iOS Internals and Security Testing

• Descripción general de la plataforma iOS
  • Sistema de archivos
    • Directorios de sistemas UNIX
    • Directorios específicos de OS X/iOS
    • IOS Sistema de archivos Idiosincrasias
  • Aplicaciones
    • Archivo IPA (paquete de iOS App Store)
    • Contenido del archivo IPA
    • Datos de aplicación en el sistema de archivos de iOS
  • Manzana
  • Separación de privilegios y caja de arena
  • Protección de datos
  • Capacidades de la aplicación
  • Capacidades del dispositivo
  • Derecho
  • Características de seguridad de aplicaciones, Apple Fairplay DRM
  • Procesador de enclave seguro
  • Llaves de AES
    • Llave de gid
    • Llave uid
    • Llaves derivadas
  • Castics de objetivos-C
    • Intercambio de mensajes
    • Declaración del método
  • marcos iOS
  • marcos de redes iOS
  • marcos privados de iOS
• Descripción general de las herramientas
  • Cómo jailbreak
  • Cómo instalar el paquete Cydia
  • Dispositivo de acceso
    • LibimobiledEvice
    • Ideviceinstaller
    • libireCovery
    • iDevicerestora
    • libusbmuxd
  • Acceder al sistema de archivos
  • Línea de comando de acceso
  • Datos persistidos
  • Ver diseño de aplicación y más
• Analizar la aplicación en tiempo de ejecución
  • Frida
  • Conceptos básicos de Frida
  • Frida's -Bandera Eval
  • Interceptor de Frida
  • Frida-trace
  • Bypass Checks anti-frida
  • Objeción
  • r2frida
  • Pomelo (fruta de pasión)
  • Enano
  • Fermión
• Analizar el tráfico de la red de aplicaciones
  • Desactivación de la fijación de SSL
  • Interceptando con Charles Proxy
• Recifrar el archivo .ipa
  • Con Apple Mobile Device - Dump
  • Con o sin dispositivo móvil Apple: ejecute el descifrado de hardware AES
• Analizar binarios de aplicación
  • Herramientas
    • Analizadores binarios de Mach-O:
    • Editores hexadecimales
    • Desarmadores
    • Descompiladores
    • Perseguidores
    • Editores de memoria
    • Varias herramientas de línea de comandos
  • Desmontar con Ida Pro
  • Complementos de IDA Pro para iOS y Mach-O
    • Análisis de kernelcache
    • Obtener información sobre los métodos
    • Recuperando símbolos y cuerdas
    • Referencias cruzadas
• Ensamblaje
  • Registros
  • Manipulación de registro
  • Memoria
  • Convención de llamadas
  • Condiciones
  • Sucursales
  • Misceláneas
• Desarrollo de ajuste de iOS
  • Teos
  • Logotipos
    • %CTOR
    • %DTOR
  • Nivel de bloque
    • %grupo
    • %gancho
    • %nuevo
    • %subclase
    • %propiedad
    • %fin
  • Nivel de función
    • %init
    • %do
    • %Orig
    • %registro
  • logify.pl
  • Logos Extensiones de archivos

Como un sistema UNIX conforme, OS X trabaja con los directorios conocidos que son estándar en todos los sabores UNIX:

• /Bin: Binarios UNIX. Aquí es donde son los comandos de Unix comunes (por ejemplo, LS, RM, MV, DF)
• /SBIN: Binarios del sistema. Estos son binarios utilizados para la administración del sistema, como la administración del sistema de archivos, la configuración de la red, etc.
• /USR: el directorio de usuario. Esto no está destinado a los usuarios, pero se parece más a los archivos de programa de Windows en ese software de terceros que pueden instalar aquí.
• /USR: contiene en él bin, sbin y lib. /USR/LIB se usa para objetos compartidos (piense, Windows DLLS y Windows System32). Este directorio también contiene la inclusión/ subdirectorio, donde están todos los encabezados C estándar.
• /etc: etcétera. Un directorio que contiene la mayoría de los archivos de configuración del sistema; Por ejemplo, el archivo de contraseña (/etc/passwd). En OS X, este es un enlace simbólico a /privado /etc.
• /dev: archivos del dispositivo BSD. Estos son archivos especiales que representan dispositivos de hardware en el sistema (dispositivos de carácter y bloque).
• /TMP: directorio temporal. El único directorio en el sistema que es de trabajo mundial (permisos: rwxrwxrwx). En OS X, este es un enlace simbólico a /privado /tmp.
• /var: varios. Un directorio para archivos de registro, tienda de correo, carrete de impresión y otros datos. En OS X, este es un enlace simbólico a /privado /var.

OS X agrega sus propios directorios especiales al árbol Unix, debajo de la raíz del sistema:

• /Aplicaciones: base predeterminada para todas las aplicaciones en el sistema.
• /Desarrollador: si se instala Xcode, el punto de instalación predeterminado para todas las herramientas de desarrollador.
• /Biblioteca: archivos de datos, ayuda, documentación, etc. para aplicaciones del sistema.
• /Red: directorio virtual para el descubrimiento y acceso de nodos vecinos.
• /Sistema: utilizado para archivos del sistema. Contiene solo un subdirectorio de la biblioteca, pero este directorio contiene prácticamente todos los componentes principales del sistema, como marcos (/sistema/biblioteca/marcos), módulos de núcleo (/sistema/biblioteca/extensiones), fuentes, etc.
• /Usuarios: directorio de inicio para usuarios. Cada usuario tiene su propio directorio creado aquí.
• /Volúmenes: punto de montaje para medios extraíbles y sistemas de archivos de red.
• /Núcleos: directorio para volcados de núcleo, si está habilitado. Los volcados de núcleo se crean cuando un proceso se bloquea, si el comando ULIMIT (1) lo permite, y contienen la imagen de memoria virtual de Core del proceso.

Desde la perspectiva del sistema de archivos, iOS es muy similar a OS X, con las siguientes diferencias:

• El sistema de archivos (HFSX) es sensible al caso (a diferencia del HFS+de OS X, que se preserva de casos, pero insensible). El sistema de archivos también está encriptado en parte.
• El núcleo ya está preempaquetado con sus extensiones del núcleo, como un kernelcache (en /system/library/caches/com.apple.kernelcaches). A diferencia de los cachés del núcleo OS X (que son imágenes comprimidas), los cachés del núcleo iOS están cifrados IMG3.
• /Las aplicaciones pueden ser un enlace simbólico a/var/stash/aplicaciones. Esta es una característica del jailbreak, no de iOS.
• No hay /usuarios, sino a /usuario, que es un enlace simbólico a /var /mobile
• No hay /volúmenes (y no es necesario, o por el arbitraje de disco, ya que iOS no tiene ninguna forma de agregar más almacenamiento a un sistema determinado)
• /El desarrollador se pobla solo si el dispositivo i se selecciona como "Uso para el desarrollo" desde Xcode. En esos casos, el desarrolladorDiskImage.dmg incluido en el iOS SDK está montado en el dispositivo.

Los archivos con la extensión .IPA se pueden desconectar cambiando la extensión a .zip y desactivado.

 /iTunesArtwork    
/iTunesArtwork@2x    
/iTunesMetadata.plist    
/WatchKitSupport/WK    
/META-INF    
/Payload/    
/Payload/<Application>.app/     
/Payload/<Application>.app/<Application> 	←	Apple FairPlay DRM Encrypted Executable
/Payload/<Application>.app/Info.plist 			A file that contains some of the application specific configurations
/Payload/<Application>.app/_CodeSignature/		Contains a plist file with a signature over all files in the bundle
/Payload/<Application>.app/Assets.car			Another zipped archive that contains assets (icons)
/Payload/<Application>.app/Frameworks/ 			Contains the app native libraries as .dylib or .framework files
/Payload/<Application>.app/PlugIns/ 			May contain app extensions as .appex files
/Payload/<Application>.app/Core Data			It is used to save permanent data for offline use and sync across iCloud devices
/Payload/<Application>.app/PkgInfo				An alternate way to specify the type and creator codes of your application or bundle
/Payload/<Application>.app/en.lproj, etc		Language packs that contains resources for those specific languages

 /var/containers/Bundle/Application/<UUID>		Bundle directory; tampering invalidates signature
/var/mobile/Containers/Data/<UUID> 				Application runtime data
/var/mobile/Containers/Data/<UUID>/Documents/	Contains all the user-generated data
/var/mobile/Containers/Data/<UUID>/Library/		Contains all files that aren't user-specific – caches, preferences, cookies, plist files
/var/mobile/Containers/Data/<UUID>/Library/Caches/
												Contains semi-persistent cached files
/var/mobile/Containers/Data/<UUID>/Library/Application Support/
												Contains persistent files necessary for running the app
/var/mobile/Containers/Data/<UUID>/Library/Preferences/<bundle id>.plist
												Properties that can persist after an application is restarted. Contains NSUserDefaults
/var/mobile/Containers/Data/<UUID>/tmp/			Temporary files that do not need to persist between app launches

Los archivos PLIST son archivos XML estructurados que contienen pares de valor clave que admiten tipos de objetos básicos, como diccionarios, listas, números y cadenas. Por lo general, el objeto de nivel superior es un diccionario. Plist puede ser un archivo binario o XML o JSON .

Una información estándar. Plant contiene las siguientes entradas:

• CFBUNDLEDEGROVELMEGION: lenguaje predeterminado si no se puede encontrar un idioma específico del usuario.
• Cfbundledisplayname: el nombre que se usa para mostrar este paquete al usuario.
• CfbundledOcumentTypes: tipos de documentos con los que esto se asociará. Este es un diccionario, con los valores que especifican las extensiones de archivo que este paquete maneja. El diccionario también especifica los iconos de visualización utilizados para los documentos asociados.
• CFBundleExecutable: el ejecutable real (binario o biblioteca) de este paquete. Ubicado en contenido/macOS.
• CFBundleiconFile: icono que se muestra en la vista Finder.
• CFBundleIdentifier: formulario DNS inverso.
• Cfbundlename: Nombre de Bundle (limitado a 16 caracteres).
• CFBundlePackageType: especificando un código de cuatro letras, por ejemplo, aplicación = aplicación, frmw = framework, bndl = bundle.
• CFBundleSignature: Nombre corto de cuatro letras del paquete.
• CfbundleurlTypes: URLS este paquete se asociará. Este es un diccionario, con los valores que especifican qué esquema de URL manejar y cómo.

plutil -convert xml1 binary_file.plist

plutil -convert xml1 data_file.json -o data_file.plist

https://docs.python.org/3/library/plistlib.html

Aplicaciones que el usuario puede acceder a ejecución como usuario móvil mientras que los procesos críticos del sistema se ejecutan como root . Sin embargo, el sandbox permite un mejor control sobre las acciones que los procesos y aplicaciones pueden realizar.

