iOS Internals and Security Testing

• iOSプラットフォームの概要
  • ファイルシステム
    • UNIXシステムディレクトリ
    • OS X/iOS特異的ディレクトリ
    • iOSファイルシステムの特徴
  • アプリケーション
    • IPAファイル（iOS App Storeパッケージ）
    • IPAファイルの内容
    • iOSファイルシステムのアプリケーションデータ
  • アップルプリスト
  • 特権分離とサンドボックス
  • データ保護
  • アプリ機能
  • デバイス機能
  • 資格
  • アプリケーションセキュリティ機能、Apple FairPlay DRM
  • セキュアエンクレーブプロセッサ
  • AESキー
    • GIDキー
    • UIDキー
    • 派生キー
  • Objective-Cの基本
    • メッセージ交換
    • メソッド宣言
  • iOSフレームワーク
  • iOSネットワークフレームワーク
  • iOSプライベートフレームワーク
• ツールの概要
  • 脱獄する方法
  • Cydiaパッケージをインストールする方法
  • アクセスデバイス
    • libimobiledevice
    • iDeviceInstaller
    • リビレクサン
    • idevicerestore
    • libusbmuxd
  • アクセスファイルシステム
  • アクセスコマンドライン
  • 永続的なデータ
  • アプリケーションレイアウトなどを表示します
• 実行時にアプリケーションを分析します
  • フリーダ
  • フリーダの基本
  • フリダの - 平均旗
  • Frida Intercepter
  • フリーダトレース
  • 抗フリダチェックをバイパスします
  • 異議
  • R2frida
  • グレープフルーツ（パッションフルーツ）
  • 小人
  • フェルミオン
• アプリケーションネットワークトラフィックを分析します
  • SSLピン留めを無効にします
  • チャールズプロキシとの傍受
• .ipaファイルを復号化します
  • Appleモバイルデバイス - ダンプ
  • Appleモバイルデバイスの有無にかかわらず - ハードウェアAESの復号化を実行します
• アプリケーションのバイナリを分析します
  • ツール
    • MACH-Oバイナリアナライザー：
    • ヘックスエディター
    • 分解者
    • 逆コンパイラ
    • デバッガー
    • メモリエディター
    • さまざまなコマンドラインツール
  • IDA Proとの分解
  • iOSおよびMACH-O用のIDA Proプラグイン
    • kernelcache分析
    • メソッドに関する情報を取得します
    • シンボルと文字列を取得します
    • 相互参照
• ARM64アセンブリ
  • レジスタ
  • 登録操作
  • メモリ
  • 電話会議
  • 条件
  • 枝
  • その他
• iOSの調整開発
  • テオス
  • ロゴ
    • ％ctor
    • ％dtor
  • ブロックレベル
    • ％グループ
    • ％フック
    • ％新しい
    • ％サブクラス
    • ％財産
    • ％終わり
  • 関数レベル
    • ％init
    • ％c
    • ％orig
    • ％ログ
  • logify.pl
  • ロゴファイル拡張子

Conformant UNIXシステムとして、OS XはすべてのUNIXフレーバーで標準の有名なディレクトリと連携します。

• /bin：unixバイナリ。これは、一般的なUNIXコマンド（たとえば、LS、RM、MV、DF）が
• /SBIN：システムバイナリ。これらは、ファイルシステム管理、ネットワーク構成など、システム管理に使用されるバイナリです。
• /usr：ユーザーディレクトリ。これはユーザー向けではありませんが、サードパーティソフトウェアのWindowsのプログラムファイルに似ています。
• /usr：it bin、sbin、libに含まれています。 /usr/libは共有オブジェクトに使用されます（Windows dllsおよび windows system32を考えてください）。このディレクトリには、すべての標準Cヘッダーがあるinclude/ sub -directoryも含まれています。
• /etc：et cetera。システム構成ファイルのほとんどを含むディレクトリ。たとえば、パスワードファイル（/etc/passwd）。 OS Xでは、これは /プライベート /などへの象徴的なリンクです。
• /DEV：BSDデバイスファイル。これらは、システム上のハードウェアデバイス（文字およびブロックデバイス）を表す特別なファイルです。
• /TMP：一時ディレクトリ。システムの唯一のディレクトリは、WorldRyableの唯一のディレクトリです（許可：rwxrwxrwx）。 OS Xでは、これは /private /tmpへの象徴的なリンクです。
• /var：さまざまです。ログファイル、メールストア、印刷スプール、およびその他のデータのディレクトリ。 OS Xでは、これは /private /varへの象徴的なリンクです。

