iOS Internals and Security Testing

• Présentation de la plate-forme iOS
  • Système de fichiers
    • Répertoires système Unix
    • Répertoires spécifiques OS X / IOS
    • Idiosyncrasies du système de fichiers iOS
  • Applications
    • Fichier IPA (package iOS App Store)
    • Contenu du fichier IPA
    • Données d'application dans le système de fichiers iOS
  • Piste de pomme
  • Séparation des privilèges et bac à sable
  • Protection des données
  • Capacités d'application
  • Capacités de dispositif
  • Droits
  • Fonctionnalités de sécurité des applications, Apple Fairplay DRM
  • Processeur Enclave sécurisé
  • Clés AES
    • Clé GID
    • Clé UID
    • Clés dérivées
  • Bases objectives-C
    • Échange de messages
    • Déclaration de méthode
  • frameworks iOS
  • Cadres réseau iOS
  • Cadres privés iOS
• Aperçu des outils
  • Comment jailbreaker
  • Comment installer le package Cydia
  • Appareil d'accès
    • libimobilevice
    • ideviceinstaller
    • libirecovery
    • idevicerestore
    • libusbmuxd
  • Accéder au système de fichiers
  • Accéder à la ligne de commande
  • Données persistantes
  • Afficher la disposition de l'application et plus encore
• Analyser l'application au moment de l'exécution
  • Frida
  • Bases Frida
  • Flag de Frida - Eval
  • Frida Interceptre
  • Frida-trace
  • Contourner les chèques anti-frite
  • Objection
  • R2FRIDA
  • Pamplemousse (fruit de la passion)
  • Nain
  • Fermion
• Analyser le trafic du réseau d'applications
  • Désactivation de l'épinglage SSL
  • Intercepter avec Charles Proxy
• Être décrypté.
  • Avec un appareil mobile Apple - Dump
  • Avec ou sans appareil mobile Apple - exécutez le décryptage matériel AES
• Analyser les binaires d'application
  • Outils
    • Analyseurs binaires Mach-O:
    • Éditeurs hexagonaux
    • Démontage
    • Décompilateurs
    • Débogueurs
    • Éditeurs de mémoire
    • Divers outils de ligne de commande
  • Démontage avec Ida Pro
  • Plugins Ida Pro pour iOS et Mach-O
    • Analyse de Kernelcache
    • Obtenir des informations sur les méthodes
    • Récupération des symboles et des cordes
    • Références croisées
• Assemblage ARM64
  • Registres
  • Enregistrer la manipulation
  • Mémoire
  • Congrès d'appel
  • Conditions
  • Branches
  • Divers
• Développement iOS ajusté
  • Theos
  • Logos
    • % ctor
    • % dtor
  • Niveau de blocage
    • %groupe
    • %crochet
    • %nouveau
    • % sous-classe
    • %propriété
    • %fin
  • Niveau de fonction
    • % init
    • % c
    • % origine
    • %enregistrer
  • Logify.pl
  • Extensions de fichiers logos

En tant que système UNIX conforme, OS X fonctionne avec les répertoires bien connus qui sont standard sur toutes les saveurs Unix:

• / Bin: Binaires Unix. C'est là que les commandes UNIX communes (par exemple, LS, RM, MV, DF) sont
• / SBIN: Binaires système. Ce sont des binaires utilisés pour l'administration du système, tels que la gestion des systèmes de fichiers, la configuration du réseau, etc.
• / USR: le répertoire utilisateur. Ce n'est pas destiné aux utilisateurs, mais il ressemble plus à des fichiers de programme de Windows dans ce logiciel tiers peut s'installer ici.
• / USR: Contient dans It Bin, Sbin et Lib. / USR / LIB est utilisé pour les objets partagés (pensez, DLL Windows et Windows System32). Ce répertoire contient également l'inclusion / sous-répertoire, où se trouvent tous les en-têtes C standard.
• / etc: et cetera. Un répertoire contenant la plupart des fichiers de configuration du système; Par exemple, le fichier de mot de passe (/ etc / passwd). Dans OS X, il s'agit d'un lien symbolique vers / privé / etc.
• / dev: fichiers de périphérique BSD. Ce sont des fichiers spéciaux qui représentent des périphériques matériels sur le système (périphériques de caractères et de blocs).
• / TMP: répertoire temporaire. Le seul répertoire du système qui est au monde (autorisation: rwxrwxrwx). Dans OS X, il s'agit d'un lien symbolique vers / privé / tmp.
• / var: divers. Un répertoire pour les fichiers journaux, la boutique de courrier, la bobine d'impression et d'autres données. Dans OS X, il s'agit d'un lien symbolique vers / privé / var.

OS X ajoute ses propres répertoires spéciaux à l'arbre Unix, sous la racine du système:

• / Applications: base par défaut pour toutes les applications du système.
• / Développeur: Si Xcode est installé, le point d'installation par défaut pour tous les outils de développeur.
• / Bibliothèque: fichiers de données, aide, documentation, etc. pour les applications système.
• / Réseau: répertoire virtuel pour la découverte et l'accès du nœud voisin.
• / Système: utilisé pour les fichiers système. Il ne contient qu'un sous-répertoire de bibliothèque, mais ce répertoire contient pratiquement tous les composants principaux du système, tels que des frameworks (/ système / bibliothèque / frameworks), des modules de noyau (/ système / bibliothèque / extensions), des polices, etc.
• / Utilisateurs: répertoire domestique pour les utilisateurs. Chaque utilisateur a créé son propre répertoire ici.
• / Volumes: point de montage pour les systèmes de supports et de fichiers réseau amovibles.
• / Cœurs: répertoire pour les vidages de noyau, si activés. Les vidages de noyau sont créés lorsqu'un processus se bloque, si la commande ulimit (1) le permet et contiennent l'image de mémoire virtuelle principale du processus.

Du point de vue du système de fichiers, iOS est très similaire à OS X, avec les différences suivantes:

• Le système de fichiers (HFSX) est sensible à la casse (contrairement à HFS + d'OS X, qui est la conservation des cas, mais insensible). Le système de fichiers est également crypté en partie.
• Le noyau est déjà préemballé avec ses extensions de noyau, en tant que KernelCache (dans /System/library/caches/com.apple.kernelcaches). Contrairement aux caches du noyau OS X (qui sont des images compressées), les caches du noyau iOS sont IMG3 cryptées.
• / Les applications peuvent être un lien symbolique vers / var / stash / applications. Ceci est une caractéristique du jailbreak, pas d'iOS.
• Il n'y a pas / utilisateur, mais un / utilisateur - qui est un lien symbolique vers / var / mobile
• Il n'y a pas / volume (et pas besoin de cela, ou pour l'arbitrage du disque, car iOS n'a aucun moyen d'ajouter plus de stockage à un système donné)
• / Développeur est rempli uniquement si le périphérique I est sélectionné comme «utilisation pour le développement» à partir de Xcode. Dans ces cas, le développeurdiskimage.dmg inclus dans le SDK iOS est monté sur l'appareil.

Les fichiers avec l'extension .ipa peuvent être non compressés en modifiant l'extension en .zip et en décompressant.

 /iTunesArtwork    
/iTunesArtwork@2x    
/iTunesMetadata.plist    
/WatchKitSupport/WK    
/META-INF    
/Payload/    
/Payload/<Application>.app/     
/Payload/<Application>.app/<Application> 	←	Apple FairPlay DRM Encrypted Executable
/Payload/<Application>.app/Info.plist 			A file that contains some of the application specific configurations
/Payload/<Application>.app/_CodeSignature/		Contains a plist file with a signature over all files in the bundle
/Payload/<Application>.app/Assets.car			Another zipped archive that contains assets (icons)
/Payload/<Application>.app/Frameworks/ 			Contains the app native libraries as .dylib or .framework files
/Payload/<Application>.app/PlugIns/ 			May contain app extensions as .appex files
/Payload/<Application>.app/Core Data			It is used to save permanent data for offline use and sync across iCloud devices
/Payload/<Application>.app/PkgInfo				An alternate way to specify the type and creator codes of your application or bundle
/Payload/<Application>.app/en.lproj, etc		Language packs that contains resources for those specific languages

 /var/containers/Bundle/Application/<UUID>		Bundle directory; tampering invalidates signature
/var/mobile/Containers/Data/<UUID> 				Application runtime data
/var/mobile/Containers/Data/<UUID>/Documents/	Contains all the user-generated data
/var/mobile/Containers/Data/<UUID>/Library/		Contains all files that aren't user-specific – caches, preferences, cookies, plist files
/var/mobile/Containers/Data/<UUID>/Library/Caches/
												Contains semi-persistent cached files
/var/mobile/Containers/Data/<UUID>/Library/Application Support/
												Contains persistent files necessary for running the app
/var/mobile/Containers/Data/<UUID>/Library/Preferences/<bundle id>.plist
												Properties that can persist after an application is restarted. Contains NSUserDefaults
/var/mobile/Containers/Data/<UUID>/tmp/			Temporary files that do not need to persist between app launches

Les fichiers PLIST sont des fichiers XML structurés qui contient des paires de valeurs clés prenant en charge les types d'objets de base, comme les dictionnaires, les listes, les nombres et les chaînes. Habituellement, l'objet de niveau supérieur est un dictionnaire. Plist peut être binaire ou XML ou JSON Fichier.

Une information standard contient les entrées suivantes:

• CFBundleDevelopmentRegion: Langue par défaut Si aucune langue spécifique à l'utilisateur ne peut être trouvée.
• CfbundledisplayName: le nom utilisé pour afficher ce bundle à l'utilisateur.
• CFBundleDocumentTypes: Types de documents auxquels il sera associé. Il s'agit d'un dictionnaire, avec les valeurs spécifiant les extensions de fichier que ce bundle gère. Le dictionnaire spécifie également les icônes d'affichage utilisées pour les documents associés.
• CfbundleExecuable: l'exécutable réel (binaire ou bibliothèque) de ce bundle. Situé dans le contenu / macOS.
• CFBundleIConfile: Icon illustré dans la vue Finder.
• CFBundleIdentifier: Formulaire DNS inversé.
• CfbundLename: Nom de Bundle (limité à 16 caractères).
• CFBUndlePackageType: Spécification d'un code de quatre lettres, par exemple, Appl = application, frmw = framework, bndl = bundle.
• CfbundleSignature: Nom court à quatre lettres du bundle.
• CfbundleurlTypes: URLs auquel ce bundle sera associé. Il s'agit d'un dictionnaire, avec les valeurs spécifiant le schéma d'URL à gérer et comment.

plutil -convert xml1 binary_file.plist

plutil -convert xml1 data_file.json -o data_file.plist

https://docs.python.org/3/library/plistlib.html

Applications auxquelles l'utilisateur peut accéder à l'exécution en tant qu'utilisateur mobile tandis que les processus système critiques s'exécutent comme racine . Cependant, le bac à sable permet un meilleur contrôle sur les actions que les processus et les applications peuvent effectuer.