Por ejemplo, incluso si dos procesos se ejecutan como el mismo usuario (móvil), no se les permite acceder o modificar los datos de los demás .

Cada aplicación se instala en /var/mobile/Applications/<UUID> . Uuid es aleatorio. Una vez instaladas, las aplicaciones tienen un acceso de lectura limitado a algunas áreas y funciones del sistema (SMS, llamada telefónica ...). Si una solicitud desea acceder a un área protegida, aparece una ventana emergente solicitando permiso .

Los desarrolladores de aplicaciones pueden aprovechar las API de protección de datos de iOS para implementar el control de acceso de grano fino para los datos del usuario almacenados en la memoria Flash. Las API están construidas sobre el procesador de enclave seguro (SEP). El SEP es un coprocesador que proporciona operaciones criptográficas para la protección de datos y la gestión de claves . Una clave de hardware específica del dispositivo: el dispositivo UID (ID único) está integrado en el enclave seguro , asegurando la integridad de la protección de datos incluso cuando el núcleo del sistema operativo se ve comprometido.

Cuando se crea un archivo en el disco, se genera una nueva clave AES de 256 bits con la ayuda del generador de números aleatorios basados ​​en hardware de Secure Enclave. El contenido del archivo se encripta con la clave generada. Y luego, esta clave se guarda en cifrado con una clave de clase junto con la ID de clase, con ambos datos encriptados por la clave del sistema, dentro de los metadatos del archivo.

Para descifrar el archivo, los metadatos se descifran utilizando la clave del sistema. Luego, utilizando la ID de clase, la clave de clase se recupera para descifrar la clave por archivo y descifrar el archivo.

Los archivos se pueden asignar a una de las cuatro clases de protección diferentes, que se explican con más detalle en la Guía de seguridad de iOS.

Cada aplicación tiene un directorio de inicio único y está en arena , para que no puedan acceder a recursos o archivos protegidos del sistema almacenados por el sistema o por otras aplicaciones. Estas restricciones se implementan a través de políticas de sandbox (también conocidos como perfiles ), que son aplicados por el marco de control de acceso obligatorio de BSD (MAC) de confianza a través de una extensión del núcleo.

Los desarrolladores de la aplicación (por ejemplo, protección de datos o intercambio de llaves) pueden configurar algunas capacidades/permisos (por ejemplo, protección de datos o intercambio de llaves) y entrarán en vigencia directamente después de la instalación. Sin embargo, para otros, se le preguntará explícitamente al usuario la primera vez que la aplicación intenta acceder a un recurso protegido .

Las cadenas de propósito o las cadenas de descripción de uso son textos personalizados que se ofrecen a los usuarios en la alerta de solicitud de permiso del sistema al solicitar permiso para acceder a datos o recursos protegidos.

Si tiene el código fuente original, puede verificar los permisos incluidos en el archivo Info.plist :

• Abra el proyecto con xcode.
• Busque y abra el archivo Info.plist en el editor predeterminado y busque las claves que comienzan con "Privacy -" .

Puede cambiar la vista para mostrar los valores sin procesar haciendo clic derecho y seleccionando "Mostrar claves/valores sin procesar" (de esta manera, por ejemplo "Privacy - Location When In Use Usage Description" se convertirá en NSLocationWhenInUseUsageDescription ).

Si solo tiene el IPA:

• Descomprima el IPA.
• The Info.plist se encuentra en Payload/<appname>.app/Info.plist .
• Conviertalo si es necesario (por ejemplo plutil -convert xml1 Info.plist ) como se explica en el capítulo "Prueba de seguridad básica de iOS", sección "El archivo info.plist".
• Inspeccione la información de las cadenas de todo el propósito. Claves de plancha , generalmente terminando con UsageDescription :

 <plist version="1.0">
<dict>
	<key>NSLocationWhenInUseUsageDescription</key>
	<string>Your location is used to provide turn-by-turn directions to your destination.</string>

La App Store utiliza las capacidades del dispositivo para garantizar que solo se enumeren los dispositivos compatibles y, por lo tanto, se les permite descargar la aplicación. Se especifican en el archivo Info.plist de la aplicación en [UIRequiredDeviceCapabilities](https://developer.apple.com/library/archive/documentation/General/Reference/InfoPlistKeyReference/Articles/iPhoneOSKeys.html#//apple_ref/doc/plist/info/UIRequiredDeviceCapabilities) llave.

 <key>UIRequiredDeviceCapabilities</key>
<array>
	<string>armv7</string>
</array>

Por lo general, encontrará la capacidad ARMV7, lo que significa que la aplicación se compila solo para el conjunto de instrucciones ARMV7, o si se trata de una aplicación universal de 32/64 bits.

Por ejemplo, una aplicación podría depender completamente de NFC para funcionar (por ejemplo, una aplicación "Lector de etiquetas de NFC"). Según la referencia de compatibilidad del dispositivo iOS archivado, NFC solo está disponible a partir del iPhone 7 (e iOS 11). Es posible que un desarrollador desee excluir todos los dispositivos incompatibles configurando la capacidad del dispositivo nfc .

Los derechos son pares de valor clave que se registran en una aplicación y permiten la autenticación más allá de los factores de tiempo de ejecución, como la ID de usuario de UNIX. Dado que los derechos están firmados digitalmente, no se pueden cambiar. Los derechos se utilizan ampliamente por aplicaciones y demonios del sistema para realizar operaciones privilegiadas específicas que de otro modo requerirían que el proceso se ejecute como root. Esto reduce en gran medida el potencial de escalada de privilegios mediante una aplicación o demonio del sistema comprometido.

Por ejemplo, si desea establecer la capacidad de "protección de datos predeterminada", deberá ir a la pestaña Capacidades en Xcode y habilitar la protección de datos . Esto es escrito directamente por XCode al archivo <appname>.entitlements como el derecho com.apple.developer.default-data-protection con el valor predeterminado NSFileProtectionComplete . En la IPA podríamos encontrar esto en el embedded.mobileprovision como:

 <key>Entitlements</key>
<dict>
	...
	<key>com.apple.developer.default-data-protection</key>
	<string>NSFileProtectionComplete</string>
</dict>
  

Para otras capacidades, como HealthKit, se debe pedir permiso al usuario, por lo tanto, no es suficiente agregar los derechos, las claves especiales y las cadenas deben agregarse al archivo Info.plist de la aplicación.

1. Las aplicaciones deben firmarse con un certificado de desarrollador de Apple pagado.
2. Los binarios de aplicación están encriptados con Apple Fairplay DRM . Existe una forma de DRM en el IPA para controlar la redistribución a una sola ID de Apple. Más tarde veremos cómo eliminarlo.
3. Las aplicaciones están protegidas por la firma de código.
4. Las aplicaciones parcheadas no se pueden instalar en dispositivos que no sean de Jailbreak.
5. Cada aplicación iOS se ejecuta en su propia caja de arena. Después de iOS 8.3+, no se puede acceder a estos datos de sandboxed sin jailbreaking el dispositivo iOS.
6. Ninguna aplicación puede acceder a datos que pertenecen a otra aplicación. Los manejadores de protocolos como los esquemas de URL son la única forma de utilizar la comunicación entre aplicaciones para que se use mensajes entre aplicaciones. Los datos también se pueden almacenar en llaves.
7. Cada vez que se crean nuevos archivos en el dispositivo iOS, se les asignan clases de protección de datos según lo especificado por los desarrolladores. Esto ayuda a poner la restricción de acceso en estos archivos.
8. Las aplicaciones deben solicitar específicamente el permiso del usuario para acceder a recursos como cámara, mapas, contactos, etc.
9. Los dispositivos iOS 5S+ tienen un componente de hardware seguro llamado Secure Enclave. Es una versión altamente optimizada de Arm's Trustzone y evita que el procesador principal acceda directamente a datos confidenciales.

El enclave seguro es parte del A7 y los SOC más nuevos utilizados para la protección de datos, la identificación del tacto y la identificación facial. El propósito del enclave seguro es manejar las llaves y otra información, como la biometría que es lo suficientemente sensible como para no ser manejada por el procesador de solicitudes. Está aislado con un filtro de hardware para que el AP no pueda acceder a él. Comparte RAM con el AP, pero su parte del RAM - TZ0 está encriptada. El enclave seguro en sí es un núcleo de procesador AKF de 4 MB de 4 MB llamado Procesador Secure Enclave (SEP). La tecnología utilizada es similar a la Trustzone/Securcore de ARM, pero contiene un código patentado para los núcleos de Apple KF en general y sep específicamente.

El SOC en cada dispositivo tiene un coprocesador AES con la tecla GID y la tecla UID incorporada.

La identificación única del dispositivo (UID) y una ID de grupo de dispositivo (GID) son claves AES de 256 bits fusionadas (UID) o compiladas (GID) en el procesador de aplicaciones durante la fabricación. Ningún software o firmware puede leerlos directamente; Solo pueden ver los resultados de las operaciones de cifrado o descifrado utilizando el uso. El UID es exclusivo de cada dispositivo y no es registrado por Apple ni ninguno de sus proveedores. El GID es común a todos los procesadores en una clase de dispositivos y se utiliza como un nivel adicional de protección al entregar el software del sistema durante la instalación y la restauración. La integración de estas claves en el silicio ayuda a evitar que sean manipulados o pasean, o se accedan fuera del motor AES.

La clave GID ( clave de identificación de grupo ) es una clave AES de 256 bits compartida por todos los dispositivos con el mismo procesador de aplicaciones. La clave GID es parte de cómo iOS cifra el software en el dispositivo. Este es un componente del sistema de seguridad iOS, que también incluye firmas de shsh. Esta clave es diferente en cada modelo de Apple SOC.

Hasta ahora, la clave GID no se ha extraído de ningún dispositivo, por lo que la única forma de usarla es atravesando el motor AES.

• Pero

  El GID se puede obtener a través del costoso procedimiento de ataque de arranque en frío (https://en.m.wikipedia.org/wiki/cold_boot_attack) y el siguiente procedimiento no menos costoso de escanear el SOC con un litógrafo de electrones Beam Raith Chipscanner (https://minateh.ru/equipment/technological/e-Beam Lithogragh/RaithCanner. Tal experimento es injustificadamente costoso y complejo, por lo que nunca se le ocurrió a nadie tratar de implementarlo, excepto el laboratorio privado Cellebrite. Cellebrite no comparte su investigación.