OS Xは、システムルートの下にあるUNIXツリーに独自の特別なディレクトリを追加します。

• /アプリケーション：システム内のすべてのアプリケーションのデフォルトベース。
• /開発者：Xcodeがインストールされている場合、すべての開発者ツールのデフォルトインストールポイント。
• /ライブラリ：システムアプリケーションのデータファイル、ヘルプ、ドキュメントなど。
• /ネットワーク：近隣ノードの発見とアクセスのための仮想ディレクトリ。
• /システム：システムファイルに使用。ライブラリサブディレクトリのみが含まれていますが、このディレクトリには、フレームワーク（/システム/ライブラリ/フレームワーク）、カーネルモジュール（/システム/ライブラリ/エクステンション）、フォントなど、システムのほぼすべての主要なコンポーネントが保持されます。
• /ユーザー：ユーザー用のホームディレクトリ。すべてのユーザーには、ここに作成された独自のディレクトリがあります。
• /ボリューム：取り外し可能なメディアおよびネットワークファイルシステムのマウントポイント。
• /コア：コアダンプのディレクトリ、有効にした場合。コアダンプは、プロセスがクラッシュするときに作成されます。Ulimit（1）コマンドが許可し、プロセスのコア仮想メモリイメージを含む場合。

ファイルシステムの観点から見ると、iOSはOS Xに非常に似ており、次の違いがあります。

• ファイルシステム（HFSX）はケースに敏感です（OS XのHFS+とは異なり、これはケース保存でありながら鈍感です）。ファイルシステムも部分的に暗号化されています。
• カーネルは、kernelcache（/system/library/caches/com.apple.kernelcaches）として、カーネル拡張機能ですでに包装されています。 OS Xカーネルキャッシュ（圧縮画像）とは異なり、iOSカーネルキャッシュは暗号化されたIMG3です。
• /アプリケーションは、/var/stash/アプリケーションへの象徴的なリンクである場合があります。これは、iOSではなく脱獄の特徴です。
• ユーザーはいませんが、a /user - これは /var /mobileへのシンボリックリンクです
• iOSが特定のシステムにさらにストレージを追加する方法がないため、ボリュームはありません（そしてそれを必要としません。
• /開発者は、Xcode内から「開発に使用」としてi-Deviceが選択されている場合にのみ入力されます。そのような場合、iOS SDKに含まれるdeveloperdiskimage.dmgがデバイスに取り付けられています。

.ipa拡張機能を備えたファイルは、拡張子を.zipおよび解凍することにより、非圧縮できます。

 /iTunesArtwork    
/iTunesArtwork@2x    
/iTunesMetadata.plist    
/WatchKitSupport/WK    
/META-INF    
/Payload/    
/Payload/<Application>.app/     
/Payload/<Application>.app/<Application> 	←	Apple FairPlay DRM Encrypted Executable
/Payload/<Application>.app/Info.plist 			A file that contains some of the application specific configurations
/Payload/<Application>.app/_CodeSignature/		Contains a plist file with a signature over all files in the bundle
/Payload/<Application>.app/Assets.car			Another zipped archive that contains assets (icons)
/Payload/<Application>.app/Frameworks/ 			Contains the app native libraries as .dylib or .framework files
/Payload/<Application>.app/PlugIns/ 			May contain app extensions as .appex files
/Payload/<Application>.app/Core Data			It is used to save permanent data for offline use and sync across iCloud devices
/Payload/<Application>.app/PkgInfo				An alternate way to specify the type and creator codes of your application or bundle
/Payload/<Application>.app/en.lproj, etc		Language packs that contains resources for those specific languages