Par exemple, même si deux processus s'exécutent comme le même utilisateur (mobile), ils ne sont pas autorisés à accéder ou à modifier les données de l'autre .

Chaque application est installée sous /var/mobile/Applications/<UUID> . Uuid est aléatoire. Une fois installés, les applications ont un accès en lecture limité à certaines zones et fonctions système (SMS, appel téléphonique ...). Si une demande souhaite accéder à une zone protégée, une autorisation de demande pop-up apparaît.

Les développeurs d'applications peuvent tirer parti des API de protection des données iOS pour implémenter le contrôle d'accès à grain fin pour les données utilisateur stockées dans la mémoire flash. Les API sont construites au-dessus du processeur Enclave sécurisé (SEP). Le SEP est un coprocesseur qui fournit des opérations cryptographiques pour la protection des données et la gestion des clés . Une clé matérielle spécifique au périphérique - L' UID de périphérique (ID unique) - est intégré dans l'enclave sécurisé , assurant l'intégrité de la protection des données même lorsque le noyau du système d'exploitation est compromis.

Lorsqu'un fichier est créé sur le disque, une nouvelle touche AES 256 bits est générée à l'aide du générateur de nombres aléatoires basé sur le matériel d'Enclave d'Enclave sécurisé. Le contenu du fichier est ensuite chiffré avec la clé générée. Et puis, cette clé est enregistrée cryptée avec une clé de classe avec l'ID de classe, avec les deux données chiffrées par la clé du système, à l'intérieur des métadonnées du fichier.

Pour le décryptage du fichier, les métadonnées sont décryptées à l'aide de la clé du système. Ensuite, en utilisant l'ID de classe, la clé de classe est récupérée pour décrypter la clé par fichier et décrypter le fichier.

Les fichiers peuvent être affectés à l'une des quatre classes de protection différentes, qui sont expliquées plus en détail dans le guide de sécurité iOS.

Chaque application a un répertoire domestique unique et est en bac à sable , de sorte qu'il ne peut pas accéder aux ressources système ou aux fichiers protégées stockées par le système ou par d'autres applications. Ces restrictions sont implémentées via des politiques de bac à sable (aka. Profils ), qui sont appliquées par le cadre de contrôle d'accès obligatoire BSD (Mac) de confiance via une extension du noyau.

Certaines capacités / autorisations peuvent être configurées par les développeurs de l'application (par exemple, la protection des données ou le partage des clés) et prendra directement effet après l'installation. Cependant, pour d'autres, l'utilisateur sera explicitement demandé la première fois que l'application tente d'accéder à une ressource protégée .

Les chaînes d'objectif ou les chaînes de description d'utilisation sont des textes personnalisés qui sont offerts aux utilisateurs de l'alerte de demande d'autorisation du système lors de la demande d'autorisation d'accéder aux données ou aux ressources protégées.

Si vous avez le code source d'origine, vous pouvez vérifier les autorisations incluses dans le fichier Info.plist :

• Ouvrez le projet avec Xcode.
• Trouvez et ouvrez le fichier Info.plist dans l'éditeur par défaut et recherchez les clés à commencer par "Privacy -" .

Vous pouvez changer la vue pour afficher les valeurs brutes en cliquant avec le bouton droit et en sélectionnant "Afficher les clés / valeurs brutes" (de cette façon, par exemple "Privacy - Location When In Use Usage Description" se transformera en NSLocationWhenInUseUsageDescription ).

Si vous n'ayez que l'IPA:

• Décompressez l'IPA.
• L' Info.plist est situé en Payload/<appname>.app/Info.plist .
• Convertissez-le si nécessaire (par exemple, plutil -convert xml1 Info.plist ) comme expliqué dans le chapitre "IOS Basic Security Testing", section "Le fichier info.plist".
• Inspectez les chaînes d'informations Info UsageDescription

 <plist version="1.0">
<dict>
	<key>NSLocationWhenInUseUsageDescription</key>
	<string>Your location is used to provide turn-by-turn directions to your destination.</string>

Les capacités de l'appareil sont utilisées par l'App Store pour s'assurer que seuls les appareils compatibles sont répertoriés et sont donc autorisés à télécharger l'application. Ils sont spécifiés dans le fichier Info.plist de l'application sous la [UIRequiredDeviceCapabilities](https://developer.apple.com/library/archive/documentation/General/Reference/InfoPlistKeyReference/Articles/iPhoneOSKeys.html#//apple_ref/doc/plist/info/UIRequiredDeviceCapabilities) clé.

 <key>UIRequiredDeviceCapabilities</key>
<array>
	<string>armv7</string>
</array>

En règle générale, vous trouverez la capacité ARMV7, ce qui signifie que l'application est compilée uniquement pour l'ensemble d'instructions ARMV7, ou s'il s'agit d'une application universelle 32/64 bits.

Par exemple, une application peut être entièrement dépendante de NFC pour fonctionner (par exemple, une application "NFC Tag Reader"). Selon la référence archivée de compatibilité des périphériques iOS, NFC n'est disponible que sur l'iPhone 7 (et iOS 11). Un développeur peut vouloir exclure tous les dispositifs incompatibles en définissant la capacité de périphérique nfc .

Les droits sont des paires de valeurs clés qui sont signées dans une application et permettent d'authentification au-delà des facteurs d'exécution, comme l'ID utilisateur UNIX. Étant donné que les droits sont signés numériquement, ils ne peuvent pas être modifiés. Les droits sont largement utilisés par les applications système et les démons pour effectuer des opérations privilégiées spécifiques qui, autrement, nécessiteraient que le processus s'exécute en tant que racine. Cela réduit considérablement le potentiel d'escalade des privilèges par une application ou un démon de système compromis.

Par exemple, si vous souhaitez définir la capacité de «protection par défaut de données», vous devrez accéder à l'onglet Capacités dans Xcode et activer la protection des données . Ceci est directement écrit par Xcode dans le fichier <appname>.entitlements en tant que com.apple.developer.default-data-protection en droit avec valeur par défaut NSFileProtectionComplete . Dans l'IPA, nous pourrions trouver cela dans le embedded.mobileprovision comme:

 <key>Entitlements</key>
<dict>
	...
	<key>com.apple.developer.default-data-protection</key>
	<string>NSFileProtectionComplete</string>
</dict>
  

Pour d'autres capacités telles que HealthKit, l'utilisateur doit être demandé la permission, il ne suffit donc pas d'ajouter les droits, les clés spéciales et les chaînes doivent être ajoutées au fichier Info.plist de l'application.

1. Les demandes doivent être signées avec un certificat de développeur Apple payé.
2. Les binaires d'application sont chiffrés à l'aide d' Apple Fairplay DRM . Une forme de DRM existe dans l'IPA pour contrôler la redistribution vers un seul ID Apple. Plus tard, nous verrons comment le supprimer.
3. Les applications sont protégées par la signature du code.
4. Les applications correctes ne peuvent pas être installées sur des appareils non jaillots.
5. Chaque application iOS s'exécute dans son propre bac à sable. Après iOS 8.3+, ces données de sandbox ne peuvent pas être accessibles sans jailbreaking l'appareil iOS.
6. Aucune application ne peut accéder aux données appartenant à une autre application. Les gestionnaires de protocoles comme les schémas d'URL sont le seul moyen d'utiliser la communication inter-applications pour passer des messages entre les applications. Les données peuvent également être stockées dans des porte-clés.
7. Chaque fois que de nouveaux fichiers sont créés sur le périphérique iOS, ils se voient attribuer des classes de protection des données comme spécifié par les développeurs. Cela permet d'effectuer une restriction d'accès à ces fichiers.
8. Les applications doivent demander spécifiquement l'autorisation de l'utilisateur pour accéder aux ressources comme la caméra, les cartes, les contacts, etc.
9. Les périphériques iOS 5S + ont un composant matériel sécurisé appelé Enclave sécurisé. Il s'agit d'une version hautement optimisée d'ARM's TrustZone et empêche le processeur principal d'accéder directement aux données sensibles.

L' enclave sécurisé fait partie des SOC A7 et plus récents utilisés pour la protection des données, l'ID Touch et l'ID de face. Le but de l'enclave sécurisé est de gérer les clés et d'autres informations telles que la biométrie qui est suffisamment sensible pour ne pas être gérée par le processeur d'application. Il est isolé avec un filtre matériel afin que l'AP ne puisse pas y accéder. Il partage RAM avec l'AP, mais sa partie du RAM - TZ0 est cryptée. L'enclave sécurisé lui-même est un noyau de processeur AKF Flashable de 4 Mo appelé processeur Enclave sécurisé (SEP). La technologie utilisée est similaire à la confiance d'ARM / Securcore mais contient du code propriétaire pour les noyaux Apple KF en général et SEP spécifiquement.

Le SOC de chaque appareil a un coprocesseur AES avec la touche GID et la clé UID intégrée.

L'ID unique de l'appareil (UID) et un ID de groupe de périphériques (GID) sont des touches AES 256 bits fusionnées (UID) ou compilées (GID) dans le processeur d'application pendant la fabrication. Aucun logiciel ou micrologiciel ne peut les lire directement; Ils ne peuvent voir que les résultats des opérations de cryptage ou de décryptage effectués en leur utilisant. L'UID est unique à chaque appareil et n'est pas enregistré par Apple ou l'un de ses fournisseurs. Le GID est commun à tous les processeurs d'une classe d'appareils et est utilisé comme niveau de protection supplémentaire lors de la livraison du logiciel système pendant l'installation et la restauration. L'intégration de ces clés dans le silicium aide à les empêcher d'être falsifiés ou contournés ou accessibles à l'extérieur du moteur AES.

La touche GID ( clé de groupe ID ) est une clé AES 256 bits partagée par tous les appareils avec le même processeur d'applications. La clé GID fait partie de la façon dont iOS crypte les logiciels sur l'appareil. Il s'agit d'un composant du système de sécurité iOS, qui comprend également des signatures SHSH. Cette clé est différente sur chaque modèle Apple Soc.

La clé GID n'a jusqu'à présent été extraite de aucun appareil, donc la seule façon de l'utiliser est de passer par le moteur AES lui-même.