La tecla UID ( clave de identificación única del dispositivo ) es una tecla de hardware AES de 256 bits, exclusiva de cada iPhone.

Las claves derivadas son calculadas por el servicio de núcleo IOAESAccelerator en el arranque. Estas claves se generan encriptando valores estáticos con la tecla UID (identificador 0x7d0) o la tecla GID (identificador 0x3e8).

Clave 0x835 -Generada cifriendo 0x01010101010101010101010101010101 con la tecla UID. Utilizado para la protección de datos.

Clave 0x836 -Generada cifurando 0x00E5A0E6526FAE66C5C1C6D4F16D6180 con la tecla UID. Esto es calculado por el núcleo durante una restauración, pero se afecta durante un arranque normal. También es calculado por el cargador de arranque seguro, y su único uso conocido es descifrar LLB en NOR. Al igual que 0x835 , es diferente para cada dispositivo.

Clave 0x837 - Generada cifurando 0x345A2D6C5050D058780DA431F0710E15 con la clave S5L8900 GID, que resulta en 0x188458A6D15034DFE386F23B61D43774 . Se usa como clave de cifrado para archivos IMG2. Con la introducción de IMG3 en iPhone OS 2.0, ahora se usan kbags en lugar de la tecla 0x837 . Debido a que las versiones de iPhone OS 1.x se usaron solo en el iPhone y iPod Touch (ambos usan el S5L8900), los valores encriptados para otros procesadores no importan.

Clave 0x838 -Generada cifriendo 0x8C8318A27D7F030717D2B8FC5514F8E1 con la tecla UID. Otra clave basada en la tecla UID-AES, se usa para cifrar todo menos LLB en el NOR (IBOOT, DeViceTree, Pictures).

Clave 0x899 -Generada cifriendo 0xD1E8FCB53937BF8DEFC74CD1D0F1D4B0 con la tecla UID. Uso desconocido.

Clave 0x89a -Generada cifurando 0xDB1F5B33606C5F1C1934AA66589C0661 con la tecla UID, obteniendo una tecla específica del dispositivo. Utilizado en dispositivos A4. Se usa para cifrar las blobs SHSH en el dispositivo.

Clave 0x89b -Generada por cifrar 0x183E99676BB03C546FA468F51C0CBD49 con la tecla UID. Se utiliza para cifrar la clave de partición de datos.

Clave 0x8a3 -Generada cifurando 0x568241656551e0cdf56ff84cc11a79ef con la tecla UID (usando AES-256-CBC). Se usa durante las actualizaciones de software en A12 y luego para cifrar el valor "generador" (usando AES-128-CBC) antes de que lo haya convertido para convertirse en el Nonce.

Más información: https://css.csail.mit.edu/6.858/2020/readings/ios-security-may19.pdf
https://www.securitylab.ru/contest/428454.php
https://www.securitylab.ru/contest/429973.php

Los archivos del módulo Objective-C tienen la extensión ".m" (si se usó una mezcla de C ++ y Objective-C, la extensión ".mm"). Archivos de encabezado - ".h". Todos los objetos de clases creados en Objective-C deben asignarse en Heap. Por lo tanto, el tipo de identificación, que es un puntero a un objeto de cualquier clase (de hecho, nulo *), adquiere un significado especial. Un puntero nulo se conoce como el nulo constante. Por lo tanto, se puede lanzar un puntero a cualquier clase al tipo de identificación. Surge un problema: ¿cómo averiguar a qué clase pertenece el objeto escondido bajo ID? Esto se hace gracias al ISA Invariant, que está presente en cualquier objeto de una clase que hereda una clase de base especial NSObject (el prefijo NS representa el siguiente paso). El ISA Invariant es de la clase de tipo reservada. Un objeto de este tipo le permite descubrir los nombres propios y la clase base, un conjunto de invariantes de clase, así como los prototipos de todos los métodos que este objeto ha implementado y sus direcciones (a través de una lista local de selectores). Todas las palabras reservadas de Objective-C que no sean C reservadas C comienzan con un símbolo @(por ejemplo, @protocol, @selector, @Interface). Por lo general, los nombres de la clase de alcance invariantes (@private, @protected) comienzan con un bajo. Para las cuerdas, el cacao tiene una clase muy práctica de Nsstring. La constante de cadena de esta clase está escrita como @"Hello World", y no como la constante de cadena C habitual "Hello World". El tipo de bool (esencialmente Char sin firmar) puede tomar los valores constantes sí y no. Todas las palabras reservadas específicas de Objective-C (que difieren del idioma C y se encuentran en el archivo de encabezado Objc/objc.h) se enumeran a continuación:

@interface comienza a declarar una clase o categoría (la categoría es una extensión de clase sin herencia)
@end completa la declaración definición de cualquier clase, categoría o protocolo
@private limita el alcance de los invariantes de clase a los métodos de clase (similar a C ++)
@protected Stands por defecto. Limita el alcance de los invariantes de clase a los métodos y métodos de clase de clases derivadas (similar a C ++)
@public elimina las restricciones de alcance (similar a C ++)
@try define un bloque con posible lanzamiento de excepciones (similar a C ++)
@throw lanza un objeto de excepción (similar a C ++)
@catch() maneja la excepción lanzada en el bloque @try anterior (similar a C ++)
@finally define el bloque después del bloque @try al que se pasa el control independientemente de si se lanzó o no una excepción
@class Abreviado Forma de declaración de clase (solo nombre (similar a C ++))
@selector(method_name) Devuelve el selector compilado para el nombre del método Method_name
@protocol(protocol_name) Devuelve una instancia de la clase de protocolo llamada protocol_name
@encode(type_spec) inicializa una cadena de caracteres que se usará para cifrar datos de type type_spec
@synchronized() define un bloque de código ejecutado por un solo hilo en cualquier momento dado en el tiempo
@implementation comienza a definir una clase o categoría
@protocol comienza una declaración de protocolo (análoga a una clase C ++ que consiste en funciones virtuales puras)

Para obligar a un objeto a ejecutar un método, debe enviarle un mensaje llamado igual que el método requerido. Este mensaje se llama selector de métodos. La sintaxis para enviar es la siguiente:

[receiver method];

- (void) addObject: (id) otherObject;

Si coloca un signo Plus + al comienzo de un prototipo de método, entonces dicho método se considerará un método de clase y, naturalmente, no aceptará el parámetro Auto implícito (esto es similar a declarar un método estático en C ++). Y sin el ISA invariante del objeto señalado por uno mismo, el súper puntero, por supuesto, tampoco funcionará. Por lo tanto, el prototipo de cualquier método se declara así:

 - | + (<return type>) mainMethodNamePart
[: (<type of first parameter>) nameOfFirstFormalParameter
	[[optionalMethodNamePart]: (<type of second parameter>) secondFormalParameterName] ...
]

Por ejemplo:

+ (Class)class;
+ (id)alloc;
- (id)init;
- (void)addObject: (id)anObject;
+ (NSString *)stringWithCString: (const char*)aCString usingUncoding: (enum NSStringEncoding)encoding;
- (NSString *)initStringWithFormat: (NSString *)format, ...;

• Periféricos de Bluetooth
• Datos de calendario
• Cámara
• Contactos
• Intercambio de salud
• Actualización de salud
• Chaqueta
• Ubicación
• Micrófono
• Movimiento
• Música y la biblioteca de medios
• Fotos
• Recordatorios
• Siri
• Reconocimiento de voz
• el proveedor de televisión
• etc.

Documentación del desarrollador de Apple

https://developer.apple.com/library/archive/documentation/macosx/conceptual/osx_technology_overview/systemframeworks/systemframeworks.html

https://www.theiphonewiki.com/wiki//system/library/frameworks

Los marcos se almacenan en varias ubicaciones en el sistema de archivos:

• /System/Library/Frameworks. Contiene los marcos suministrados de Apple, tanto en iOS como en OS X
• /Network/Library/Frameworks puede (raramente) usarse para marcos comunes instalados en la red.
• /Biblioteca/Frameworks posee marcos de terceros (y, como es de esperar, el directorio se deja vacío en iOS)
• ~/Biblioteca/marcas contiene marcos suministrados por el usuario, si hay

Además, las aplicaciones pueden incluir sus propios marcos.

Documentación del desarrollador de Apple - Red

Documentación del desarrollador de Apple - NetWorKextension

Documentación del desarrollador de Apple - NetworkingDriverkit

La mayoría de las aplicaciones con las que puede encontrar conectarse a puntos finales remotos. Incluso antes de realizar cualquier análisis dinámico (p. Ej.

Por lo general, estos dominios estarán presentes como cadenas dentro del binario de la aplicación. Uno puede extraer dominios recuperando cadenas con rabin2 -zz <path_to_binary> o en el IDA Pro. La última opción tiene una clara ventaja: puede proporcionarle un contexto, como podrá ver en qué contexto se usa cada dominio al verificar las referencias cruzadas.

A partir de aquí, puede usar esta información para obtener más información que podrían ser útiles más adelante durante su análisis, por ejemplo, puede igualar los dominios con los certificados fijados o realizar un reconocimiento adicional en los nombres de dominio para saber más sobre el entorno objetivo.

La implementación y verificación de conexiones seguras puede ser un proceso intrincado y hay numerosos aspectos a considerar. Por ejemplo, muchas aplicaciones usan otros protocolos aparte de HTTP, como los paquetes XMPP o TCP simples, o realizan la fijación de certificados en un intento de disuadir los ataques MITM.

El marco de la red se introdujo en la Conferencia de Desarrolladores Mundiales de Apple (WWDC) en 2018 y es un reemplazo a la API de Sockets. Este marco de red de bajo nivel proporciona clases para enviar y recibir datos con redes dinámicas de redes dinámicas, seguridad y soporte de rendimiento.

TLS 1.3 está habilitado de forma predeterminada en el marco de red, si se utiliza el argumento using: .tls . Es la opción preferida sobre el marco de transporte seguro Legacy.

URLSession se basó en el marco de la red y utiliza los mismos servicios de transporte. La clase también usa TLS 1.3 por defecto, si el punto final es HTTPS.