 /var/containers/Bundle/Application/<UUID>		Bundle directory; tampering invalidates signature
/var/mobile/Containers/Data/<UUID> 				Application runtime data
/var/mobile/Containers/Data/<UUID>/Documents/	Contains all the user-generated data
/var/mobile/Containers/Data/<UUID>/Library/		Contains all files that aren't user-specific – caches, preferences, cookies, plist files
/var/mobile/Containers/Data/<UUID>/Library/Caches/
												Contains semi-persistent cached files
/var/mobile/Containers/Data/<UUID>/Library/Application Support/
												Contains persistent files necessary for running the app
/var/mobile/Containers/Data/<UUID>/Library/Preferences/<bundle id>.plist
												Properties that can persist after an application is restarted. Contains NSUserDefaults
/var/mobile/Containers/Data/<UUID>/tmp/			Temporary files that do not need to persist between app launches

プリストファイルは、辞書、リスト、数字、文字列などの基本的なオブジェクトタイプをサポートするキー値ペアを含む構造化されたXMLファイルです。通常、トップレベルのオブジェクトは辞書です。プリストは、バイナリまたはXMLまたはJSONファイルです。

標準情報。Plistには、次のエントリが含まれています。

• cfbundledevelopmentRegion：デフォルト言語ユーザー固有の言語が見つからない場合。
• cfbundledisplayname：このバンドルをユーザーに表示するために使用される名前。
• cfbundledocumentTypes：ドキュメントタイプこれは関連付けられます。これは辞書であり、値はこのバンドルが処理するファイル拡張子を指定しています。辞書は、関連するドキュメントに使用される表示アイコンも指定しています。
• cfbundleexecutable：このバンドルの実際の実行可能ファイル（バイナリまたはライブラリ）。内容/macosにあります。
• CFBUNDLEICONFILE：ファインダービューに示されているアイコン。
• cfbundleidentifier：逆DNSフォーム。
• cfbundlename：バンドルの名前（16文字に制限）。
• CFBUNDLEPACKAGETYPE：たとえば、Appl = Application、FRMW = Framework、bndl = bundleなど、4文字のコードを指定します。
• cfbundlesignature：バンドルの4文字の短い名前。
• cfbundleurltypes：urlsこのバンドルは関連付けられます。これは辞書であり、値はどのURLスキームを処理するか、どのように指定します。

plutil -convert xml1 binary_file.plist

plutil -convert xml1 data_file.json -o data_file.plist

https://docs.python.org/3/library/plistlib.html

アプリケーションユーザーはモバイルユーザーとしてアクセスでき、重要なシステムプロセスはルートとして実行されます。ただし、サンドボックスにより、プロセスとアプリケーションが実行できるアクションをより適切に制御できます。

たとえば、2つのプロセスが同じユーザー（モバイル）として実行されたとしても、互いのデータにアクセスまたは変更することは許可されていません。

各アプリケーションは/var/mobile/Applications/<UUID>の下にインストールされています。 UUIDはランダムです。インストールされると、アプリケーションは一部のシステム領域と機能（SMS、電話...）への読み取りアクセスが限られています。アプリケーションが保護エリアにアクセスしたい場合、許可を要求するポップアップが表示されます。

アプリ開発者は、iOSデータ保護APIを活用して、フラッシュメモリに保存されているユーザーデータのファイングレインアクセス制御を実装できます。 APIは、Secure Enclaveプロセッサ（SEP）の上に構築されています。 SEPは、データ保護と主要な管理のために暗号化操作を提供するコプロセッサです。デバイス固有のハードウェアキー -デバイスUID （一意のID）は安全なエンクレーブに埋め込まれており、オペレーティングシステムのカーネルが侵害された場合でもデータ保護の整合性を確保します。

