the THEOS environment variable:
echo "export THEOS=~/theos" >> ~/.zshrc
source ~/.zshrc
Clone Theos:
git clone --recursive https://github.com/theos/theos.git $THEOS
Get the toolchain:
Xcode contains the toolchain.
Get an iOS SDK:
Xcode always provides the latest iOS SDK, but as of Xcode 7.3, it no longer includes private frameworks you can link against. This may be an issue when developing tweaks. You can get patched SDKs from our SDKs repo.
curl -LO https://github.com/theos/sdks/archive/master.zip
TMP=$(mktemp -d)
unzip master.zip -d $TMP
mv $TMP/sdks-master/*.sdk $THEOS/sdks
rm -r master.zip $TMP
Logos is a Perl regex-based preprocessor that simplifies the boilerplate code needed to create hooks for Objective-C methods and C functions with an elegant Objective-C-like syntax. It's most commonly used along with the Theos build system, which was originally developed to create jailbreak tweaks. Logos was once integrated in the same Git repo as Theos, but now has been decoupled from Theos to its own repo.
Logos aims to provide an interface for Cydia Substrate by default, but can be configured to directly use the Objective-C runtime.
Logos is a component of the Theos development suite.
%hookf(return type, functionName, arguments list...) {
/* body */
}
Generate a function hook for the function named functionName . Set functionName in %init to an expression if the symbol should be dynamically looked up.
مثال:
// Given the function prototype (only add it yourself if it's not declared in an included/imported header)
FILE *fopen(const char *path, const char *mode);
// The hook is thus made
%hookf(FILE *, fopen, const char *path, const char *mode) {
puts("Hey, we're hooking fopen to deny relative paths!");
if (path[0] != '/') {
return NULL;
}
return %orig; // Call the original implementation of this function
}
// functions can also be looked up at runtime, if, for example, the function is in a private framework
%hookf(BOOL, MGGetBoolAnswer, CFStringRef string) {
if (CFEqual(string, CFSTR("StarkCapability"))) {
return YES;
}
return %orig;
}
%ctor() {
%init(MGGetBoolAnswer = MSFindSymbol(NULL, "_MGGetBoolAnswer"));
}
%ctor {
/* body */
}
Generate an anonymous constructor (of default priority). This function is executed after the binary is loaded into memory. argc , argv , and envp are implicit arguments so they can be used as they would be in a main function.
%dtor {
/* body */
}
Generate an anonymous deconstructor (of default priority). This function is executed before the binary is unloaded from memory. argc , argv , and envp are implicit arguments so they can be used as they would be in a main function.
The directives in this category open a block of code which must be closed by an %end directive (shown below). These should not exist within functions or methods.
%group GroupName
/* %hooks */
%end
Generate a hook group with the name GroupName . Groups can be used for conditional initialization or code organization. All ungrouped hooks are in the default group, initializable via %init without arguments.
Cannot be inside another %group block.
Grouping can be used to manage backwards compatibility with older code.
مثال:
%group iOS8
%hook IOS8_SPECIFIC_CLASS
// your code here
%end // end hook
%end // end group ios8
%group iOS9
%hook IOS9_SPECIFIC_CLASS
// your code here
%end // end hook
%end // end group ios9
%ctor {
if (kCFCoreFoundationVersionNumber > 1200) {
%init(iOS9);
} else {
%init(iOS8);
}
}
%hook ClassName
/* objc methods */
%end
Open a hook block for the class named ClassName .
Can be inside a %group block.
مثال:
%hook SBApplicationController
- (void)uninstallApplication:(SBApplication *)application {
NSLog(@"Hey, we're hooking uninstallApplication:!");
%orig; // Call the original implementation of this method
}
%end
%new
/* objc method */
%new(signature)
/* objc method */
Add a new method to a hooked class or subclass by adding this directive above the method definition. signature is the Objective-C type encoding for the new method; if it is omitted, one will be generated.
Must be inside a %hook or %subclass block.
مثال:
%new
- (void)handleTapGesture:(UITapGestureRecognizer *)gestureRecognizer {
NSLog(@"Recieved tap: %@", gestureRecognizer);
}
%subclass ClassName: Superclass <Protocol list>
/* %properties and methods */
%end
Generate a subclass at runtime. Like @property in normal Objective-C classes, you can use %property to add properties to the subclass. The %new specifier is needed for a method that doesn't exist in the superclass. To instantiate an object of the new class, you can use the %c operator.
Can be inside a %group block.
مثال:
// An interface is required to be able to call methods of the runtime subclass using block syntax.
@interface MyObject : NSObject
@property (nonatomic, retain) NSString * someValue;
@end
%subclass MyObject : NSObject
%property (nonatomic, retain) NSString * someValue;
- (instancetype)init {
if ((self = %orig)) {
[self setSomeValue:@"value"];
}
return self;
}
%end
%ctor {
// The runtime subclass cannot be linked at compile time so you have to use %c().
MyObject *myObject = [[%c(MyObject) alloc] init];
NSLog(@"myObject: %@", [myObject someValue]);
}
%property (nonatomic|assign|retain|copy|weak|strong|getter=...|setter=...) Type name;
Add a property to a %subclass just like you would with @property to a normal Objective-C subclass as well as adding new properties to existing classes within %hook.
Must be inside a %hook or %subclass block.
%end
Close a %group, %hook or %subclass block.
The directives in this category should only exist within a function or method body.