URLSession debe usarse para las conexiones HTTP y HTTPS, en lugar de utilizar el marco de red directamente. La clase admite de forma nativa ambos esquemas de URL y está optimizado para tales conexiones. Requiere menos código de plantea, reduciendo la propensión a los errores y garantizar conexiones seguras de forma predeterminada. El marco de la red solo debe usarse cuando hay requisitos de red de bajo nivel y/o avanzados.

La documentación oficial de Apple incluye ejemplos de uso del marco de red para implementar NetCat y URLSession para obtener datos del sitio web en la memoria.

https://developer.limneos.net/

https://www.theiphonewiki.com/wiki//system/library/privateFrameworks

La última herramienta para su dispositivo se puede encontrar aquí https://canijailbreak.com

Esta investigación se escribe básicamente para checkra1 iPhones 5s a x con iOS 10-15 y se puede actualizar a largo plazo si se lanzará una nueva herramienta de pwnage de Bootrom. Mira https://www.theiphonewiki.com/wiki/bootrom#bootrom_exploits

1. Agregue al repositorio relacionado con fuentes de Cydia ( https://repo.chariz.com , por ejemplo)
2. Buscar un paquete e instalar
3. Si no ve cambios o algo no funciona, corre killall SpringBoard
   En la mayoría de los casos, se requiere reinicio de trampolín

Abra el archivo .deb/.ipa con Filza File Manager y presione la instalación, si ve un error con la instalación .deb, intente encontrar e instalar todas las dependencias

Instale AppSync unificado de https://cydia.akemi.ai/ repo

https://apt.bingner.com/
https://apt.thebigboss.org/repofiles/cydia/
https://cydia.saurik.com
https://repo.dynastic.co/
https://getdelta.co/
https://cokepokes.github.io/
https://cydia.akemi.ai/
https://nscake.github.io/
https://repo.chariz.com/
https://mrepo.org/
https://rejail.ru/
https://repo.hackyouriphone.org/
https://build.frida.re/ - Frida
https://cydia.radare.org/ - radare2

Instalar en el escritorio

brew install libimobiledevice ideviceinstaller libirecovery

sudo port install idevicerestore

idevice_id Lista dispositivos adjuntos o nombre del dispositivo de impresión del dispositivo dado idevicebackup crea o restauración de copia de seguridad para dispositivos (Legacy) idevicebackup2 Crear o restaurar copias de seguridad para dispositivos que ejecutan iOS 4 o posterior idevicecrashreport Recuperar informes de bloqueo de un dispositivo idevicedebug con el servicio de eliminación de un dispositivo de un dispositivo IDEVEBUGRIGECEbugserterserterverservergido a un properte a un dispositivo a un dispositivo idevicedebugserverproxy Conexión del servidor de depuración desde un dispositivo para la depuración remota idevicediagnostics interactúa con la interfaz de diagnóstico de un dispositivo ideviceenterrecovery Haga que un dispositivo ingrese al modo de recuperación ideviceimagemounter Mount Imágenes en el dispositivo ideviceinfo Muestra información sobre un dispositivo idevicename de dispositivo conectado exhibición o establece el nombre del dispositivo idevicepair Managir las parejas de host Host con los Devices y UsbMuxd Devices y USBMUXD sobre un dispositivo conectado idevicescreenshot obtiene una captura de pantalla del dispositivo conectado idevicesetlocation Simule la ubicación en el dispositivo idevicesyslog RELEY SYSLOG de un dispositivo conectado

ideviceinstaller --list-apps
ideviceinstaller --install <Application.ipa>
ideviceinstaller --uninstall <bundle id>
idevicedebug -d run <bundle id>

irecovery --shell permite la comunicación con IBOOT/IBSS del dispositivo iOS

idevicerestore --latest Restaure un nuevo firmware en un dispositivo idevicerestore --erase --latest
Forzar la restauración con borrar todos los datos

inetcat UTILITY para exponer una conexión sin procesar al dispositivo iproxy 2222:22 Ataque el puerto local 2222 y hacia adelante a 22 del primer dispositivo USB

Instale en el dispositivo Apple File Conduit "2"

Use Imazing o ifunbox para acceder al sistema de archivos

Instalar Filza File Manager

Instalar OpenSSH en el dispositivo y ejecutar en el escritorio:

iproxy 2222:22

ssh -p 2222 root@localhost

La contraseña de iOS predeterminada para root es alpine . No lo cambies si tienes un mal recuerdo

Instalar en el dispositivo NewterM 2 desde https://repo.chariz.com para usar la terminal local

 cd /private/var/containers/Bundle/Application/<guid>/myapp.app
// Contains compiled code, statically linked files, compressed NIB files.

 cd /private/var/mobile/Containers/Data/Application/
ls -lrt  // Your freshly installed IPA is at the bottom of list
cd [app guid]/Documents/
cd [app guid]/Library/

 /private/var/Keychains
TrustStore.sqlite3
keychain-2.db
pinningrules.sqlite3

 // Extract IPA (whether App Store encrypted or not)
scp -r -P 2222 root@localhost:/var/containers/Bundle/Application/<app GUID>/hitme.app ~/hitme.app

// Different to SSH, the uppercase P for Port with SCP. Order important.
scp -P 2222 root@localhost:/var/root/overflow.c localfilename.c

// from Jailbroken device to local machine
// Caution:no space after the root@localhost: Otherwise you copy the entire filesystem!
scp -P 2222 root@localhost:/private/var/mobile/Containers/Data/Application/<App GUID>/Library/Caches/Snapshots/com.my.app

// from local machine to remote Jailbroken device
scp -P 2222 hello.txt root@localhost:/var/root/

Instale libflex y flexión desde https://nscake.github.io/

Abra Newterm y corre killall SpringBoard

Ahora puede cargar Flex dentro de cualquier aplicación por LongPress en el estado de estado

Frida es un conjunto de herramientas de instrumentación binaria dinámica que nos permite ejecutar scripts en el software previamente bloqueado. En pocas palabras, Frida le permite inyectar fragmentos de JavaScript en aplicaciones nativas en Windows, Mac, Linux, iOS y Android.

Agregue el repositorio de Frida al Cydia - https://build.frida.re/

• Si tiene un dispositivo de 32 bits con Apple A6 o inferior (iPhone 5, iPhone 5C, iPad 2 y anterior) instale Frida para dispositivos de 32 bits
• Si tiene un dispositivo de 64 bits con Apple A11 o inferior (iPhone X, iPad 7, iPod touch 7 y antes) instala frida
• En un dispositivo más nuevo puede instalar Frida para dispositivos A12+

Si no tienes Python 3:

brew install pyenv
pyenv install 3.9.0 (o lo último disponible)

Luego instalar

pip3 install frida-tools

frida-ls-devices LISTA Dispositivos disponibles
frida-ps -U Listar todos los nombres de procesos y PID en un dispositivo USB
frida-ps -Uai List todas las aplicaciones instaladas en un dispositivo USB
frida-ps -Ua Lista todas las aplicaciones en ejecución en un dispositivo USB
frida-ls-devices LISTA TODOS LOS DISPOSITIVOS ACTUALES
frida-ps -D 0216027d1d6d3a03 Conecte Frida al dispositivo específico
Herramienta frida-discover para descubrir funciones internas en un proceso
frida-trace -U Twitter -i "*URL*" trazando apis nativos
frida-trace -U -f com.toyopagroup.picaboo -I "libcommonCrypto*"
Inicie la aplicación y traza las llamadas de API cripto
frida-trace -U Twitter -m "-[NSURL* *HTTP*]" Rastreo de apis Objetivo-C API
frida -U -n Twitter -l inject.js inyect script en proceso en un dispositivo USB a través de replica
frida -n cat conectarse a gato por su nombre
frida -f foobar FUERZA ABIERTA FOOBAR
frida -U -f foobar --no-pause Open Foobar sobre USB y Force Start. Comienza la aplicación en ejecución
frida-ps -U | grep -i myapp obtiene la ID de proceso de la aplicación de destino desde el dispositivo conectado USB
frida -U -f foobar --no-pause -q --eval 'console.log("Hi Frida");'
Ejecutar el guión y salir de Frida

En este punto, tenemos nuestra NativeFunction almacenada en la variable play_sound . Llámalo al igual que una función regular play_sound() y también recuerde dar el parámetro de entrada ( int ): play_sound(1007)

Poniendo todo junto:

var address = Module.findExportByName('AudioToolbox', 'AudioServicesPlaySystemSound')
var play_sound = new NativeFunction(address, 'void', ['int'])
play_sound(1007)

Primero tienes que obtener una instancia del objeto:

• Asignarlo y llamar a su constructor, por ejemplo var instance = ObjC.classes.ClassName.alloc().init();
• getting an existing instance using ObjC.choose , like - if you know there's only one instance already created somewhere on the heap - you can to something like var instance = ObjC.chooseSync(ObjC.classes.ClassName)[0];
• getting an existing instance from a singleton you know holds the instance in a property, for example var instance = ObjC.classes.MySingleton.getInstance().myInterestingInstance();

and then call the method on the instance:

instance.setSomething();

or, if the method signature takes an argument, like - setSomething: , you can also pass the argument (just remember to put a _ instead of ObjC's : ):

instance.setSomething_(argument);

 frida -U "My App"               // Attach Frida to app over USB

Process.id
419

Process.getCurrentThreadId()
3843

var b = "hello frida"

console.log(b)
"hello frida"

c = Memory.allocUtf8String(b)
"0x1067ec510"

Memory.readUtf8String(c)
"hello frida"

console.log(c)
0x1067ec510

console.log(c.readUtf8String(5))
hello

console.log(c.readUtf8String(11))
hello frida

ptrToC = new NativePointer(c);
"0x1067ec510"

console.log(ptrToC)
0x1067ec510

console.log(ptrToC.readCString(8))
hello fr

Memory.readUtf8String(ptrToC)
"hello frida"

Objective-C's syntax includes the : and @ characters. These characters were not used in the Frida Javascript API .