ディスクにファイルが作成されると、安全なエンクレーブのハードウェアベースの乱数ジェネレーターの助けを借りて、新しい256ビットAESキーが生成されます。ファイルのコンテンツは、生成されたキーで暗号化されます。そして、このキーは、ファイルのメタデータ内に、システムのキーによって両方のデータが暗号化されたクラスIDとともに、クラスキーとともに暗号化された保存されます。

ファイルを復号化するために、メタデータはシステムのキーを使用して復号化されます。次に、クラスIDを使用して、クラスキーが取得され、ファイルごとのキーを復号化してファイルを復号化します。

ファイルは、iOSセキュリティガイドで詳細に説明されている4つの異なる保護クラスのいずれかに割り当てることができます。

各アプリには一意のホームディレクトリがあり、サンドボックス化されているため、システムまたは他のアプリによって保存されている保護されたシステムリソースまたはファイルにアクセスできません。これらの制限は、サンドボックスポリシー（別名プロファイル）を介して実装されます。これらは、カーネルエクステンションを介して信頼できるBSD（MAC）必須アクセス制御フレームワークによって実施されます。

一部の機能/許可は、アプリの開発者（データ保護またはキーチェーン共有など）で構成でき、インストール後に直接有効になります。ただし、他の場合は、アプリが保護されたリソースに初めてアクセスしようとするときに、ユーザーは明示的に尋ねられます。

目的文字列または使用法の説明文字列は、保護されたデータまたはリソースにアクセスする許可を要求する際に、システムの許可リクエストアラートでユーザーに提供されるカスタムテキストです。

元のソースコードを使用している場合、 Info.plistファイルに含まれるアクセス許可を確認できます。

• Xcodeでプロジェクトを開きます。
• デフォルトのエディターでInfo.plistファイルを見つけて開き、 "Privacy -"から始まるキーを検索します。

「生のキー/値を表示する」を右クリックして選択することにより、ビューを切り替えて生の値を表示できます（これにより、 "Privacy - Location When In Use Usage Description"がNSLocationWhenInUseUsageDescriptionに変わります）。

IPAのみを持っている場合：

• IPAを解凍します。
• Info.plistはPayload/<appname>.app/Info.plistにあります。
• 必要に応じて（例：iOS Basic Security Testing」という章で説明されているように、必要にplutil -convert xml1 Info.plistて変換します。
• あらゆる目的の文字列情報を検査します。PLISTキー、通常はUsageDescriptionで終わります。

 <plist version="1.0">
<dict>
	<key>NSLocationWhenInUseUsageDescription</key>
	<string>Your location is used to provide turn-by-turn directions to your destination.</string>

デバイス機能は、App Storeで使用され、互換性のあるデバイスのみがリストされているため、アプリをダウンロードできるようにします。それらは、下のアプリのInfo.plistファイルで指定されています[UIRequiredDeviceCapabilities](https://developer.apple.com/library/archive/documentation/General/Reference/InfoPlistKeyReference/Articles/iPhoneOSKeys.html#//apple_ref/doc/plist/info/UIRequiredDeviceCapabilities) 。

 <key>UIRequiredDeviceCapabilities</key>
<array>
	<string>armv7</string>
</array>

通常、ARMV7機能が見つかります。つまり、アプリはARMV7命令セットのみ、または32/64ビットユニバーサルアプリの場合にのみコンパイルされます。

たとえば、アプリはNFCに完全に依存して機能する場合があります（「NFCタグリーダー」アプリなど）。アーカイブされたiOSデバイスの互換性リファレンスによると、NFCはiPhone 7（およびiOS 11）でのみ利用可能です。開発者は、 nfcデバイス機能を設定することにより、すべての互換性のないデバイスを除外したい場合があります。