• Mais

  GID peut être obtenu grâce à la procédure d'attaque de démarrage à froid coûteuse (https://en.m.wikipedia.org/wiki/cold_boot_attack) et la prochaine procédure non moins coûteuse de numérisation du SoC avec une lithographe électronique Raith Chipccanner (https://minateh.ru/equipment/technological/ebeam-lithography/). Une telle expérience est injustifiée et complexe, il n'est donc jamais venu à l'esprit de la mettre en œuvre à l'exception du laboratoire privé Cellebrite. Cellebrite ne partage pas ses recherches.

La touche UID ( clé d'identification unique de l'appareil ) est une clé matérielle AES 256 bits, unique à chaque iPhone.

Certaines touches dérivées sont calculées par le service de noyau ioaesaccelerator au démarrage. Ces touches sont générées en chiffrant les valeurs statiques avec la touche UID (identifiant 0x7d0) ou la touche GID (identifiant 0x3e8).

Clé 0x835 - Généré par chiffrement 0x01010101010101010101010101010101 avec la clé UID. Utilisé pour la protection des données.

Clé 0x836 - Généré par chiffrement 0x00E5A0E6526FAE66C5C1C6D4F16D6180 avec la clé UID. Ceci est calculé par le noyau lors d'une restauration, mais est à zéro lors d'un démarrage normal. Il est également calculé par le chargeur de démarrage sécurisé, et sa seule utilisation connue est de décrypter LLB dans NOR. Comme 0x835 , il est différent pour chaque appareil.

Clé 0x837 - Généré par chiffrement 0x345A2D6C5050D058780DA431F0710E15 avec la clé GID S5L8900, résultant en 0x188458A6D15034DFE386F23B61D43774 . Il est utilisé comme clé de chiffrement pour les fichiers IMG2. Avec l'introduction d'IMG3 dans iPhone OS 2.0, les KBAG sont maintenant utilisés à la place de la touche 0x837 . Étant donné que les versions d'iPhone OS 1.x ont été utilisées uniquement sur l'iPhone et l'iPod Touch (les deux utilisent le S5L8900), les valeurs cryptées pour d'autres processeurs n'ont pas d'importance.

Clé 0x838 - généré par chiffrement 0x8C8318A27D7F030717D2B8FC5514F8E1 avec la clé UID. Une autre clé UID-AES-Key, elle est utilisée pour crypter tout sauf LLB dans le NOR (Iboot, DeviceTree, Images).

Clé 0x899 - généré par chiffrement 0xD1E8FCB53937BF8DEFC74CD1D0F1D4B0 avec la clé UID. Utilisation inconnue.

Clé 0x89a - généré par chiffrement 0xDB1F5B33606C5F1C1934AA66589C0661 avec la clé UID, obtenant une clé spécifique au périphérique. Utilisé sur les appareils A4. Il est utilisé pour crypter les blobs SHSH sur l'appareil.

Clé 0x89b - généré par chiffrement 0x183E99676BB03C546FA468F51C0CBD49 avec la clé UID. Il est utilisé pour crypter la clé de partition de données.

Clé 0x8a3 - généré par chiffrement 0x568241656551e0cdf56ff84cc11a79ef avec la clé UID (en utilisant AES-256-CBC). Il est utilisé lors des mises à niveau logiciels sur A12 et plus tard pour crypter la valeur "générateur" (en utilisant AES-128-CBC) avant de la hosir pour devenir le nonce.

Plus d'informations: https://css.csail.mit.edu/6.858/2020/readings/ios-security-may19.pdf
https://www.securitylab.ru/contest/428454.php
https://www.securitylab.ru/contest/429973.php

Les fichiers de module Objective-C ont l'extension «.m» (si un mélange de C ++ et d'objectif-C a été utilisé, l'extension «.mm»). Fichiers d'en-tête - «.h». Tous les objets des classes créés dans Objective-C doivent être alloués en tas. Par conséquent, le type d'ID, qui est un pointeur vers un objet de toute classe (en fait, vide *), acquiert une signification particulière. Un pointeur nul est appelé nul constant. Ainsi, un pointeur vers n'importe quelle classe peut être jeté au type d'identification. Un problème se pose: comment savoir quelle classe l'objet se cachant sous ID appartient? Ceci est fait grâce à l'Isa Invariant, qui est présent dans n'importe quel objet d'une classe qui hérite d'une classe de base spéciale NSObject (le préfixe NS représente la prochaine étape). L'Isa Invariant est de la classe de type réservée. Un objet de ce type vous permet de découvrir les noms de ses propres et de la classe de base, un ensemble d'invariants de classe, ainsi que les prototypes de toutes les méthodes que cet objet a implémentées et leurs adresses (via une liste locale de sélecteurs). Tous les mots réservés d'objectif-c autres que C des mots réservés commencent par un @ symbole (par exemple @protocol, @Selector, @Interface). En règle générale, les noms des invariants de classe dans les parasites (@private, @protected) commencent par un soulignement. Pour les chaînes, Cocoa a une classe NSString très pratique. La constante de chaîne de cette classe est écrite comme @ "Hello World", et non comme la string C constante habituelle "Hello World". Le type Bool (charbon essentiellement non signé) peut prendre les valeurs constantes oui et non. Tous les mots réservés spécifiques à l'objectif-C (qui diffèrent de la langue C et qui se trouvent dans le fichier d'en-tête OBJC / OBJC.H) sont répertoriés ci-dessous:

@interface commence à déclarer une classe ou une catégorie (la catégorie est une extension de classe sans héritage)
@end complète la déclaration Définition de toute classe, catégorie ou protocole
@private limite la portée des invariants de classe aux méthodes de classe (similaire à C ++)
@protected se tient par défaut. Limite la portée des invariants de classe aux méthodes de classe et aux méthodes de classes dérivées (similaire à C ++)
@public supprime les restrictions de portée (similaire à C ++)
@try définit un bloc avec un éventuel lancer d'exception (similaire à C ++)
@throw lance un objet d'exception (similaire à C ++)
@catch() gère l'exception lancée dans le bloc @try précédent (similaire à C ++)
@finally définit le bloc après le bloc @try auquel le contrôle est passé, que ce soit une exception lancée ou non
@class Forme abrégée de la déclaration de classe (nom uniquement (similaire à C ++))
@selector(method_name) Renvoie le sélecteur compilé pour le nom de la méthode Method_name
@protocol(protocol_name) renvoie une instance de la classe de protocole nommée protocol_name
@encode(type_spec) initialise une chaîne de caractères qui sera utilisée pour crypter les données de type type_spec
@synchronized() définit un bloc de code exécuté par un seul thread à un moment donné dans le temps
@implementation commence à définir une classe ou une catégorie
@protocol commence une déclaration de protocole (analogue à une classe C ++ composée de fonctions virtuelles pures)

Pour forcer un objet à exécuter une méthode, vous devez lui envoyer un message nommé le même que la méthode requise. Ce message est appelé sélecteur de méthode. La syntaxe pour l'envoi est la suivante:

[receiver method];

- (void) addObject: (id) otherObject;

Si vous mettez un signe plus + au début d'un prototype de méthode, une telle méthode sera considérée comme une méthode de classe et, naturellement, n'acceptera pas l'auto-paramètre implicite (cela est similaire à déclarer une méthode statique en C ++). Et sans l'invariant Isa de l'objet pointé par soi, le super pointeur, bien sûr, ne fonctionnera pas non plus. Ainsi, le prototype de toute méthode est déclaré comme ceci:

 - | + (<return type>) mainMethodNamePart
[: (<type of first parameter>) nameOfFirstFormalParameter
	[[optionalMethodNamePart]: (<type of second parameter>) secondFormalParameterName] ...
]

Par exemple:

+ (Class)class;
+ (id)alloc;
- (id)init;
- (void)addObject: (id)anObject;
+ (NSString *)stringWithCString: (const char*)aCString usingUncoding: (enum NSStringEncoding)encoding;
- (NSString *)initStringWithFormat: (NSString *)format, ...;

• Périphériques Bluetooth
• Données de calendrier
• Caméra
• Contacts
• Partage de santé
• Mise à jour de la santé
• Homekit
• Emplacement
• Microphone
• Mouvement
• Musique et bibliothèque des médias
• Photos
• Rappels
• Siri
• Reconnaissance de la parole
• le fournisseur de télévision
• etc.

Documentation du développeur Apple

https://developer.apple.com/library/archive/documentation/macosx/conceptual/osx_technology_overview/SystemFrameworks/SystemFrameworks.html

https://www.theiphonewiki.com/wiki//system/library/frameworks

Les cadres sont stockés à plusieurs endroits du système de fichiers:

• / Système / bibliothèque / frameworks. Contient les cadres fournis d'Apple - à la fois dans iOS et OS X
• / Réseau / bibliothèque / frameworks peuvent (rarement) être utilisés pour les cadres communs installés sur le réseau.
• / Bibliothèque / frameworks tient des frameworks tiers (et, comme on peut s'y attendre, le répertoire est laissé vide sur iOS)
• ~ / Bibliothèque / frameworks tient les frameworks fournis par l'utilisateur, le cas échéant

De plus, les applications peuvent inclure leurs propres cadres.

Documentation du développeur Apple - Réseau

Documentation du développeur Apple - NetworKextension

Documentation du développeur Apple - NetworkingDriverKit

La plupart des applications que vous pourriez rencontrer se connectent aux points de terminaison distants. Même avant d'effectuer une analyse dynamique (par exemple, capture et analyse du trafic), vous pouvez obtenir des entrées ou des points d'entrée initiaux en énumérant les domaines auxquels l'application est censée communiquer.

En règle générale, ces domaines seront présents sous forme de chaînes dans le binaire de l'application. On peut extraire des domaines en récupérant des chaînes avec rabin2 -zz <path_to_binary> ou dans l'IDA Pro. Cette dernière option a un avantage clair: il peut vous fournir un contexte, car vous pourrez le voir dans quel contexte chaque domaine est utilisé en vérifiant les références croisées.

À partir de là, vous pouvez utiliser ces informations pour dériver plus d'informations qui pourraient être utiles plus tard au cours de votre analyse, par exemple, vous pouvez correspondre aux domaines aux certificats épinglés ou effectuer une reconnaissance supplémentaire sur les noms de domaine pour en savoir plus sur l'environnement cible.

La mise en œuvre et la vérification des connexions sécurisées peuvent être un processus complexe et il existe de nombreux aspects à considérer. Par exemple, de nombreuses applications utilisent d'autres protocoles en dehors de HTTP tels que XMPP ou des paquets TCP simples, ou effectuer des épingles de certificat pour tenter de dissuader les attaques MITM.