 // Attach to playground process ID
frida -p $(ps -ax | grep -i -m1 playground |awk '{print $1}')

ObjC.available
true

ObjC.classes.UIDevice.currentDevice().systemVersion().toString()
"11.1"

ObjC.classes.NSBundle.mainBundle().executablePath().UTF8String()

ObjC.classes.UIWindow.keyWindow().toString()
RET: <WKNavigation: 0x106e165c0>

// shows Static Methods and Instance Methods
ObjC.classes.NSString.$ownMethods

ObjC.classes.NSString.$ivars

var myDate = ObjC.classes.NSDate.alloc().init()

console.log(myDate)
2019-04-19 19:03:46 +0000

myDate.timeIntervalSince1970()
1555700626.021566

myDate.description().toString()
"2019-04-19 19:03:46 +0000"

var a = ObjC.classes.NSUUID.alloc().init()

console.log(a)
4645BFD2-94EE-413D-9CE5-8982D41ED6AE

a.UUIDString()
{
    "handle": "0x7ff3b2403b20"
}
a.UUIDString().toString()
"4645BFD2-94EE-413D-9CE5-8982D41ED6AE"

 var b = ObjC.classes.NSString.stringWithString_("foo");

b.isKindOfClass_(ObjC.classes.NSString)
true

b.isKindOfClass_(ObjC.classes.NSUUID)
false

b.isEqualToString_("foo")
true

b.description().toString()
"foo"

var c = ObjC.classes.NSString.stringWithFormat_('foo ' + 'bar ' + 'lives');

console.log(c)
foo bar lives

 var url = ObjC.classes.NSURL.URLWithString_('www.foobar.com')

console.log(url)
www.foobar.com

url.isKindOfClass_(ObjC.classes.NSURL)
true

console.log(url.$class)
NSURL

 var b = ObjC.classes.NSString.stringWithString_("foo");

var d = ObjC.classes.NSData
d = b.dataUsingEncoding_(1)			//	NSASCIIStringEncoding = 1, NSUTF8StringEncoding = 4,

console.log(d)
<666f6f>							//	This prints the Hex value "666f6f = foo"

d.$className
"NSConcreteMutableData"

var x = d.CKHexString()				//	Get you the Byte array as a Hex string

console.log(x)
666f6f

x.$className
"NSTaggedPointerString"

var newStr = ObjC.classes.NSString.stringWithUTF8String_[d.bytes]

 // demoapp is the iOS app name
myapp=$(ps x | grep -i -m1 demoapp | awk '{print $1}')
frida-trace -i "getfsent*" -p $myapp

// Connect to process with Frida script
frida --codeshare mrmacete/objc-method-observer -p 85974

 Process.enumerateModules()      
// this will print all loaded Modules

Process.findModuleByName("libboringssl.dylib")
{
    "base": "0x1861e2000",
    "name": "libboringssl.dylib",
    "path": "/usr/lib/libboringssl.dylib",
    "size": 712704
}

Process.findModuleByAddress("0x1c1c4645c")
{
    "base": "0x1c1c2a000",
    "name": "libsystem_kernel.dylib",
    "path": "/usr/lib/system/libsystem_kernel.dylib",
    "size": 200704
}

 DebugSymbol.fromAddress(Module.findExportByName(null, 'strstr'))
{
    "address": "0x183cb81e8",
    "fileName": "",
    "lineNumber": 0,
    "moduleName": "libsystem_c.dylib",
    "name": "strstr"
}

 Module.findExportByName(null, 'strstr')
"0x183cb81e8"

Module.getExportByName(null,'strstr')
"0x183cb81e8"

Process.findModuleByAddress("0x183cb81e8")
{
    "base": "0x183cb6000",
    "name": "libsystem_c.dylib",
    "path": "/usr/lib/system/libsystem_c.dylib",
    "size": 516096
}

 a = Process.findModuleByName("Reachability")
a.enumerateExports()
....
{
    "address": "0x102fab020",
    "name": "ReachabilityVersionString",
    "type": "variable"
},
{
    "address": "0x102fab058",
    "name": "ReachabilityVersionNumber",
    "type": "variable"
}
....
...
..

 frida -U -f funky-chicken.debugger-challenge --no-pause -q --eval 'var x={};Process.enumerateModulesSync().forEach(function(m){x[m.name] = Module.enumerateExportsSync(m.name)});' | grep -B 1 -A 1 task_threads

            "address": "0x1c1c4645c",
            "name": "task_threads",
            "type": "function"

 frida -U -f funky-chicken.debugger-challenge --no-pause -q --eval 'var x={};Process.findModuleByAddress("0x1c1c4645c");'

{
    "base": "0x1c1c2a000",
    "name": "libsystem_kernel.dylib",
    "path": "/usr/lib/system/libsystem_kernel.dylib",
    "size": 200704
}

 [objc_playground]-> var a = ObjC.classes.NSString.stringWithString_("foo");

[objc_playground]-> a.superclass().toString()
"NSString"

[objc_playground]-> a.class().toString()
"NSTaggedPointerString"

// PASTE THIS CODE INTO THE FRIDA INTERFACE...
Interceptor.attach(ObjC.classes.NSTaggedPointerString['- isEqualToString:'].implementation, {
    onEnter: function (args) {
      var str = new ObjC.Object(ptr(args[2])).toString()
      console.log('[+] Hooked NSTaggedPointerString[- isEqualToString:] ->' , str);
    }
});

// TRIGGER YOUR INTERCEPTOR
[objc_playground_2]-> a.isEqualToString_("foo")
[+] Hooked NSTaggedPointerString[- isEqualToString:] -> foo
1   // TRUE
[objc_playground_2]-> a.isEqualToString_("bar")
[+] Hooked NSTaggedPointerString[- isEqualToString:] -> bar
0   // FALSE

 // frida -U -l open.js --no-pause -f com.yd.demoapp

// the below javascript code is the contents of open.js

var targetFunction = Module.findExportByName("libsystem_kernel.dylib", "open");

Interceptor.attach(targetFunction, {
    onEnter: function (args) {
        const path = Memory.readUtf8String(this.context.x0);
        console.log("[+] " + path)
    }
});

frida-trace --v Check it works frida-trace --help Excellent place to read about Flags frida-trace -f objc_playground Spawn and NO trace frida-trace -m "+[NSUUID UUID]" -U "Debug CrackMe" Trace ObjC UUID static Class Method frida-trace -m "*[ComVendorDebugger* *]" -U -f com.robot.demo.app ObjC wildcard trace on Classes frida-trace -m "*[YDDummyApp.UserProfileMngr *]" -U -f com.robot.demo.app Trace mangled Swift functions frida-trace -i "getaddrinfo" -i "SSLSetSessionOption" -U -f com.robot.demo Trace C function on iOS frida-trace -m "*[*URLProtection* *]" -U -f com.robot.demo For https challenge information frida-trace -m "*[NSURLSession* *didReceiveChallenge*]" -U -f com.robot.demo Check whether https check delegate used frida-trace -U -f com.robot.demo.app -I libsystem_c.dylib Trace entire Module. frida-trace -p $myapp -I UIKit Trace UIKit Module. frida-trace -f objc_playground -I CoreFoundation Trace CoreFoundation Module. frida-trace -I YDRustyKit -U -f com.yd.mobile Trace my own module. frida-trace -m "-[NSURLRequest initWithURL:]" -U -f com.robot.demo Get app files and APIs frida-trace -m "-[NSURL initWithString:]" -U -f com.robot.demo Find the API endpoints frida-trace -m "*[NSURL absoluteString]" -U -f com.robot.demo My favorite of these

 frida-trace -i "*strcpy" -f hitme aaaa bbbb
Instrumenting functions...                                              
_platform_strcpy: Loaded handler at "/.../__handlers__/libSystem.B.dylib/_platform_strcpy.js"
Started tracing 1 function. Press Ctrl+C to stop.                       

Edit the auto-generated, template Javascript file.

 -----------
onEnter: function (log, args, state) {
  // strcpy()  arg1 is the Source. arg0 is the Destination.
  console.log('n[+] _platform_strcpy()');
  var src_ptr  = args[1].toString()
  var src_string = Memory.readCString(args[1]);
  var src_byte_array = Memory.readByteArray(args[1],4);
  var textDecoder = new TextDecoder("utf-8");
  var decoded = textDecoder.decode(src_byte_array);
  console.log('[+] src_ptrt-> ' , src_ptr);
  console.log('[+] src_stringt-> ' + src_string);
  console.log('[+] src_byte_arrayt-> ' + src_byte_array);
  console.log('[+] src_byte_array sizet-> ' + src_byte_array.byteLength);
  console.log('[+] src_byte_array decodedt-> ' + decoded);
},

Los resultados:

 [+] _platform_strcpy()
[+] src_ptr	->  0x7ffeefbffaa6
[+] src_string	-> aaaa
[+] src_byte_array	-> [object ArrayBuffer]
[+] src_byte_array size	-> 4
[+] decoded	-> aaaa

[+] _platform_strcpy()
[+] src_ptr	->  0x7ffeefbffaab
[+] src_string	-> bbbb
[+] src_byte_array	-> [object ArrayBuffer]
[+] src_byte_array size	-> 4
[+] decoded	-> bbbb

 frida-ps -Uai  // get your bundle ID

frida --codeshare mrmacete/objc-method-observer -U -f funky-chicken.push-demo

[+] At the Frida prompt...

observeSomething('*[ABC* *]'); // any Class beginning with ABC, regardless of instance or static class
observeSomething('-[WKWebsiteDataStore httpCookieStore]');
observeSomething('-[WKWebAllowDenyPolicyListener *]');
observeSomething('-[WKWebView loadRequest:]');                // dump the URL to hit
observeSomething('-[WKWebView load*]');                       // you get all HTML, js, css, etc
observeSomething('-[WKWebView loadHTMLString:baseURL:]')      // really effective; see the entire request
observeSomething('-[WKWebView *Agent]');                      // try to see if somebody set a custom UserAgent
observeSomething('*[* isEqualToString*]');                    // watch string compares

bash -c "exec -a YDFooBar ./frida-server &"

frida-server -l 0.0.0.0:19999 &

frida-ps -ai -H 192.168.0.38:19999

frida-trace -m "*[NSURLSession* *didReceiveChallenge*]" -H 192.168.0.38:19999 -f com.youdog.rusty.tinyDormant

Objection is a runtime mobile exploration toolkit powered by Frida to assess the security posture of mobile applications without needing to write scripts .