資格は、アプリにサインインされ、UNIXユーザーIDなどのランタイムファクターを超えた認証を可能にする重要な値ペアです。資格はデジタルで署名されているため、変更することはできません。資格は、システムアプリとDaemonsによって広範囲に使用され、それ以外の場合はルートとして実行するためにプロセスを必要とする特定の特権操作を実行します。これにより、妥協したシステムアプリまたはデーモンによる特権エスカレーションの可能性が大幅に減少します。

たとえば、「デフォルトのデータ保護」機能を設定する場合は、Xcodeの[機能]タブに移動し、データ保護を有効にする必要があります。これNSFileProtectionComplete 、 <appname>.entitlementsファイルへのxcodeによってcom.apple.developer.default-data-protection資格として直接記述されます。 IPAでは、これをembedded.mobileprovisionで見つけるかもしれません。mobileprovisionとして：

 <key>Entitlements</key>
<dict>
	...
	<key>com.apple.developer.default-data-protection</key>
	<string>NSFileProtectionComplete</string>
</dict>
  

HealthKitなどの他の機能については、ユーザーに許可を求める必要があるため、アプリのInfo.plistファイルに資格、特別なキー、文字列を追加するだけでは不十分です。

1. アプリケーションは、有料のApple開発者証明書と署名する必要があります。
2. アプリケーションバイナリは、Apple FairPlay DRMを使用して暗号化されます。 IPAにはDRMの形式が存在し、単一のApple IDへの再分配を制御します。後で削除する方法を確認します。
3. アプリケーションは、コード署名によって保護されています。
4. パッチされたアプリケーションは、ジェイルブローキン以外のデバイスにインストールすることはできません。
5. すべてのiOSアプリケーションは、独自のサンドボックスで実行されます。 iOS 8.3+の後、このサンドボックス化されたデータには、iOSデバイスを侵害せずにアクセスできません。
6. 別のアプリケーションに属するデータにアクセスできるアプリケーションはありません。 URLスキームなどのプロトコルハンドラーは、アプリケーション間のメッセージの通過にアプリケーション間通信を使用する唯一の方法です。データはキーチェーンに保存することもできます。
7. iOSデバイスで新しいファイルが作成されるたびに、開発者が指定したデータ保護クラスが割り当てられます。これにより、これらのファイルにアクセス制限を付けることができます。
8. アプリケーションは、カメラ、マップ、連絡先などのリソースにアクセスするために、ユーザーから許可を特に要求する必要があります。
9. iOSデバイス5S+には、Secure Enclaveと呼ばれるセキュアハードウェアコンポーネントがあります。これは、ARMのTrustZoneの高度に最適化されたバージョンであり、メインプロセッサが機密データに直接アクセスすることを防ぎます。

安全な飛び地は、データ保護、タッチID、フェイスIDに使用されるA7および新しいSOCの一部です。安全な飛び地の目的は、アプリケーションプロセッサによって処理されないほど敏感なバイオメトリクスなどのキーやその他の情報を処理することです。 APがアクセスできないため、ハードウェアフィルターで分離されています。 RAMをAPと共有していますが、RAMの部分 - TZ0は暗号化されています。 Secure Enclave自体は、Secure Enclave Processor（SEP）と呼ばれる点滅可能な4MB AKFプロセッサコアです。使用される技術は、ARMのTrustzone/Securcoreに似ていますが、Apple KFコア全般、特にSEPの独自のコードが含まれています。