Le cadre réseau a été introduit à la Conférence Apple Worldwide Developers (WWDC) en 2018 et remplace l'API Sockets. Ce framework de réseautage de bas niveau fournit des classes pour envoyer et recevoir des données avec un réseau de réseautage dynamique, de sécurité et de performance intégré.

TLS 1.3 est activé par défaut dans le cadre réseau, si l'argument using: .tls est utilisé. Il s'agit de l'option préférée par rapport au cadre de transport sécurisé Legacy.

URLSession a été construite sur le cadre du réseau et utilise les mêmes services de transport. La classe utilise également TLS 1.3 par défaut, si le point de terminaison est HTTPS.

URLSession doit être utilisée pour les connexions HTTP et HTTPS, au lieu d'utiliser directement le cadre réseau. La classe prend en charge nativement les deux schémas d'URL et est optimisée pour de telles connexions. Il nécessite moins de code passe-partout, réduisant la propension aux erreurs et garantissant des connexions sécurisées par défaut. Le cadre réseau ne doit être utilisé que lorsqu'il existe des exigences de réseautage de bas niveau et / ou avancées.

La documentation officielle d'Apple comprend des exemples d'utilisation du cadre réseau pour implémenter NetCAT et URLSession pour récupérer les données du site Web dans la mémoire.

https://developer.limneos.net/

https://www.theiphonewiki.com/wiki//system/library/privateframeworks

Le dernier outil pour votre appareil peut être trouvé ici https://canijailbreak.com

Cette recherche est essentiellement écrite pour les iPhones 5S 5S de CheckRAned sur X avec iOS 10–15 et peut être mis à jour à long terme si un nouvel outil de Bootrom PWNAGE sera publié. Vérifiez-le https://www.theiphonewiki.com/wiki/bootrom#bootrom_exploits

1. Ajouter à Cydia Sources Related Repo ( https://repo.chariz.com par exemple)
2. Rechercher un package et installer
3. Si vous ne voyez pas de modifications ou si quelque chose ne fonctionne killall SpringBoard
   Dans la plupart des cas, le redémarrage du tremplin est requis

Ouvrez le fichier .deb / .ipa avec Filza File Manager et appuyez sur Installer, si vous voyez une erreur avec l'installation .deb, essayez de trouver et d'installer toutes les dépendances

Installez Appsync Unified à partir de https://cydia.akemi.ai/ repo

https://apt.bingner.com/
https://apt.thebigboss.org/repofiles/cydia/
https://cydia.saurik.com
https://repo.dynastic.co/
https://getdelta.co/
https://cokepokes.github.io/
https://cydia.akemi.ai/
https://nscake.github.io/
https://repo.chariz.com/
https://mrepo.org/
https://rejail.ru/
https://repo.hackyouriphone.org/
https://build.frida.re/ - Frida
https://cydia.radare.org/ - Radare2

Installer sur le bureau

brew install libimobiledevice ideviceinstaller libirecovery

sudo port install idevicerestore

idevice_id Liste des périphériques connectés ou imprimer le nom du périphérique du idevicedebugserverproxy donné idevicebackup créer ou restaurer une sauvegarde pour les appareils idevicedebug héritage) idevicebackup2 Créer ou restaurer des sauvegardes pour les appareils exécutant iOS 4 ou ultime idevicecrashreport Retraiture Rapports Connexion ideviceinfo partir d'un appareil pour ideviceimagemounter débogage à distance idevicediagnostics Interagissez avec l'interface idevicepair idevicename d'un idevicescreenshot ideviceenterrecovery ScreenShot de l'appareil connecté idevicesetlocation Simuler l'emplacement sur le périphérique idevicesyslog Relais Syslog d'un appareil connecté

ideviceinstaller --list-apps
ideviceinstaller --install <Application.ipa>
ideviceinstaller --uninstall <bundle id>
idevicedebug -d run <bundle id>

irecovery --shell permet la communication avec IBOOT / IBSS de l'appareil iOS

idevicerestore --latest RESTOR UN NOUVEAU MIFRICWALWORE À idevicerestore --erase --latest
Force la restauration avec l'effacement de toutes les données

Utilitaire inetcat pour exposer une connexion brute au périphérique iproxy 2222:22 Bond le port local 2222 et transmettre à 22 du premier périphérique USB

Installez sur le conduit de fichiers Apple de l'appareil "2"

Utilisez iMazing ou ifunbox pour accéder au système de fichiers

Installez le gestionnaire de fichiers Filza

Installez OpenSSH sur l'appareil et exécutez sur le bureau:

iproxy 2222:22

ssh -p 2222 root@localhost

Le mot de passe iOS par défaut pour root est alpine . Ne le changez pas si vous avez une mauvaise mémoire

Installez sur Device Newterm 2 à partir de https://repo.chariz.com pour utiliser le terminal local

 cd /private/var/containers/Bundle/Application/<guid>/myapp.app
// Contains compiled code, statically linked files, compressed NIB files.

 cd /private/var/mobile/Containers/Data/Application/
ls -lrt  // Your freshly installed IPA is at the bottom of list
cd [app guid]/Documents/
cd [app guid]/Library/

 /private/var/Keychains
TrustStore.sqlite3
keychain-2.db
pinningrules.sqlite3

 // Extract IPA (whether App Store encrypted or not)
scp -r -P 2222 root@localhost:/var/containers/Bundle/Application/<app GUID>/hitme.app ~/hitme.app

// Different to SSH, the uppercase P for Port with SCP. Order important.
scp -P 2222 root@localhost:/var/root/overflow.c localfilename.c

// from Jailbroken device to local machine
// Caution:no space after the root@localhost: Otherwise you copy the entire filesystem!
scp -P 2222 root@localhost:/private/var/mobile/Containers/Data/Application/<App GUID>/Library/Caches/Snapshots/com.my.app

// from local machine to remote Jailbroken device
scp -P 2222 hello.txt root@localhost:/var/root/

Installez libflex et flexion à partir de https://nscake.github.io/

Ouvrez New Term et exécutez killall SpringBoard

Vous pouvez maintenant charger Flex à l'intérieur de n'importe quelle application par LongPress sur la barre d'état

Frida est une boîte à outils d'instrumentation binaire dynamique qui nous permet d'exécuter des scripts dans un logiciel précédemment verrouillé. En un mot, Frida vous permet d'injecter des extraits de JavaScript dans les applications natives sur Windows, Mac, Linux, iOS et Android.

Ajouter le repo Frida au Cydia - https://build.frida.re/

• Si vous avez un appareil 32 bits avec Apple A6 ou plus bas (iPhone 5, iPhone 5C, iPad 2 et plus tôt), installez Frida pour des appareils 32 bits
• Si vous avez un appareil 64 bits avec Apple A11 ou plus bas (iPhone X, iPad 7, iPod Touch 7 et plus tôt), installez Frida
• Sur un appareil plus récent, vous pouvez installer Frida pour les appareils A12 +

Si vous n'avez pas Python 3:

brew install pyenv
pyenv install 3.9.0 (ou le dernier disponible)

Puis installer

pip3 install frida-tools

frida-ls-devices List Dispositifs disponibles
frida-ps -U liste tous les noms de processus en cours d'exécution et pides sur un appareil USB
frida-ps -Uai Liste toutes les applications installées sur un appareil USB
frida-ps -Ua Liste toutes les applications en cours d'exécution sur un appareil USB
frida-ls-devices Liste tous les appareils ci-joints
frida-ps -D 0216027d1d6d3a03 Connectez Frida à l'appareil spécifique
outil frida-discover pour découvrir des fonctions internes dans un processus
frida-trace -U Twitter -i "*URL*" Traçant les API natives
frida-trace -U -f com.toyopagroup.picaboo -I "libcommonCrypto*"
Lancez l'application et trace les appels API crypto
frida-trace -U Twitter -m "-[NSURL* *HTTP*]" Traçage des API Objective-C
frida -U -n Twitter -l inject.js Injecter le script dans le processus sur un appareil USB via REP
frida -n cat se connecter au chat par son nom
frida -f foobar FORCE Open FOOBAR
frida -U -f foobar --no-pause Open Foobar sur USB et Force Start. Démarrer l'application en cours d'exécution
frida-ps -U | grep -i myapp obtient l'ID de processus de l'application cible à partir de l'appareil connecté USB
frida -U -f foobar --no-pause -q --eval 'console.log("Hi Frida");'
Exécutez le script et quittez Frida

À ce stade, nous avons notre NativeFunction stocké dans la variable play_sound . Appelez-le comme une fonction régulière play_sound() et n'oubliez pas de donner le paramètre d'entrée ( int ): play_sound(1007)

Mettre tout cela ensemble:

var address = Module.findExportByName('AudioToolbox', 'AudioServicesPlaySystemSound')
var play_sound = new NativeFunction(address, 'void', ['int'])
play_sound(1007)

Vous devez d'abord obtenir une instance de l'objet, soit:

• allocating it and calling its constructor, for example var instance = ObjC.classes.ClassName.alloc().init();
• getting an existing instance using ObjC.choose , like - if you know there's only one instance already created somewhere on the heap - you can to something like var instance = ObjC.chooseSync(ObjC.classes.ClassName)[0];
• getting an existing instance from a singleton you know holds the instance in a property, for example var instance = ObjC.classes.MySingleton.getInstance().myInterestingInstance();

and then call the method on the instance:

instance.setSomething();

or, if the method signature takes an argument, like - setSomething: , you can also pass the argument (just remember to put a _ instead of ObjC's : ):

instance.setSomething_(argument);

 frida -U "My App"               // Attach Frida to app over USB

Process.id
419

Process.getCurrentThreadId()
3843

var b = "hello frida"

console.log(b)
"hello frida"

c = Memory.allocUtf8String(b)
"0x1067ec510"

Memory.readUtf8String(c)
"hello frida"

console.log(c)
0x1067ec510

console.log(c.readUtf8String(5))
hello

console.log(c.readUtf8String(11))
hello frida

ptrToC = new NativePointer(c);
"0x1067ec510"

console.log(ptrToC)
0x1067ec510

console.log(ptrToC.readCString(8))
hello fr

Memory.readUtf8String(ptrToC)
"hello frida"

Objective-C's syntax includes the : and @ characters. These characters were not used in the Frida Javascript API .