pip3 install objection

objection device_type Get information about an attached device
objection explore Start the objection exploration REPL
objection explore --startup-command 'ios jailbreak simulate'
objection explore --startup-command 'ios jailbreak disable'
Early Instrumentation

ls
env This will print out the locations of the applications Library, Caches and Documents directories
!<shell command> Run OS command
file download <remote path> [<local path>]
file upload <local path> [<remote path>]
Upload/Download
file cat <file> View file
memory dump all <local destination> memory dump from_base <base_address> <size_to_dump> <local_destination>
Dump all memory/Dump part
memory list modules List loaded modules in memory
memory list exports <module_name> Exports of a loaded module
memory search "<pattern eg: 41 41 41 ?? 41>" (--string) (--offsets-only)
memory write "<address>" "<pattern eg: 41 41 41 41>" (--string)
Search/Write
sqlite connect pewpew.sqlite Query the sqlite database
sqlite execute schema Have a look at the table structure
sqlite execute query select * from data;
Execute any query
import <local path frida-script> Import frida script
jobs list List running scripts/jobs
jobs kill <job id> Kill script/job
ios plist cat credentials.plist Read plist file
ios info binary Inspect binary info
ios sslpinning disable --quiet Disable SSL pinning
ios jailbreak simulate Simulate a jailbroken environment to understand how an application behaves
ios jailbreak disable Jailbreak detection bypass
ios nsuserdefaults get Dump NSUserDefaults
ios nsurlcredentialstorage dump Dump NSURLCredentialStorage
ios keychain dump Dump app keychain
ios cookies get Get secure flags and sensitive data stored in cookies
ios monitor crypto monitor Hooks CommonCrypto to output information about cryptographic operation
ios ui dump Dump UI hierarchy
ios ui alert "<message>" Show alert

env Local app paths
ios bundles list_bundles List bundles of the application
ios bundles list_frameworks List external frameworks used by the application
ios hooking list classes List classes of the app
ios hooking search classes <str> Search a class that contains a string
ios hooking list class_methods List methods of a specific class
ios hooking search methods <str> Search a method that contains a string
ios hooking watch class <class_name>
Hook all the methods of a class, dump all the initial parameters and returns
ios hooking watch method "-[<class_name> <method_name>]" --dump-args --dump-return --dump-backtrace
Hook an specific method of a class dumping the parameters, backtraces and returns
ios hooking set return_value "-[<class_name> <method_name>]" false
This will make the selected method return the indicated boolean
ios hooking generate simple <class_name>
Generate hooking template.

r2 frida://device-id/Snapchat Attach to a running app using the display name.
r2 frida://attach/usb//Gadget Attach to the Frida Gadget

r2 frida://device-id//com.snapchat.android Spawn an app using two // and the package name.
r2 frida://spawn/usb/device-id/com.android.app Or explicitly using the word spawn
r2 frida://spawn/usb//com.android.app Or without entering the device-id

=!? Get the list of commands

=!?~^i :
i Show target information
ii[*] List imports
il List libraries
is[*] <lib> List symbols of lib (local and global ones)
iE[*] <lib> Same as is, but only for the export global ones
iEa[*] (<lib>) <sym> Show address of export symbol
isa[*] (<lib>) <sym> Show address of symbol
ic <class> List Objective-C classes or methods of <class>
ip <protocol> List Objective-C protocols or methods of <protocol>
=!i Shows target information
=!i* Shows target information in r2 form
.=!i* Radare2 imports all the dynamic binary data from Frida. Eg: which architecture, endianness, pointer size, etc...
.=!iE* Radare2 imports all the dynamic export data from Frida for all the dynamic libraries.
.=!iE* <lib> Radare2 imports all the dynamic export data from Frida for only one specific library.
.=!ii* Radare2 imports all the dynamic import data from Frida.
=!ii <lib> List imports. Commonly used with the symbol ~ , which is the internal grep of r2 .
=!ii* <lib> List imports in r2 form.
=!il List libraries. Commonly used with the symbol ~ , which is the internal grep of r2.
=!iE <lib> List exports of library(ies)
=!iEa (<lib>) <sym> Show address of export symbol
=!iEa* (<lib>) <sym> Show address of export symbol in r2 format
=!isa[*] (<lib>) <sym> Show address of symbol
=!ic List classes
=!/ keyword Search hex/string pattern in memory ranges (see search.in=?)

> =!?~^/ :
/[x][j] <string|hexpairs> Search hex/string pattern in memory ranges (see search.in=?)
/w[j] string Search wide string
/v[1248][j] value Search for a value honoring e cfg.bigendian of given width

> =!?~^d :
db (<addr>|<sym>) List or place breakpoint
db- (<addr>|<sym>)|* Remove breakpoint(s)
dc Continue breakpoints or resume a spawned process
dd[-][fd] ([newfd]) List, dup2 or close filedescriptors
dm[.|j|*] Show memory regions
dma <size> Allocate bytes on the heap, address is returned
dmas <string> Allocate a string inited with on the heap
dmad <addr> <size> Allocate bytes on the heap, copy contents from
dmal List live heap allocations created with dma[s]
dma- (<addr>...) Kill the allocations at (or all of them without param)
dmp <addr> <size> <perms> Change page at

e[?] [a[=b]] List/get/set config evaluable vars

[0x00000000] > = ! e
e patch.code=true
e search.in=perm:r--
e search.quiet=false
e stalker.event=compile
e stalker.timeout=300
e stalker.in=raw  

=!. script.js
=!ic List iOS classes

More info: https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06c-reverse-engineering-and-tampering#tampering-and-runtime-instrumentation

Frida GUI.

Frida GUI.

Frida GUI. https://github.com/FuzzySecurity/Fermion

More info:
https://frida.re/docs/examples/ios/
https://frida.re/docs/frida-trace/
https://frida.re/docs/examples/ios/
https://github.com/sensepost/objection/wiki/Using-objection
Apple's Entitlements Troubleshooting – https://developer.apple.com/library/content/technotes/tn2415/_index.html
Apple's Code Signing – https://developer.apple.com/support/code-signing/
Cycript Manual – http://www.cycript.org/manual/
Frida iOS Tutorial – https://www.frida.re/docs/ios/
Frida iOS Examples – https://www.frida.re/docs/examples/ios/
r2frida Wiki – https://github.com/enovella/r2frida-wiki/blob/master/README.md
Charlie Miller, Dino Dai Zovi. The iOS Hacker's Handbook. Wiley, 2012 – https://www.wiley.com/en-us/iOS+Hacker's+Handbook-p-9781118204122
Jonathan Levin. Mac OS X and iOS Internals: To the Apple's Core. Wiley, 2013 – http://newosxbook.com/MOXiI.pdf

Install SSL Kill Switch 2 from https://github.com/nabla-c0d3/ssl-kill-switch2/releases/

Open your settings and enable SSL Kill Switch 2

1. Run Charles on PC.

2. Install Charles Root Certificate on iOS device:

The following window will appear:

3. In the network settings of the iOS device specify the IP and port of Charles Proxy:

Depending on your network architecture the IP address Charles is running on may differ.

4. Open the browser on the iOS device and follow the link — http://chls.pro/ssl

5. Install Charles SSL certificate on the device:

6. Enable SSL Proxying

7. Start SSL Proxying:

Since all binary files inside an .ipa are encrypted with AES and being decrypted with a private key by Secure Enclave Processor at the runtime there is a few ways to decrypt it:

If you don't have Node.js:

brew install nvm
nvm install node

To dump decrypted ipa using bagbak utility install it on desktop:

sudo npm install -g bagbak

Then download your application from the App Store and dump:

bagbak <bundle id or name> --uuid <uuid> --output <output>

There are several ways to run the hardware AES engine:

• Patch iBoot to jump to aes_crypto_cmd

• Use OpenIBoot

• Use XPwn with a kernel patch

• Use Greenpois0n console:

  ideviceenterrecovery
irecovery --shell
go aes dec <file>

• Use ipwndfu

• Use checkra1n

Run checkra1n with -p to run into pongoOS (https://github.com/checkra1n/pongoOS) and use the aes command over USB

If you want to disassemble an application from the App Store, remove the FairPlay DRM first.

After decrypting .ipa file open app binary in disassembler like IDA Pro .

In this section the term "app binary" refers to the Macho-O file in the application bundle which contains the compiled code, and should not be confused with the application bundle - the IPA file.

• MachOViewer (Homepage)

• Hex Fiend (Homepage)
• 0xED (Homepage)
• Synalyze It! (Página principal)

• Hopper (Homepage)
• IDA (Homepage)
• otool (man page)
• otx (Homepage)

• Hopper (Homepage)
• Hex-Rays (Homepage)
• classdump (Homepage)
• codedump (i386) (Source ZIP)

• GDB (Not shipped on OS X anymore) (Homepage)
• LLDB (Homepage - man page)
• PonyDebugger (link)

• Bit Slicer (Homepage - Source)

• nm (man page)
• strings (man page)
• dsymutil (man page)
• install_name_tool (man page)
• ld (man page)
• lipo (man page)
• codesign (man page)
• hexdump (man page)
• dyld_shared_cache (link)
• vbindiff (link)
• binwalk (link)
• xpwntool (link)
• objdump (link)

If you have a license for IDA Pro, you can analyze the app binary using IDA Pro as well.

To get started, simply open the app binary in IDA Pro.

Upon opening the file, IDA Pro will perform auto-analysis, which can take a while depending on the size of the binary. Once the auto-analysis is completed you can browse the disassembly in the IDA View (Disassembly) window and explore functions in the Functions window, both shown in the screenshot below.

https://github.com/ChiChou/IDA-ObjCExplorer/blob/master/ObjCExplore.py – Obj-C Classes Explorer for IDA Pro. Just press Ctrl + Shift + E .

https://github.com/avast/retdec-idaplugin – RetDec decompiler for IDA Pro. Just press Ctrl + D .

https://github.com/zynamics/objc-helper-plugin-ida – zynamics Objective-C helper script.

https://github.com/techbliss/Frida_For_Ida_Pro – Connect frida.

https://github.com/vadimszzz/idapython/blob/master/cortex_m_firmware.py – IDA Python module for loading ARM Cortex M firmware.

https://github.com/saelo/ida_scripts/blob/master/kernelcache.py – Identify and rename function stubs in an iOS kernelcache.

https://github.com/luismiras/IDA-iOS-scripts/blob/master/find_iOS_syscalls.py – Find iOS syscalls.

https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/listAllKEXT.py – List all Kexts.

https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/findSyscallTable.py – This script searches the iOS syscall table within the iOS kernelcache.

https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/fixupSysctlSet.py – This script ensures that all sysctl_oid structures referenced by the sysctl_set segment are marked correctly.

https://github.com/bazad/ida_kernelcache – An IDA Toolkit for analyzing iOS kernelcaches.

You can use class-dump to get information about methods in the application's source code.