%init;
%init([<ClassName>=<expr>, …]);
%init(GroupName[, [+|-]<ClassName>=<expr>, …]);
Initialize a group's method and function hooks. Passing no group name will initialize the default group. Passing ClassName=expr arguments will substitute the given expressions for those classes at initialization time. The + sigil (as in class methods in Objective-C) can be prepended to the classname to substitute an expression for the metaclass. If not specified, the sigil defaults to - , to substitute the class itself. If not specified, the metaclass is derived from the class.
The class name replacement is specially useful for classes that contain characters that can't be used as the class name token for the %hook directive, such as spaces and dots.
مثال:
%hook ClassName
- (id)init {
return %orig;
}
%end
%ctor {
%init(ClassName=objc_getClass("SwiftApp.ClassName"));
}
%c([+|-]ClassName)
Evaluates to ClassName at runtime. If the + sigil is specified, it evaluates to MetaClass instead of Class. If not specified, the sigil defaults to - , evaluating to Class.
%orig
%orig(args, …)
Call the original hooked function or method. Doesn't work in a %new'd method. Works in subclasses, strangely enough, because MobileSubstrate will generate a super-call closure at hook time. (If the hooked method doesn't exist in the class we're hooking, it creates a stub that just calls the superclass implementation.) args is passed to the original function - don't include self and _cmd , Logos does this for you.
مثال:
%hook ClassName
- (int)add:(int)a to:(int)b {
if (a != 0) {
// Return original result if `a` is not 0
return %orig;
}
// Otherwise, use 1 as `a`
return %orig(1, b);
}
%end
&%orig
Get a pointer to the original function or method. Return type is void (*)(id, SEL[, arg types])
مثال:
// Call from outside hooked method:
void (*orig_ClassName_start)(id, SEL) = nil;
void doStuff(id self, SEL _cmd) {
if (self && orig_ClassName_start) {
orig_ClassName_start(self, _cmd);
}
}
%hook ClassName
- (void)start {
%orig;
orig_ClassName_start = &%orig;
dispatch_after(dispatch_time(DISPATCH_TIME_NOW, 1 * NSEC_PER_SEC),
dispatch_get_main_queue(), ^{
doStuff(self, _cmd);
});
}
%end
// Call with another object:
%hook ClassName
- (int)add:(int)a to:(int)b {
int (*_orig)(id, SEL, int, int) = &%orig;
ClassName * myObject = [ClassName new];
int r = _orig(myObject, _cmd, 1, 2);
[myObject release];
return r;
}
%end
Real world example at PreferenceLoader
%log;
%log([(<type>)<expr>, …]);
Dump the method arguments to syslog. Typed arguments included in %log will be logged as well.
You can use logify.pl to create a Logos source file from a header file that will log all of the functions of that header file. Here is an example of a very simple Logos tweak generated by logify.pl.
Given a header file named SSDownloadAsset.h :
@interface SSDownloadAsset : NSObject
- (NSString *)finalizedPath;
- (NSString *)downloadPath;
- (NSString *)downloadFileName;
+ (id)assetWithURL:(id)url type:(int)type;
- (id)initWithURLRequest:(id)urlrequest type:(int)type;
- (id)initWithURLRequest:(id)urlrequest;
- (id)_initWithDownloadMetadata:(id)downloadMetadata type:(id)type;
@end
You can find logify.pl at $THEOS/bin/logify.pl and you would use it as so:
$THEOS/bin/logify.pl ./SSDownloadAsset.h
The resulting output should be:
%hook SSDownloadAsset
- (NSString *)finalizedPath { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
- (NSString *)downloadPath { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
- (NSString *)downloadFileName { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
+ (id)assetWithURL:(id)url type:(int)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)initWithURLRequest:(id)urlrequest type:(int)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)initWithURLRequest:(id)urlrequest { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)_initWithDownloadMetadata:(id)downloadMetadata type:(id)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
%end
| امتداد | Process order |
|---|---|
| x | will be processed by Logos, then preprocessed and compiled as Objective-C. |
| xm | will be processed by Logos, then preprocessed and compiled as Objective-C++. |
| xi | will be preprocessed first, then Logos will process the result, and then it will be compiled as Objective-C. |
| xmi | will be preprocessed first, then Logos will process the result, and then it will be compiled as Objective-C++. |
xi or xmi files enable Logos directives to be used in preprocessor macros, such as #define . You can also import other Logos source files with the #include statement. However, this is discouraged, since this leads to longer build times recompiling code that hasn't changed. Separating into x and xm files, sharing variables and functions via extern declarations, is recommended.
These file extensions control how a build system such as Theos should build a Logos file. Logos itself does not take the file extension into account and works regardless of whether a file is Objective-C or Objective-C++.
https://theos.dev/docs/
https://cydia.saurik.com/faq/developing.html
http://www.cydiasubstrate.com/id/7cee77bc-c4a5-4b8b-b6ef-36e7dd039692/
http://www.cydiasubstrate.com/inject/
https://iphonedev.wiki/index.php/Cydia_Substrate
https://cwcaude.github.io/project/tutorial/2020/07/02/iOS-tweak-dev-1.html
https://cwcaude.github.io/project/tutorial/2020/07/04/iOS-tweak-dev-2.html
https://cwcaude.github.io/project/tutorial/2020/07/12/iOS-tweak-dev-3.html
https://cwcaude.github.io/project/tutorial/2020/07/16/iOS-tweak-dev-4.html