 // Attach to playground process ID
frida -p $(ps -ax | grep -i -m1 playground |awk '{print $1}')

ObjC.available
true

ObjC.classes.UIDevice.currentDevice().systemVersion().toString()
"11.1"

ObjC.classes.NSBundle.mainBundle().executablePath().UTF8String()

ObjC.classes.UIWindow.keyWindow().toString()
RET: <WKNavigation: 0x106e165c0>

// shows Static Methods and Instance Methods
ObjC.classes.NSString.$ownMethods

ObjC.classes.NSString.$ivars

var myDate = ObjC.classes.NSDate.alloc().init()

console.log(myDate)
2019-04-19 19:03:46 +0000

myDate.timeIntervalSince1970()
1555700626.021566

myDate.description().toString()
"2019-04-19 19:03:46 +0000"

var a = ObjC.classes.NSUUID.alloc().init()

console.log(a)
4645BFD2-94EE-413D-9CE5-8982D41ED6AE

a.UUIDString()
{
    "handle": "0x7ff3b2403b20"
}
a.UUIDString().toString()
"4645BFD2-94EE-413D-9CE5-8982D41ED6AE"

 var b = ObjC.classes.NSString.stringWithString_("foo");

b.isKindOfClass_(ObjC.classes.NSString)
true

b.isKindOfClass_(ObjC.classes.NSUUID)
false

b.isEqualToString_("foo")
true

b.description().toString()
"foo"

var c = ObjC.classes.NSString.stringWithFormat_('foo ' + 'bar ' + 'lives');

console.log(c)
foo bar lives

 var url = ObjC.classes.NSURL.URLWithString_('www.foobar.com')

console.log(url)
www.foobar.com

url.isKindOfClass_(ObjC.classes.NSURL)
true

console.log(url.$class)
NSURL

 var b = ObjC.classes.NSString.stringWithString_("foo");

var d = ObjC.classes.NSData
d = b.dataUsingEncoding_(1)			//	NSASCIIStringEncoding = 1, NSUTF8StringEncoding = 4,

console.log(d)
<666f6f>							//	This prints the Hex value "666f6f = foo"

d.$className
"NSConcreteMutableData"

var x = d.CKHexString()				//	Get you the Byte array as a Hex string

console.log(x)
666f6f

x.$className
"NSTaggedPointerString"

var newStr = ObjC.classes.NSString.stringWithUTF8String_[d.bytes]

 // demoapp is the iOS app name
myapp=$(ps x | grep -i -m1 demoapp | awk '{print $1}')
frida-trace -i "getfsent*" -p $myapp

// Connect to process with Frida script
frida --codeshare mrmacete/objc-method-observer -p 85974

 Process.enumerateModules()      
// this will print all loaded Modules

Process.findModuleByName("libboringssl.dylib")
{
    "base": "0x1861e2000",
    "name": "libboringssl.dylib",
    "path": "/usr/lib/libboringssl.dylib",
    "size": 712704
}

Process.findModuleByAddress("0x1c1c4645c")
{
    "base": "0x1c1c2a000",
    "name": "libsystem_kernel.dylib",
    "path": "/usr/lib/system/libsystem_kernel.dylib",
    "size": 200704
}

 DebugSymbol.fromAddress(Module.findExportByName(null, 'strstr'))
{
    "address": "0x183cb81e8",
    "fileName": "",
    "lineNumber": 0,
    "moduleName": "libsystem_c.dylib",
    "name": "strstr"
}

 Module.findExportByName(null, 'strstr')
"0x183cb81e8"

Module.getExportByName(null,'strstr')
"0x183cb81e8"

Process.findModuleByAddress("0x183cb81e8")
{
    "base": "0x183cb6000",
    "name": "libsystem_c.dylib",
    "path": "/usr/lib/system/libsystem_c.dylib",
    "size": 516096
}

 a = Process.findModuleByName("Reachability")
a.enumerateExports()
....
{
    "address": "0x102fab020",
    "name": "ReachabilityVersionString",
    "type": "variable"
},
{
    "address": "0x102fab058",
    "name": "ReachabilityVersionNumber",
    "type": "variable"
}
....
...
..

 frida -U -f funky-chicken.debugger-challenge --no-pause -q --eval 'var x={};Process.enumerateModulesSync().forEach(function(m){x[m.name] = Module.enumerateExportsSync(m.name)});' | grep -B 1 -A 1 task_threads

            "address": "0x1c1c4645c",
            "name": "task_threads",
            "type": "function"

 frida -U -f funky-chicken.debugger-challenge --no-pause -q --eval 'var x={};Process.findModuleByAddress("0x1c1c4645c");'

{
    "base": "0x1c1c2a000",
    "name": "libsystem_kernel.dylib",
    "path": "/usr/lib/system/libsystem_kernel.dylib",
    "size": 200704
}

 [objc_playground]-> var a = ObjC.classes.NSString.stringWithString_("foo");

[objc_playground]-> a.superclass().toString()
"NSString"

[objc_playground]-> a.class().toString()
"NSTaggedPointerString"

// PASTE THIS CODE INTO THE FRIDA INTERFACE...
Interceptor.attach(ObjC.classes.NSTaggedPointerString['- isEqualToString:'].implementation, {
    onEnter: function (args) {
      var str = new ObjC.Object(ptr(args[2])).toString()
      console.log('[+] Hooked NSTaggedPointerString[- isEqualToString:] ->' , str);
    }
});

// TRIGGER YOUR INTERCEPTOR
[objc_playground_2]-> a.isEqualToString_("foo")
[+] Hooked NSTaggedPointerString[- isEqualToString:] -> foo
1   // TRUE
[objc_playground_2]-> a.isEqualToString_("bar")
[+] Hooked NSTaggedPointerString[- isEqualToString:] -> bar
0   // FALSE

 // frida -U -l open.js --no-pause -f com.yd.demoapp

// the below javascript code is the contents of open.js

var targetFunction = Module.findExportByName("libsystem_kernel.dylib", "open");

Interceptor.attach(targetFunction, {
    onEnter: function (args) {
        const path = Memory.readUtf8String(this.context.x0);
        console.log("[+] " + path)
    }
});

frida-trace --v Check it works frida-trace --help Excellent place to read about Flags frida-trace -f objc_playground Spawn and NO trace frida-trace -m "+[NSUUID UUID]" -U "Debug CrackMe" Trace ObjC UUID static Class Method frida-trace -m "*[ComVendorDebugger* *]" -U -f com.robot.demo.app ObjC wildcard trace on Classes frida-trace -m "*[YDDummyApp.UserProfileMngr *]" -U -f com.robot.demo.app Trace mangled Swift functions frida-trace -i "getaddrinfo" -i "SSLSetSessionOption" -U -f com.robot.demo Trace C function on iOS frida-trace -m "*[*URLProtection* *]" -U -f com.robot.demo For https challenge information frida-trace -m "*[NSURLSession* *didReceiveChallenge*]" -U -f com.robot.demo Check whether https check delegate used frida-trace -U -f com.robot.demo.app -I libsystem_c.dylib Trace entire Module. frida-trace -p $myapp -I UIKit Trace UIKit Module. frida-trace -f objc_playground -I CoreFoundation Trace CoreFoundation Module. frida-trace -I YDRustyKit -U -f com.yd.mobile Trace my own module. frida-trace -m "-[NSURLRequest initWithURL:]" -U -f com.robot.demo Get app files and APIs frida-trace -m "-[NSURL initWithString:]" -U -f com.robot.demo Find the API endpoints frida-trace -m "*[NSURL absoluteString]" -U -f com.robot.demo My favorite of these

 frida-trace -i "*strcpy" -f hitme aaaa bbbb
Instrumenting functions...                                              
_platform_strcpy: Loaded handler at "/.../__handlers__/libSystem.B.dylib/_platform_strcpy.js"
Started tracing 1 function. Press Ctrl+C to stop.                       

Edit the auto-generated, template Javascript file.

 -----------
onEnter: function (log, args, state) {
  // strcpy()  arg1 is the Source. arg0 is the Destination.
  console.log('n[+] _platform_strcpy()');
  var src_ptr  = args[1].toString()
  var src_string = Memory.readCString(args[1]);
  var src_byte_array = Memory.readByteArray(args[1],4);
  var textDecoder = new TextDecoder("utf-8");
  var decoded = textDecoder.decode(src_byte_array);
  console.log('[+] src_ptrt-> ' , src_ptr);
  console.log('[+] src_stringt-> ' + src_string);
  console.log('[+] src_byte_arrayt-> ' + src_byte_array);
  console.log('[+] src_byte_array sizet-> ' + src_byte_array.byteLength);
  console.log('[+] src_byte_array decodedt-> ' + decoded);
},

Les résultats:

 [+] _platform_strcpy()
[+] src_ptr	->  0x7ffeefbffaa6
[+] src_string	-> aaaa
[+] src_byte_array	-> [object ArrayBuffer]
[+] src_byte_array size	-> 4
[+] decoded	-> aaaa

[+] _platform_strcpy()
[+] src_ptr	->  0x7ffeefbffaab
[+] src_string	-> bbbb
[+] src_byte_array	-> [object ArrayBuffer]
[+] src_byte_array size	-> 4
[+] decoded	-> bbbb

 frida-ps -Uai  // get your bundle ID

frida --codeshare mrmacete/objc-method-observer -U -f funky-chicken.push-demo

[+] At the Frida prompt...

observeSomething('*[ABC* *]'); // any Class beginning with ABC, regardless of instance or static class
observeSomething('-[WKWebsiteDataStore httpCookieStore]');
observeSomething('-[WKWebAllowDenyPolicyListener *]');
observeSomething('-[WKWebView loadRequest:]');                // dump the URL to hit
observeSomething('-[WKWebView load*]');                       // you get all HTML, js, css, etc
observeSomething('-[WKWebView loadHTMLString:baseURL:]')      // really effective; see the entire request
observeSomething('-[WKWebView *Agent]');                      // try to see if somebody set a custom UserAgent
observeSomething('*[* isEqualToString*]');                    // watch string compares

bash -c "exec -a YDFooBar ./frida-server &"

frida-server -l 0.0.0.0:19999 &

frida-ps -ai -H 192.168.0.38:19999

frida-trace -m "*[NSURLSession* *didReceiveChallenge*]" -H 192.168.0.38:19999 -f com.youdog.rusty.tinyDormant

Objection is a runtime mobile exploration toolkit powered by Frida to assess the security posture of mobile applications without needing to write scripts .