Note the architectures: armv7 (which is 32-bit) and arm64 . This design of a fat binary allows an application to be deployed on all devices. To analyze the application with class-dump, we must create a so-called thin binary, which contains one architecture only:

 iOS8-jailbreak:~ root# lipo -thin armv7 DamnVulnerableIOSApp -output DVIA32  

And then we can proceed to performing class-dump:

iOS8-jailbreak: ~ root# class-dump DVIA32

@interface FlurryUtil : ./DVIA/DVIA/DamnVulnerableIOSApp/DamnVulnerableIOSApp/YapDatabase/Extensions/Views/Internal/
{
}
+ (BOOL)appIsCracked ;
+ (BOOL)deviceIsJailbroken ;  

Note the plus sign, which means that this is a class method that returns a BOOL type. A minus sign would mean that this is an instance method. Refer to later sections to understand the practical difference between these.

Strings are always a good starting point while analyzing a binary, as they provide context to the associated code. For instance, an error log string such as "Cryptogram generation failed" gives us a hint that the adjoining code might be responsible for the generation of a cryptogram.

In order to extract strings from an iOS binary, you can use GUI tools such as Ghidra or Cutter or rely on CLI-based tools such as the strings Unix utility strings <path_to_binary> or radare2's rabin2 rabin2 -zz <path_to_binary> . When using the CLI-based ones you can take advantage of other tools such as grep (eg in conjunction with regular expressions) to further filter and analyze the results.

Nuevo Méjico

 nm libprogressbar.a | less

rabin2

 rabin2 -s file

radare2

 is~FUNC

Check URLs:

 strings <binary inside app bundle>  | grep -E 'session|https'
strings <binary inside app bundle>  | grep -E 'pinning'
rabin2 -qz <binary inside app bundle>                                   // in Data Section
rabin2 -qzz <binary inside app bundle>                                  // ALL strings in binary

jtool -dA __TEXT.__cstring c_playground
Dumping C-Strings from address 0x100000f7c (Segment: __TEXT.__cstring)..
Address : 0x100000f7c = Offset 0xf7c
0x100000f7c: and we have a winner @ %ldr
0x100000f98: and that's a wrap folks!r

IDA Pro can be used for obtaining cross references by right clicking the desired function and selecting Show xrefs .

• General purpose registers 0 through 30 with two addressing modes:
  • w0 = 32-bit
  • x0 = 64-bit
• Zero register wzr or xzr . Write to = discard, read from = 0 .
• Stack pointer sp - unlike other instruction sets, never modified implicitly (eg no push / pop ).
• Instruction pointer pc , not modifiable directly.
• A lot of float, vector and system registers, look up as needed.
• First register in assembly is usually destination, rest are source (except for str ).

• mov to copy one register to another, eg mov x0, x1 -> x0 = x1 .
• Constant 0 loaded from wzr / xzr .
• Small constants usually OR'ed with zero register, eg orr x0, xzr, 5 .
• Big constants usually loaded with movz + movk , eg:

   movz x0 , 0x1234 , lsl 32
  movk x0 , 0x5678 , lsl 16
  movk x0 , 0x9abc

  -> x0 = 0x123456789abc .
• movn for negative values, eg movn x0, 1 -> x0 = -1 .
• lsl and lsr instructions = logic-shift-left and logic-shift-right, eg lsl x0, x0, 8 -> x0 <<= 8 .
  • lsl and lsr not only used as instructions, but also as operands to other instructions (see movz above).
  • asl for arithmetic shift also exists, but less frequently used.
• Lots of arithmetic, logic and bitwise instructions, look up as needed.

• ldr and str with multiple variations and addressing modes:
  • ldr x0, [x1] -> x0 = *x1
  • str x0, [x1] -> *x1 = x0
  • ldr x0, [x1, 0x10] -> x0 = *(x1 + 0x10)
  • ldp / stp to load/store two registers at once behind each other, eg:
    stp x0, x1, [x2] -> *x2 = x0; *(x2 + 8) = x1;
  • Multiple variations for load/store size:
    • Register names xN for 64-bit, wN for 32-bit
    • ldrh / srth for 16-bit
    • ldrb / strb for 8-bit
  • Multiple variations for sign-extending registers smaller than 64-bit:
    • ldrsw x0, [x1] -> load 32-bit int, sign extend to 64-bit
    • ldrsh x0, [x1] -> load 16-bit int, sign extend to 64-bit
    • ldrsb x0, [x1] -> load 8-bit int, sign extend to 64-bit
    • (No equivalent str instructions)
• Three register addressing modes:
  • Normal: ldr x0, [x1, 0x10]
  • Pre-indexing: ldr x0, [x1, 0x10]! (notice the ! ) -> x1 += 0x10; x0 = *x1;
  • Post-indexing: ldr x0, [x1], 0x10 -> x0 = *x1; x1 += 0x10;
• Memory addresses usually computed by PC-relative instructions:
  • adr x0, 0x12345 (only works for small offset from PC)
  • Bigger ranges use adrp + add :

     adrp x0 , 0xffffff8012345000 ; "address of page", last 12 bits are always zero
    add x0 , x0 , 0x678

  • Even bigger ranges usually stored as pointers in data segment, offset by linker and loaded with ldr .

Note: Only dealing with integral types here. The rules change when floating-point is involved.

• x0 - x7 first 8 arguments, rest on the stack (low address to high) with natural alignment (as if they were members of a struct)
• x8 pointer to where to write the return value if >128 bits, otherwise scratch register
• x9 - x17 scratch registers
• x18 platform register (reserved, periodically zeroed by XNU)
• x19 - x28 callee-saved
• x29 frame pointer (basically also just callee-saved)
• x30 return address
• Functions that save anything in x19 - x28 usually start like this:

   stp x24 , x23 , [ sp , - 0x40 ] !
  stp x22 , x21 , [ sp , 0x10 ]
  stp x20 , x19 , [ sp , 0x20 ]
  stp x29 , x30 , [ sp , 0x30 ]
  add x29 , sp , 0x30

  and end like this:

   ldp x29 , x30 , [ sp , 0x30 ]
  ldp x20 , x19 , [ sp , 0x20 ]
  ldp x22 , x21 , [ sp , 0x10 ]
  ldp x24 , x23 , [ sp ], 0x40
  ret

  The stack for local variables is usually managed separately though, with add sp, sp, 0x... and sub sp, sp, 0x... .
• Variadic arguments are passed on the stack (low address to high), each promoted to 8 bytes. Structs that don't fit into 8 bytes have a pointer passed instead.
  Fixed arguments that don't fit into x0 - x7 come before variadic arguments on the stack, naturally aligned.
• The return value is passed as follows:
  • If it fits into 64 bits, in x0 .
  • If it fits into 128 bits, the first/lower half in x0 , the second/upper half in x1 .
  • If it is larger than 128 bits, the caller passes a pointer in x8 to where the result is written.

• System register nzcv holds condition flags (Negative, Zero, Carry, oVerflow).
  Set by one instruction and acted upon by a subsequent one, the latter using condition codes.
  (Could be accessed as normal system register, but usually isn't.)
• Some instructions use condition codes as suffixes ( instr.cond ), others as source operands ( instr ..., cond ). List of condition codes:
  • eq / ne = equal/not equal
  • lt / le / gt / ge = less than/less or equal/greater than/greater or equal (signed)
  • lo / ls / hi / hs = lower/lower or same/higher/higher or same (unsigned)
  • A few more weird flags, seldom used.
  • Unlike many other instruction sets, arm64 sets carry on no-borrow rather than borrow.
    Thus, cs / cc = carry set/carry clear are aliases of hs / lo .
• cmp = most common/basic compare instruction, sets condition flags. Ejemplos:

   cmp x0 , x1
  cmp x0 , 3

• Other instructions that set condition flags:
  • cmn = compare negative
  • tst = bitwise test
  • adds / adcs = add/add with carry
  • subs / sbcs = subtract/subtract with carry
  • negs / ngcs = negate/negate with carry
  • Some more bitwise and float instructions.
• Some instructions that act on condition flags:
  • cset = conditional set, eg:

     cmp x0 , 3
    cset x0 , lo

    -> x0 = (x0 < 3)
  • csel = conditional select, eg:

     cmp x0 , 3
    csel x0 , x1 , x2 , lo

    -> x0 = (x0 < 3) ? x1 : x2
    (Translates nicely to ternary conditional.)
  • ccmp = conditional compare, eg:

     cmp x0 , 3
    ccmp x0 , 7 , 2 , hs
    b.hi 0xffffff8012345678

    -> hi condition will be true if x0 < 3 || x0 > 7 (third ccmp operand is raw nzcv data).
    Often generated by compiler for logical and/or of two conditions.
  • Many, many more.

• b = simple branch, jump to PC-relative address.
  Can be unconditional:

   b 0xffffff8012345678

  or conditional:

   cmp x0 , 3
  b.lo 0xffffff8012345678 ; jump to 0xffffff8012345678 if x < 3

  Used primarily within function for flow control.
• Shortcuts cbz / cbnz = compare-branch-zero and compare-branch-non-zero.
  Just shorter ways to write

   cmp xN , 0
  b.eq 0x...

  o

   cmp xN , 0
  b.ne 0x...

  (Translate nicely to C if(x) or if(!x) .)
• Shortcuts tbz / tbnz = test single bit and branch if zero/non-zero.
  Eg tbz x0, 3, ... translates to if((x0 & (1 << 3)) == 0) goto ... .
• bl = branch-and-link (eg bl 0xffffff8012345678 )
  Store return address to x30 and jump to PC-relative address. Used for static function calls.
• blr = branch-and-link to register (eg blr x8 )
  Store return address to x30 and jump to address in x8 . Used for calls with function pointers or C++ virtual methods.
• br = branch to register (eg br x8 )
  Jump to address in x8 . Used for tail calls.
• ret = return to address in register, default: x30
  Can in theory use registers other than x30 (eg ret x8 ), but compiler doesn't usually generate that.

• nop = do nothing
• svc = make a system call using an immediate value (eg svc 0x80 ). Note that the immediate value is separate from the syscall number. XNU ignores the immediate and expects the syscall number in x16 .
• . = special symbol that refers to the address of the instruction it is used in (eg adr x0, . )

1. Install the following prerequisites:

   • Homebrew
   • Xcode is mandatory. The Command Line Tools package isn't sufficient for Theos to work. Xcode includes toolchains for all Apple platforms.

    brew install ldid xz
   

2. Set up the THEOS environment variable:

    echo "export THEOS=~/theos" >> ~/.zshrc
    source ~/.zshrc
   

3. Clone Theos:

    git clone --recursive https://github.com/theos/theos.git $THEOS
   

4. Get the toolchain:

   Xcode contains the toolchain.