各デバイスのSOCには、 GIDキーとUIDキーが組み込まれたAESコプロセッサがあります。

デバイスの一意のID（UID）とデバイスグループID（GID）は、製造中にアプリケーションプロセッサにAES 256ビットキー（UID）またはコンパイル（GID）です。ソフトウェアやファームウェアは直接読み取ることができません。それらを使用して実行された暗号化または復号化操作の結果のみを見ることができます。 UIDは各デバイスに固有のものであり、Appleまたはそのサプライヤーによって記録されていません。 GIDは、デバイスのクラス内のすべてのプロセッサに共通しており、インストールおよび復元中にシステムソフトウェアを配信する際に追加の保護として使用されます。これらのキーをシリコンに統合すると、AESエンジンの外側で改ざん、バイパス、またはアクセスできないようにすることができます。

GIDキー（グループIDキー）は、同じアプリケーションプロセッサを持つすべてのデバイスで共有される256ビットAESキーです。 GIDキーは、IOSがデバイス上のソフトウェアを暗号化する方法の一部です。これは、SHSH署名も含まれるiOSセキュリティシステムの1つのコンポーネントです。このキーは、各Apple SoCモデルで異なります。

GIDキーはこれまでどのデバイスからも抽出されていないため、それを使用する唯一の方法は、AESエンジン自体を通過することです。

• しかし

  GIDは、高価なコールドブート攻撃手順（https://en.m.wikipedia.org/wiki/cold_boot_attack）を通じて取得できます。このような実験は不当に高価で複雑であるため、民間の実験室のセルブライトを除いて、それを実装しようとすることは誰にも起こりませんでした。 Cellebriteはその研究を共有していません。

UIDキー（デバイスの一意のIDキー）は、各iPhoneに固有のAES 256ビットハードウェアキーです。

いくつかの派生キーは、ブートのIOAESACCELERATORカーネルサービスによって計算されます。これらのキーは、UIDキー（0x7D0識別子）またはGIDキー（0x3E8識別子）を使用して静的値を暗号化することによって生成されます。

キー0x835 - UID-Keyを使用して0x01010101010101010101010101010101暗号化することにより生成されます。データ保護に使用されます。

キー0x836 - 0x00E5A0E6526FAE66C5C1C6D4F16D6180 UID-Keyで暗号化することにより生成されます。これは、復元中にカーネルによって計算されますが、通常のブーツ中はゼロになります。また、Secure Bootloaderによって計算されており、その唯一の既知の使用は、NORでLLBを復号化することです。 0x835のように、それはデバイスごとに異なります。

キー0x837 - 0x345A2D6C5050D058780DA431F0710E15をS5L8900 GIDキーとともに暗号化することにより生成され、 0x188458A6D15034DFE386F23B61D43774 。 IMG2ファイルの暗号化キーとして使用されます。 iPhone OS 2.0にIMG3が導入されると、 0x837キーの代わりにKBagsが使用されます。 iPhone OSバージョン1.xはiPhoneおよびiPod Touchでのみ使用されていたため（両方ともS5L8900を使用）、他のプロセッサの暗号化された値は重要ではありません。

キー0x838 - 0x8C8318A27D7F030717D2B8FC5514F8E1 UID-KEYで暗号化して生成します。別のuid-aes-keyベースのキーは、nor（iboot、devicetree、pictures）のLLB以外のすべてを暗号化するために使用されます。

キー0x899 - 0xD1E8FCB53937BF8DEFC74CD1D0F1D4B0 UID-KEYで暗号化することにより生成されます。使用法は不明です。

キー0x89a - 0xDB1F5B33606C5F1C1934AA66589C0661をUID-Keyで暗号化して生成し、デバイス固有のキーを取得します。 A4デバイスで使用されます。デバイス上のSHSHブロブを暗号化するために使用されます。

キー0x89b - 0x183E99676BB03C546FA468F51C0CBD49 UID-Keyで暗号化することにより生成されます。データパーティションキーを暗号化するために使用されます。

キー0x8a3 - 0x568241656551e0cdf56ff84cc11a79efをUID-Key（AES-256-CBCを使用）と暗号化することにより生成されます。 A12のソフトウェアアップグレード中に使用され、後に「ジェネレーター」値（AES-128-CBCを使用）を暗号化する前に使用してから、非CEになります。