pip3 install objection

objection device_type Get information about an attached device
objection explore Start the objection exploration REPL
objection explore --startup-command 'ios jailbreak simulate'
objection explore --startup-command 'ios jailbreak disable'
Early Instrumentation

ls
env This will print out the locations of the applications Library, Caches and Documents directories
!<shell command> Run OS command
file download <remote path> [<local path>]
file upload <local path> [<remote path>]
Upload/Download
file cat <file> View file
memory dump all <local destination> memory dump from_base <base_address> <size_to_dump> <local_destination>
Dump all memory/Dump part
memory list modules List loaded modules in memory
memory list exports <module_name> Exports of a loaded module
memory search "<pattern eg: 41 41 41 ?? 41>" (--string) (--offsets-only)
memory write "<address>" "<pattern eg: 41 41 41 41>" (--string)
Search/Write
sqlite connect pewpew.sqlite Query the sqlite database
sqlite execute schema Have a look at the table structure
sqlite execute query select * from data;
Execute any query
import <local path frida-script> Import frida script
jobs list List running scripts/jobs
jobs kill <job id> Kill script/job
ios plist cat credentials.plist Read plist file
ios info binary Inspect binary info
ios sslpinning disable --quiet Disable SSL pinning
ios jailbreak simulate Simulate a jailbroken environment to understand how an application behaves
ios jailbreak disable Jailbreak detection bypass
ios nsuserdefaults get Dump NSUserDefaults
ios nsurlcredentialstorage dump Dump NSURLCredentialStorage
ios keychain dump Dump app keychain
ios cookies get Get secure flags and sensitive data stored in cookies
ios monitor crypto monitor Hooks CommonCrypto to output information about cryptographic operation
ios ui dump Dump UI hierarchy
ios ui alert "<message>" Show alert

env Local app paths
ios bundles list_bundles List bundles of the application
ios bundles list_frameworks List external frameworks used by the application
ios hooking list classes List classes of the app
ios hooking search classes <str> Search a class that contains a string
ios hooking list class_methods List methods of a specific class
ios hooking search methods <str> Search a method that contains a string
ios hooking watch class <class_name>
Hook all the methods of a class, dump all the initial parameters and returns
ios hooking watch method "-[<class_name> <method_name>]" --dump-args --dump-return --dump-backtrace
Hook an specific method of a class dumping the parameters, backtraces and returns
ios hooking set return_value "-[<class_name> <method_name>]" false
This will make the selected method return the indicated boolean
ios hooking generate simple <class_name>
Generate hooking template.

r2 frida://device-id/Snapchat Attach to a running app using the display name.
r2 frida://attach/usb//Gadget Attach to the Frida Gadget

r2 frida://device-id//com.snapchat.android Spawn an app using two // and the package name.
r2 frida://spawn/usb/device-id/com.android.app Or explicitly using the word spawn
r2 frida://spawn/usb//com.android.app Or without entering the device-id

=!? Get the list of commands

=!?~^i :
i Show target information
ii[*] List imports
il List libraries
is[*] <lib> List symbols of lib (local and global ones)
iE[*] <lib> Same as is, but only for the export global ones
iEa[*] (<lib>) <sym> Show address of export symbol
isa[*] (<lib>) <sym> Show address of symbol
ic <class> List Objective-C classes or methods of <class>
ip <protocol> List Objective-C protocols or methods of <protocol>
=!i Shows target information
=!i* Shows target information in r2 form
.=!i* Radare2 imports all the dynamic binary data from Frida. Eg: which architecture, endianness, pointer size, etc...
.=!iE* Radare2 imports all the dynamic export data from Frida for all the dynamic libraries.
.=!iE* <lib> Radare2 imports all the dynamic export data from Frida for only one specific library.
.=!ii* Radare2 imports all the dynamic import data from Frida.
=!ii <lib> List imports. Commonly used with the symbol ~ , which is the internal grep of r2 .
=!ii* <lib> List imports in r2 form.
=!il List libraries. Commonly used with the symbol ~ , which is the internal grep of r2.
=!iE <lib> List exports of library(ies)
=!iEa (<lib>) <sym> Show address of export symbol
=!iEa* (<lib>) <sym> Show address of export symbol in r2 format
=!isa[*] (<lib>) <sym> Show address of symbol
=!ic List classes
=!/ keyword Search hex/string pattern in memory ranges (see search.in=?)

> =!?~^/ :
/[x][j] <string|hexpairs> Search hex/string pattern in memory ranges (see search.in=?)
/w[j] string Search wide string
/v[1248][j] value Search for a value honoring e cfg.bigendian of given width

> =!?~^d :
db (<addr>|<sym>) List or place breakpoint
db- (<addr>|<sym>)|* Remove breakpoint(s)
dc Continue breakpoints or resume a spawned process
dd[-][fd] ([newfd]) List, dup2 or close filedescriptors
dm[.|j|*] Show memory regions
dma <size> Allocate bytes on the heap, address is returned
dmas <string> Allocate a string inited with on the heap
dmad <addr> <size> Allocate bytes on the heap, copy contents from
dmal List live heap allocations created with dma[s]
dma- (<addr>...) Kill the allocations at (or all of them without param)
dmp <addr> <size> <perms> Change page at

e[?] [a[=b]] List/get/set config evaluable vars

[0x00000000] > = ! e
e patch.code=true
e search.in=perm:r--
e search.quiet=false
e stalker.event=compile
e stalker.timeout=300
e stalker.in=raw  

=!. script.js
=!ic List iOS classes

More info: https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06c-reverse-engineering-and-tampering#tampering-and-runtime-instrumentation

Frida GUI.

Frida GUI.

Frida GUI. https://github.com/FuzzySecurity/Fermion

Plus d'informations:
https://frida.re/docs/examples/ios/
https://frida.re/docs/frida-trace/
https://frida.re/docs/examples/ios/
https://github.com/sensepost/objection/wiki/Using-objection
Apple's Entitlements Troubleshooting – https://developer.apple.com/library/content/technotes/tn2415/_index.html
Apple's Code Signing – https://developer.apple.com/support/code-signing/
Cycript Manual – http://www.cycript.org/manual/
Frida iOS Tutorial – https://www.frida.re/docs/ios/
Frida iOS Examples – https://www.frida.re/docs/examples/ios/
r2frida Wiki – https://github.com/enovella/r2frida-wiki/blob/master/README.md
Charlie Miller, Dino Dai Zovi. The iOS Hacker's Handbook. Wiley, 2012 – https://www.wiley.com/en-us/iOS+Hacker's+Handbook-p-9781118204122
Jonathan Levin. Mac OS X and iOS Internals: To the Apple's Core. Wiley, 2013 – http://newosxbook.com/MOXiI.pdf

Install SSL Kill Switch 2 from https://github.com/nabla-c0d3/ssl-kill-switch2/releases/

Open your settings and enable SSL Kill Switch 2

1. Run Charles on PC.

2. Install Charles Root Certificate on iOS device:

The following window will appear:

3. In the network settings of the iOS device specify the IP and port of Charles Proxy:

Depending on your network architecture the IP address Charles is running on may differ.

4. Open the browser on the iOS device and follow the link — http://chls.pro/ssl

5. Install Charles SSL certificate on the device:

6. Enable SSL Proxying

7. Start SSL Proxying:

Since all binary files inside an .ipa are encrypted with AES and being decrypted with a private key by Secure Enclave Processor at the runtime there is a few ways to decrypt it:

If you don't have Node.js:

brew install nvm
nvm install node

To dump decrypted ipa using bagbak utility install it on desktop:

sudo npm install -g bagbak

Then download your application from the App Store and dump:

bagbak <bundle id or name> --uuid <uuid> --output <output>

There are several ways to run the hardware AES engine:

• Patch iBoot to jump to aes_crypto_cmd

• Use OpenIBoot

• Use XPwn with a kernel patch

• Use Greenpois0n console:

  ideviceenterrecovery
irecovery --shell
go aes dec <file>

• Use ipwndfu

• Use checkra1n

Run checkra1n with -p to run into pongoOS (https://github.com/checkra1n/pongoOS) and use the aes command over USB

If you want to disassemble an application from the App Store, remove the FairPlay DRM first.

After decrypting .ipa file open app binary in disassembler like IDA Pro .

In this section the term "app binary" refers to the Macho-O file in the application bundle which contains the compiled code, and should not be confused with the application bundle - the IPA file.

• MachOViewer (Homepage)

• Hex Fiend (Homepage)
• 0xED (Homepage)
• Synalyze It! (Homepage)

• Hopper (Homepage)
• IDA (Homepage)
• otool (man page)
• otx (Homepage)

• Hopper (Homepage)
• Hex-Rays (Homepage)
• classdump (Homepage)
• codedump (i386) (Source ZIP)

• GDB (Not shipped on OS X anymore) (Homepage)
• LLDB (Homepage - man page)
• PonyDebugger (link)

• Bit Slicer (Homepage - Source)

• nm (man page)
• strings (man page)
• dsymutil (man page)
• install_name_tool (man page)
• ld (man page)
• lipo (man page)
• codesign (man page)
• hexdump (man page)
• dyld_shared_cache (link)
• vbindiff (link)
• binwalk (link)
• xpwntool (link)
• objdump (link)

If you have a license for IDA Pro, you can analyze the app binary using IDA Pro as well.

To get started, simply open the app binary in IDA Pro.

Upon opening the file, IDA Pro will perform auto-analysis, which can take a while depending on the size of the binary. Once the auto-analysis is completed you can browse the disassembly in the IDA View (Disassembly) window and explore functions in the Functions window, both shown in the screenshot below.

https://github.com/ChiChou/IDA-ObjCExplorer/blob/master/ObjCExplore.py – Obj-C Classes Explorer for IDA Pro. Just press Ctrl + Shift + E .

https://github.com/avast/retdec-idaplugin – RetDec decompiler for IDA Pro. Just press Ctrl + D .

https://github.com/zynamics/objc-helper-plugin-ida – zynamics Objective-C helper script.

https://github.com/techbliss/Frida_For_Ida_Pro – Connect frida.

https://github.com/vadimszzz/idapython/blob/master/cortex_m_firmware.py – IDA Python module for loading ARM Cortex M firmware.

https://github.com/saelo/ida_scripts/blob/master/kernelcache.py – Identify and rename function stubs in an iOS kernelcache.

https://github.com/luismiras/IDA-iOS-scripts/blob/master/find_iOS_syscalls.py – Find iOS syscalls.

https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/listAllKEXT.py – List all Kexts.

https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/findSyscallTable.py – This script searches the iOS syscall table within the iOS kernelcache.

https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/fixupSysctlSet.py – This script ensures that all sysctl_oid structures referenced by the sysctl_set segment are marked correctly.

https://github.com/bazad/ida_kernelcache – An IDA Toolkit for analyzing iOS kernelcaches.