5. Get an iOS SDK:

   Xcode always provides the latest iOS SDK, but as of Xcode 7.3, it no longer includes private frameworks you can link against. This may be an issue when developing tweaks. You can get patched SDKs from our SDKs repo.

    curl -LO https://github.com/theos/sdks/archive/master.zip
    TMP=$(mktemp -d)
    unzip master.zip -d $TMP
    mv $TMP/sdks-master/*.sdk $THEOS/sdks
    rm -r master.zip $TMP
   

Logos is a Perl regex-based preprocessor that simplifies the boilerplate code needed to create hooks for Objective-C methods and C functions with an elegant Objective-C-like syntax. It's most commonly used along with the Theos build system, which was originally developed to create jailbreak tweaks. Logos was once integrated in the same Git repo as Theos, but now has been decoupled from Theos to its own repo.

Logos aims to provide an interface for Cydia Substrate by default, but can be configured to directly use the Objective-C runtime.

Logos is a component of the Theos development suite.

 %hookf(return type, functionName, arguments list...) {
	/* body */
}

Generate a function hook for the function named functionName . Set functionName in %init to an expression if the symbol should be dynamically looked up.

Ejemplo:

 // Given the function prototype (only add it yourself if it's not declared in an included/imported header)

FILE *fopen(const char *path, const char *mode);

// The hook is thus made
%hookf(FILE *, fopen, const char *path, const char *mode) {
	puts("Hey, we're hooking fopen to deny relative paths!");
	if (path[0] != '/') {
		return NULL;
	}
	return %orig; // Call the original implementation of this function
}

// functions can also be looked up at runtime, if, for example, the function is in a private framework
%hookf(BOOL, MGGetBoolAnswer, CFStringRef string) {
	if (CFEqual(string, CFSTR("StarkCapability"))) {
		return YES;
	}
	return %orig;
}
%ctor() {
	%init(MGGetBoolAnswer = MSFindSymbol(NULL, "_MGGetBoolAnswer"));
}

 %ctor {
	/* body */
}

Generate an anonymous constructor (of default priority). This function is executed after the binary is loaded into memory. argc , argv , and envp are implicit arguments so they can be used as they would be in a main function.

 %dtor {
	/* body */
}

Generate an anonymous deconstructor (of default priority). This function is executed before the binary is unloaded from memory. argc , argv , and envp are implicit arguments so they can be used as they would be in a main function.

The directives in this category open a block of code which must be closed by an %end directive (shown below). These should not exist within functions or methods.

 %group GroupName
/* %hooks */
%end

Generate a hook group with the name GroupName . Groups can be used for conditional initialization or code organization. All ungrouped hooks are in the default group, initializable via %init without arguments.

Cannot be inside another %group block.

Grouping can be used to manage backwards compatibility with older code.

Ejemplo:

 %group iOS8
%hook IOS8_SPECIFIC_CLASS
	// your code here
%end // end hook
%end // end group ios8

%group iOS9
%hook IOS9_SPECIFIC_CLASS
	// your code here
%end // end hook
%end // end group ios9

%ctor {
	if (kCFCoreFoundationVersionNumber > 1200) {
		%init(iOS9);
	} else {
		%init(iOS8);
	}
}

 %hook ClassName
/* objc methods */
%end

Open a hook block for the class named ClassName .

Can be inside a %group block.

Ejemplo:

 %hook SBApplicationController
- (void)uninstallApplication:(SBApplication *)application {
	NSLog(@"Hey, we're hooking uninstallApplication:!");
	%orig; // Call the original implementation of this method
}
%end

 %new
/* objc method */
%new(signature)
/* objc method */

Add a new method to a hooked class or subclass by adding this directive above the method definition. signature is the Objective-C type encoding for the new method; if it is omitted, one will be generated.

Must be inside a %hook or %subclass block.

Ejemplo:

 %new
- (void)handleTapGesture:(UITapGestureRecognizer *)gestureRecognizer {
	NSLog(@"Recieved tap: %@", gestureRecognizer);
}

 %subclass ClassName: Superclass <Protocol list>
/* %properties and methods */
%end

Generate a subclass at runtime. Like @property in normal Objective-C classes, you can use %property to add properties to the subclass. The %new specifier is needed for a method that doesn't exist in the superclass. To instantiate an object of the new class, you can use the %c operator.

Can be inside a %group block.

Ejemplo:

 // An interface is required to be able to call methods of the runtime subclass using block syntax.
@interface MyObject : NSObject
@property (nonatomic, retain) NSString * someValue;
@end

%subclass MyObject : NSObject

%property (nonatomic, retain) NSString * someValue;

- (instancetype)init {
	if ((self = %orig)) {
		[self setSomeValue:@"value"];
	}
	return self;
}

%end

%ctor {
	// The runtime subclass cannot be linked at compile time so you have to use %c().
	MyObject *myObject = [[%c(MyObject) alloc] init];
	NSLog(@"myObject: %@", [myObject someValue]);
}

 %property (nonatomic|assign|retain|copy|weak|strong|getter=...|setter=...) Type name;

Add a property to a %subclass just like you would with @property to a normal Objective-C subclass as well as adding new properties to existing classes within %hook.

Must be inside a %hook or %subclass block.

 %end

Close a %group, %hook or %subclass block.

The directives in this category should only exist within a function or method body.

 %init;
%init([<ClassName>=<expr>, …]);
%init(GroupName[, [+|-]<ClassName>=<expr>, …]);

Initialize a group's method and function hooks. Passing no group name will initialize the default group. Passing ClassName=expr arguments will substitute the given expressions for those classes at initialization time. The + sigil (as in class methods in Objective-C) can be prepended to the classname to substitute an expression for the metaclass. If not specified, the sigil defaults to - , to substitute the class itself. If not specified, the metaclass is derived from the class.

The class name replacement is specially useful for classes that contain characters that can't be used as the class name token for the %hook directive, such as spaces and dots.

Ejemplo:

 %hook ClassName
- (id)init {
	return %orig;
}
%end

%ctor {
	%init(ClassName=objc_getClass("SwiftApp.ClassName"));
}

 %c([+|-]ClassName)

Evaluates to ClassName at runtime. If the + sigil is specified, it evaluates to MetaClass instead of Class. If not specified, the sigil defaults to - , evaluating to Class.

 %orig
%orig(args, …)

Call the original hooked function or method. Doesn't work in a %new'd method. Works in subclasses, strangely enough, because MobileSubstrate will generate a super-call closure at hook time. (If the hooked method doesn't exist in the class we're hooking, it creates a stub that just calls the superclass implementation.) args is passed to the original function - don't include self and _cmd , Logos does this for you.

Ejemplo:

 %hook ClassName
- (int)add:(int)a to:(int)b {
	if (a != 0) {
		// Return original result if `a` is not 0
		return %orig;
	}
	// Otherwise, use 1 as `a`
	return %orig(1, b);
}
%end

 &%orig

Get a pointer to the original function or method. Return type is void (*)(id, SEL[, arg types])

Ejemplo:

 // Call from outside hooked method:
void (*orig_ClassName_start)(id, SEL) = nil;

void doStuff(id self, SEL _cmd) {
	if (self && orig_ClassName_start) {
		orig_ClassName_start(self, _cmd);
	}
}

%hook ClassName
- (void)start {
	%orig;
	orig_ClassName_start = &%orig;
	dispatch_after(dispatch_time(DISPATCH_TIME_NOW, 1 * NSEC_PER_SEC),
		dispatch_get_main_queue(), ^{
			doStuff(self, _cmd);
	});
}
%end

// Call with another object:
%hook ClassName
- (int)add:(int)a to:(int)b {
	int (*_orig)(id, SEL, int, int) = &%orig;
	ClassName * myObject = [ClassName new];
	int r = _orig(myObject, _cmd, 1, 2);
	[myObject release];
	return r;
}
%end

Real world example at PreferenceLoader

 %log;
%log([(<type>)<expr>, …]);

Dump the method arguments to syslog. Typed arguments included in %log will be logged as well.

You can use logify.pl to create a Logos source file from a header file that will log all of the functions of that header file. Here is an example of a very simple Logos tweak generated by logify.pl.

Given a header file named SSDownloadAsset.h :

 @interface SSDownloadAsset : NSObject
- (NSString *)finalizedPath;
- (NSString *)downloadPath;
- (NSString *)downloadFileName;
+ (id)assetWithURL:(id)url type:(int)type;
- (id)initWithURLRequest:(id)urlrequest type:(int)type;
- (id)initWithURLRequest:(id)urlrequest;
- (id)_initWithDownloadMetadata:(id)downloadMetadata type:(id)type;
@end

You can find logify.pl at $THEOS/bin/logify.pl and you would use it as so:

 $THEOS/bin/logify.pl ./SSDownloadAsset.h

The resulting output should be:

 %hook SSDownloadAsset
- (NSString *)finalizedPath { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
- (NSString *)downloadPath { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
- (NSString *)downloadFileName { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
+ (id)assetWithURL:(id)url type:(int)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)initWithURLRequest:(id)urlrequest type:(int)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)initWithURLRequest:(id)urlrequest { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)_initWithDownloadMetadata:(id)downloadMetadata type:(id)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
%end

xi or xmi files enable Logos directives to be used in preprocessor macros, such as #define . You can also import other Logos source files with the #include statement. However, this is discouraged, since this leads to longer build times recompiling code that hasn't changed. Separating into x and xm files, sharing variables and functions via extern declarations, is recommended.

These file extensions control how a build system such as Theos should build a Logos file. Logos itself does not take the file extension into account and works regardless of whether a file is Objective-C or Objective-C++.

https://theos.dev/docs/
https://cydia.saurik.com/faq/developing.html
http://www.cydiasubstrate.com/id/7cee77bc-c4a5-4b8b-b6ef-36e7dd039692/
http://www.cydiasubstrate.com/inject/
https://iphonedev.wiki/index.php/Cydia_Substrate
https://cwcaude.github.io/project/tutorial/2020/07/02/iOS-tweak-dev-1.html
https://cwcaude.github.io/project/tutorial/2020/07/04/iOS-tweak-dev-2.html
https://cwcaude.github.io/project/tutorial/2020/07/12/iOS-tweak-dev-3.html
https://cwcaude.github.io/project/tutorial/2020/07/16/iOS-tweak-dev-4.html