You can use class-dump to get information about methods in the application's source code.

Note the architectures: armv7 (which is 32-bit) and arm64 . This design of a fat binary allows an application to be deployed on all devices. To analyze the application with class-dump, we must create a so-called thin binary, which contains one architecture only:

 iOS8-jailbreak:~ root# lipo -thin armv7 DamnVulnerableIOSApp -output DVIA32  

And then we can proceed to performing class-dump:

iOS8-jailbreak: ~ root# class-dump DVIA32

@interface FlurryUtil : ./DVIA/DVIA/DamnVulnerableIOSApp/DamnVulnerableIOSApp/YapDatabase/Extensions/Views/Internal/
{
}
+ (BOOL)appIsCracked ;
+ (BOOL)deviceIsJailbroken ;  

Note the plus sign, which means that this is a class method that returns a BOOL type. A minus sign would mean that this is an instance method. Refer to later sections to understand the practical difference between these.

Strings are always a good starting point while analyzing a binary, as they provide context to the associated code. For instance, an error log string such as "Cryptogram generation failed" gives us a hint that the adjoining code might be responsible for the generation of a cryptogram.

In order to extract strings from an iOS binary, you can use GUI tools such as Ghidra or Cutter or rely on CLI-based tools such as the strings Unix utility strings <path_to_binary> or radare2's rabin2 rabin2 -zz <path_to_binary> . When using the CLI-based ones you can take advantage of other tools such as grep (eg in conjunction with regular expressions) to further filter and analyze the results.

nm

 nm libprogressbar.a | less

rabin2

 rabin2 -s file

radare2

 is~FUNC

Check URLs:

 strings <binary inside app bundle>  | grep -E 'session|https'
strings <binary inside app bundle>  | grep -E 'pinning'
rabin2 -qz <binary inside app bundle>                                   // in Data Section
rabin2 -qzz <binary inside app bundle>                                  // ALL strings in binary

jtool -dA __TEXT.__cstring c_playground
Dumping C-Strings from address 0x100000f7c (Segment: __TEXT.__cstring)..
Address : 0x100000f7c = Offset 0xf7c
0x100000f7c: and we have a winner @ %ldr
0x100000f98: and that's a wrap folks!r

IDA Pro can be used for obtaining cross references by right clicking the desired function and selecting Show xrefs .

• General purpose registers 0 through 30 with two addressing modes:
  • w0 = 32-bit
  • x0 = 64-bit
• Zero register wzr or xzr . Write to = discard, read from = 0 .
• Stack pointer sp - unlike other instruction sets, never modified implicitly (eg no push / pop ).
• Instruction pointer pc , not modifiable directly.
• A lot of float, vector and system registers, look up as needed.
• First register in assembly is usually destination, rest are source (except for str ).

• mov to copy one register to another, eg mov x0, x1 -> x0 = x1 .
• Constant 0 loaded from wzr / xzr .
• Small constants usually OR'ed with zero register, eg orr x0, xzr, 5 .
• Big constants usually loaded with movz + movk , eg:

   movz x0 , 0x1234 , lsl 32
  movk x0 , 0x5678 , lsl 16
  movk x0 , 0x9abc

  -> x0 = 0x123456789abc .
• movn for negative values, eg movn x0, 1 -> x0 = -1 .
• lsl and lsr instructions = logic-shift-left and logic-shift-right, eg lsl x0, x0, 8 -> x0 <<= 8 .
  • lsl and lsr not only used as instructions, but also as operands to other instructions (see movz above).
  • asl for arithmetic shift also exists, but less frequently used.
• Lots of arithmetic, logic and bitwise instructions, look up as needed.

• ldr and str with multiple variations and addressing modes:
  • ldr x0, [x1] -> x0 = *x1
  • str x0, [x1] -> *x1 = x0
  • ldr x0, [x1, 0x10] -> x0 = *(x1 + 0x10)
  • ldp / stp to load/store two registers at once behind each other, eg:
    stp x0, x1, [x2] -> *x2 = x0; *(x2 + 8) = x1;
  • Multiple variations for load/store size:
    • Register names xN for 64-bit, wN for 32-bit
    • ldrh / srth for 16-bit
    • ldrb / strb for 8-bit
  • Multiple variations for sign-extending registers smaller than 64-bit:
    • ldrsw x0, [x1] -> load 32-bit int, sign extend to 64-bit
    • ldrsh x0, [x1] -> load 16-bit int, sign extend to 64-bit
    • ldrsb x0, [x1] -> load 8-bit int, sign extend to 64-bit
    • (No equivalent str instructions)
• Three register addressing modes:
  • Normal: ldr x0, [x1, 0x10]
  • Pre-indexing: ldr x0, [x1, 0x10]! (notice the ! ) -> x1 += 0x10; x0 = *x1;
  • Post-indexing: ldr x0, [x1], 0x10 -> x0 = *x1; x1 += 0x10;
• Memory addresses usually computed by PC-relative instructions:
  • adr x0, 0x12345 (only works for small offset from PC)
  • Bigger ranges use adrp + add :

     adrp x0 , 0xffffff8012345000 ; "address of page", last 12 bits are always zero
    add x0 , x0 , 0x678

  • Even bigger ranges usually stored as pointers in data segment, offset by linker and loaded with ldr .

Note: Only dealing with integral types here. The rules change when floating-point is involved.

• x0 - x7 first 8 arguments, rest on the stack (low address to high) with natural alignment (as if they were members of a struct)
• x8 pointer to where to write the return value if >128 bits, otherwise scratch register
• x9 - x17 scratch registers
• x18 platform register (reserved, periodically zeroed by XNU)
• x19 - x28 callee-saved
• x29 frame pointer (basically also just callee-saved)
• x30 return address
• Functions that save anything in x19 - x28 usually start like this:

   stp x24 , x23 , [ sp , - 0x40 ] !
  stp x22 , x21 , [ sp , 0x10 ]
  stp x20 , x19 , [ sp , 0x20 ]
  stp x29 , x30 , [ sp , 0x30 ]
  add x29 , sp , 0x30

  and end like this:

   ldp x29 , x30 , [ sp , 0x30 ]
  ldp x20 , x19 , [ sp , 0x20 ]
  ldp x22 , x21 , [ sp , 0x10 ]
  ldp x24 , x23 , [ sp ], 0x40
  ret

  The stack for local variables is usually managed separately though, with add sp, sp, 0x... and sub sp, sp, 0x... .
• Variadic arguments are passed on the stack (low address to high), each promoted to 8 bytes. Structs that don't fit into 8 bytes have a pointer passed instead.
  Fixed arguments that don't fit into x0 - x7 come before variadic arguments on the stack, naturally aligned.
• The return value is passed as follows:
  • If it fits into 64 bits, in x0 .
  • If it fits into 128 bits, the first/lower half in x0 , the second/upper half in x1 .
  • If it is larger than 128 bits, the caller passes a pointer in x8 to where the result is written.

• System register nzcv holds condition flags (Negative, Zero, Carry, oVerflow).
  Set by one instruction and acted upon by a subsequent one, the latter using condition codes.
  (Could be accessed as normal system register, but usually isn't.)
• Some instructions use condition codes as suffixes ( instr.cond ), others as source operands ( instr ..., cond ). List of condition codes:
  • eq / ne = equal/not equal
  • lt / le / gt / ge = less than/less or equal/greater than/greater or equal (signed)
  • lo / ls / hi / hs = lower/lower or same/higher/higher or same (unsigned)
  • A few more weird flags, seldom used.
  • Unlike many other instruction sets, arm64 sets carry on no-borrow rather than borrow.
    Thus, cs / cc = carry set/carry clear are aliases of hs / lo .
• cmp = most common/basic compare instruction, sets condition flags. Examples:

   cmp x0 , x1
  cmp x0 , 3

• Other instructions that set condition flags:
  • cmn = compare negative
  • tst = bitwise test
  • adds / adcs = add/add with carry
  • subs / sbcs = subtract/subtract with carry
  • negs / ngcs = negate/negate with carry
  • Some more bitwise and float instructions.
• Some instructions that act on condition flags:
  • cset = conditional set, eg:

     cmp x0 , 3
    cset x0 , lo

    -> x0 = (x0 < 3)
  • csel = conditional select, eg:

     cmp x0 , 3
    csel x0 , x1 , x2 , lo

    -> x0 = (x0 < 3) ? x1 : x2
    (Translates nicely to ternary conditional.)
  • ccmp = conditional compare, eg:

     cmp x0 , 3
    ccmp x0 , 7 , 2 , hs
    b.hi 0xffffff8012345678

    -> hi condition will be true if x0 < 3 || x0 > 7 (third ccmp operand is raw nzcv data).
    Often generated by compiler for logical and/or of two conditions.
  • Many, many more.

• b = simple branch, jump to PC-relative address.
  Can be unconditional:

   b 0xffffff8012345678

  or conditional:

   cmp x0 , 3
  b.lo 0xffffff8012345678 ; jump to 0xffffff8012345678 if x < 3

  Used primarily within function for flow control.
• Shortcuts cbz / cbnz = compare-branch-zero and compare-branch-non-zero.
  Just shorter ways to write

   cmp xN , 0
  b.eq 0x...

  ou

   cmp xN , 0
  b.ne 0x...

  (Translate nicely to C if(x) or if(!x) .)
• Shortcuts tbz / tbnz = test single bit and branch if zero/non-zero.
  Eg tbz x0, 3, ... translates to if((x0 & (1 << 3)) == 0) goto ... .
• bl = branch-and-link (eg bl 0xffffff8012345678 )
  Store return address to x30 and jump to PC-relative address. Used for static function calls.
• blr = branch-and-link to register (eg blr x8 )
  Store return address to x30 and jump to address in x8 . Used for calls with function pointers or C++ virtual methods.
• br = branch to register (eg br x8 )
  Jump to address in x8 . Used for tail calls.
• ret = return to address in register, default: x30
  Can in theory use registers other than x30 (eg ret x8 ), but compiler doesn't usually generate that.

• nop = do nothing
• svc = make a system call using an immediate value (eg svc 0x80 ). Note that the immediate value is separate from the syscall number. XNU ignores the immediate and expects the syscall number in x16 .
• . = special symbol that refers to the address of the instruction it is used in (eg adr x0, . )

1. Install the following prerequisites:

   • Homebrew
   • Xcode is mandatory. The Command Line Tools package isn't sufficient for Theos to work. Xcode includes toolchains for all Apple platforms.

    brew install ldid xz
   

2. Set up the THEOS environment variable:

    echo "export THEOS=~/theos" >> ~/.zshrc
    source ~/.zshrc
   

3. Clone Theos:

    git clone --recursive https://github.com/theos/theos.git $THEOS
   

4. Get the toolchain:

   Xcode contains the toolchain.

5. Get an iOS SDK:

   Xcode always provides the latest iOS SDK, but as of Xcode 7.3, it no longer includes private frameworks you can link against. This may be an issue when developing tweaks. You can get patched SDKs from our SDKs repo.

    curl -LO https://github.com/theos/sdks/archive/master.zip
    TMP=$(mktemp -d)
    unzip master.zip -d $TMP
    mv $TMP/sdks-master/*.sdk $THEOS/sdks
    rm -r master.zip $TMP
   

Logos is a Perl regex-based preprocessor that simplifies the boilerplate code needed to create hooks for Objective-C methods and C functions with an elegant Objective-C-like syntax. It's most commonly used along with the Theos build system, which was originally developed to create jailbreak tweaks. Logos was once integrated in the same Git repo as Theos, but now has been decoupled from Theos to its own repo.

Logos aims to provide an interface for Cydia Substrate by default, but can be configured to directly use the Objective-C runtime.

Logos is a component of the Theos development suite.

 %hookf(return type, functionName, arguments list...) {
	/* body */
}

Generate a function hook for the function named functionName . Set functionName in %init to an expression if the symbol should be dynamically looked up.

Exemple:

 // Given the function prototype (only add it yourself if it's not declared in an included/imported header)

FILE *fopen(const char *path, const char *mode);

// The hook is thus made
%hookf(FILE *, fopen, const char *path, const char *mode) {
	puts("Hey, we're hooking fopen to deny relative paths!");
	if (path[0] != '/') {
		return NULL;
	}
	return %orig; // Call the original implementation of this function
}

// functions can also be looked up at runtime, if, for example, the function is in a private framework
%hookf(BOOL, MGGetBoolAnswer, CFStringRef string) {
	if (CFEqual(string, CFSTR("StarkCapability"))) {
		return YES;
	}
	return %orig;
}
%ctor() {
	%init(MGGetBoolAnswer = MSFindSymbol(NULL, "_MGGetBoolAnswer"));
}

 %ctor {
	/* body */
}

Generate an anonymous constructor (of default priority). This function is executed after the binary is loaded into memory. argc , argv , and envp are implicit arguments so they can be used as they would be in a main function.

 %dtor {
	/* body */
}

Generate an anonymous deconstructor (of default priority). This function is executed before the binary is unloaded from memory. argc , argv , and envp are implicit arguments so they can be used as they would be in a main function.

The directives in this category open a block of code which must be closed by an %end directive (shown below). These should not exist within functions or methods.

 %group GroupName
/* %hooks */
%end

Generate a hook group with the name GroupName . Groups can be used for conditional initialization or code organization. All ungrouped hooks are in the default group, initializable via %init without arguments.

Cannot be inside another %group block.

Grouping can be used to manage backwards compatibility with older code.

Exemple:

 %group iOS8
%hook IOS8_SPECIFIC_CLASS
	// your code here
%end // end hook
%end // end group ios8

%group iOS9
%hook IOS9_SPECIFIC_CLASS
	// your code here
%end // end hook
%end // end group ios9

%ctor {
	if (kCFCoreFoundationVersionNumber > 1200) {
		%init(iOS9);
	} else {
		%init(iOS8);
	}
}

 %hook ClassName
/* objc methods */
%end

Open a hook block for the class named ClassName .

Can be inside a %group block.

Exemple:

 %hook SBApplicationController
- (void)uninstallApplication:(SBApplication *)application {
	NSLog(@"Hey, we're hooking uninstallApplication:!");
	%orig; // Call the original implementation of this method
}
%end

 %new
/* objc method */
%new(signature)
/* objc method */

Add a new method to a hooked class or subclass by adding this directive above the method definition. signature is the Objective-C type encoding for the new method; if it is omitted, one will be generated.

Must be inside a %hook or %subclass block.

Exemple:

 %new
- (void)handleTapGesture:(UITapGestureRecognizer *)gestureRecognizer {
	NSLog(@"Recieved tap: %@", gestureRecognizer);
}

 %subclass ClassName: Superclass <Protocol list>
/* %properties and methods */
%end

Generate a subclass at runtime. Like @property in normal Objective-C classes, you can use %property to add properties to the subclass. The %new specifier is needed for a method that doesn't exist in the superclass. To instantiate an object of the new class, you can use the %c operator.

Can be inside a %group block.

Exemple:

 // An interface is required to be able to call methods of the runtime subclass using block syntax.
@interface MyObject : NSObject
@property (nonatomic, retain) NSString * someValue;
@end

%subclass MyObject : NSObject

%property (nonatomic, retain) NSString * someValue;

- (instancetype)init {
	if ((self = %orig)) {
		[self setSomeValue:@"value"];
	}
	return self;
}

%end

%ctor {
	// The runtime subclass cannot be linked at compile time so you have to use %c().
	MyObject *myObject = [[%c(MyObject) alloc] init];
	NSLog(@"myObject: %@", [myObject someValue]);
}

 %property (nonatomic|assign|retain|copy|weak|strong|getter=...|setter=...) Type name;

Add a property to a %subclass just like you would with @property to a normal Objective-C subclass as well as adding new properties to existing classes within %hook.

Must be inside a %hook or %subclass block.

 %end

Close a %group, %hook or %subclass block.

The directives in this category should only exist within a function or method body.

 %init;
%init([<ClassName>=<expr>, …]);
%init(GroupName[, [+|-]<ClassName>=<expr>, …]);

Initialize a group's method and function hooks. Passing no group name will initialize the default group. Passing ClassName=expr arguments will substitute the given expressions for those classes at initialization time. The + sigil (as in class methods in Objective-C) can be prepended to the classname to substitute an expression for the metaclass. If not specified, the sigil defaults to - , to substitute the class itself. If not specified, the metaclass is derived from the class.

The class name replacement is specially useful for classes that contain characters that can't be used as the class name token for the %hook directive, such as spaces and dots.

Exemple:

 %hook ClassName
- (id)init {
	return %orig;
}
%end

%ctor {
	%init(ClassName=objc_getClass("SwiftApp.ClassName"));
}

 %c([+|-]ClassName)

Evaluates to ClassName at runtime. If the + sigil is specified, it evaluates to MetaClass instead of Class. If not specified, the sigil defaults to - , evaluating to Class.

 %orig
%orig(args, …)

Call the original hooked function or method. Doesn't work in a %new'd method. Works in subclasses, strangely enough, because MobileSubstrate will generate a super-call closure at hook time. (If the hooked method doesn't exist in the class we're hooking, it creates a stub that just calls the superclass implementation.) args is passed to the original function - don't include self and _cmd , Logos does this for you.

Exemple:

 %hook ClassName
- (int)add:(int)a to:(int)b {
	if (a != 0) {
		// Return original result if `a` is not 0
		return %orig;
	}
	// Otherwise, use 1 as `a`
	return %orig(1, b);
}
%end

 &%orig

Get a pointer to the original function or method. Return type is void (*)(id, SEL[, arg types])

Exemple:

 // Call from outside hooked method:
void (*orig_ClassName_start)(id, SEL) = nil;

void doStuff(id self, SEL _cmd) {
	if (self && orig_ClassName_start) {
		orig_ClassName_start(self, _cmd);
	}
}

%hook ClassName
- (void)start {
	%orig;
	orig_ClassName_start = &%orig;
	dispatch_after(dispatch_time(DISPATCH_TIME_NOW, 1 * NSEC_PER_SEC),
		dispatch_get_main_queue(), ^{
			doStuff(self, _cmd);
	});
}
%end

// Call with another object:
%hook ClassName
- (int)add:(int)a to:(int)b {
	int (*_orig)(id, SEL, int, int) = &%orig;
	ClassName * myObject = [ClassName new];
	int r = _orig(myObject, _cmd, 1, 2);
	[myObject release];
	return r;
}
%end

Real world example at PreferenceLoader

 %log;
%log([(<type>)<expr>, …]);

Dump the method arguments to syslog. Typed arguments included in %log will be logged as well.

You can use logify.pl to create a Logos source file from a header file that will log all of the functions of that header file. Here is an example of a very simple Logos tweak generated by logify.pl.

Given a header file named SSDownloadAsset.h :

 @interface SSDownloadAsset : NSObject
- (NSString *)finalizedPath;
- (NSString *)downloadPath;
- (NSString *)downloadFileName;
+ (id)assetWithURL:(id)url type:(int)type;
- (id)initWithURLRequest:(id)urlrequest type:(int)type;
- (id)initWithURLRequest:(id)urlrequest;
- (id)_initWithDownloadMetadata:(id)downloadMetadata type:(id)type;
@end

You can find logify.pl at $THEOS/bin/logify.pl and you would use it as so:

 $THEOS/bin/logify.pl ./SSDownloadAsset.h

The resulting output should be:

 %hook SSDownloadAsset
- (NSString *)finalizedPath { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
- (NSString *)downloadPath { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
- (NSString *)downloadFileName { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
+ (id)assetWithURL:(id)url type:(int)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)initWithURLRequest:(id)urlrequest type:(int)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)initWithURLRequest:(id)urlrequest { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)_initWithDownloadMetadata:(id)downloadMetadata type:(id)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
%end

xi or xmi files enable Logos directives to be used in preprocessor macros, such as #define . You can also import other Logos source files with the #include statement. However, this is discouraged, since this leads to longer build times recompiling code that hasn't changed. Separating into x and xm files, sharing variables and functions via extern declarations, is recommended.

These file extensions control how a build system such as Theos should build a Logos file. Logos itself does not take the file extension into account and works regardless of whether a file is Objective-C or Objective-C++.

https://theos.dev/docs/
https://cydia.saurik.com/faq/developing.html
http://www.cydiasubstrate.com/id/7cee77bc-c4a5-4b8b-b6ef-36e7dd039692/
http://www.cydiasubstrate.com/inject/
https://iphonedev.wiki/index.php/Cydia_Substrate
https://cwcaude.github.io/project/tutorial/2020/07/02/iOS-tweak-dev-1.html
https://cwcaude.github.io/project/tutorial/2020/07/04/iOS-tweak-dev-2.html
https://cwcaude.github.io/project/tutorial/2020/07/12/iOS-tweak-dev-3.html
https://cwcaude.github.io/project/tutorial/2020/07/16/iOS-tweak-dev-4.html