詳細：https：//css.csail.mit.edu/6.858/2020/readings/ios-security-may19.pdf
https://www.securitylab.ru/contest/428454.php
https://www.securitylab.ru/contest/429973.php

Objective-Cモジュールファイルには、「.m」拡張機能があります（C ++とObjective-Cの組み合わせが使用された場合、「.MM」拡張機能）。ヘッダーファイル - 「.h」。 Objective-Cで作成されたクラスのすべてのオブジェクトは、ヒープで割り当てる必要があります。したがって、任意のクラスのオブジェクトへのポインターであるIDタイプ（実際、void *）は、特別な重要性を獲得します。ヌルポインターは、定数nilと呼ばれます。したがって、任意のクラスへのポインターは、IDタイプにキャストできます。問題が発生します：IDに隠れているオブジェクトがどのクラスに属しているかを知る方法は？これは、ISA Invariantのおかげで行われます。これは、特別なベースクラスNSObjectを継承するクラスの任意のオブジェクトに存在しています（NSプレフィックスは次のステップを表します）。 ISA Invariantは、予約型クラスのものです。このタイプのオブジェクトを使用すると、独自の名前とベースクラス、クラスの不変剤のセット、およびこのオブジェクトが実装したすべての方法のプロトタイプとアドレス（セレクターのローカルリストを介して）を見つけることができます。 C以外のすべてのObjective-Cの予約単語は、 @Symbol（@Protocol、@Selector、@Interface）で始まります。通常、scopedクラスの不変品（@private、@protected）の名前はアンダースコアで始まります。文字列の場合、ココアには非常に便利なnsstringクラスがあります。このクラスの文字列定数は、 @"Hello World"として書かれており、通常のCストリング定数「Hello World」としてではありません。ブールタイプ（本質的に署名されていない文字）は、はい、いいえで一定の値を取ることができます。すべてのObjective-C固有の予約された単語（C言語とは異なり、ヘッダーファイルobjc/objc.hにあります）を以下に示します。

@interfaceクラスまたはカテゴリの宣言を開始します（カテゴリは継承なしのクラス拡張機能です）
@end 、任意のクラス、カテゴリ、またはプロトコルの宣言定義を完了します
@private 、クラスの不変性の範囲をクラスメソッドに制限します（C ++と同様）
@protectedスタンドはデフォルトでスタンドです。クラスの不変剤の範囲をクラスの方法と派生クラスの方法に制限します（C ++と同様）
@publicスコーピング制限を削除します（C ++に似ています）
@try 、可能な例外を投げることでブロックを定義します（C ++に似ています）
@throwは例外オブジェクトをスローします（C ++に似ています）
@catch()前の@Tryブロックにスローされた例外を処理します（C ++に似ています）
@finally 、例外がスローされたかどうかに関係なく、コントロールが渡される@Tryブロックの後にブロックを定義します
@classクラス宣言の略語形式（名前のみ（c ++に類似））
@selector(method_name)メソッド名method_nameのコンパイルされたセレクターを返します
@protocol(protocol_name) protocol_nameという名前のプロトコルクラスのインスタンスを返します
@encode(type_spec)タイプタイプtype_specのデータを暗号化するために使用される文字文字列を初期化します
@synchronized() 、特定の時点で1つのスレッドのみで実行されるコードのブロックを定義します
@implementation 、クラスまたはカテゴリの定義を開始します
@protocolはプロトコル宣言を開始します（純粋な仮想関数で構成されるC ++クラスに類似）

オブジェクトにメソッドを実行するように強制するには、必要なメソッドと同じ名前のメッセージを送信する必要があります。このメッセージは、メソッドセレクターと呼ばれます。送信の構文は次のとおりです。

[receiver method];

- (void) addObject: (id) otherObject;

メソッドプロトタイプの先頭にプラス記号+を配置すると、そのようなメソッドはクラスメソッドと見なされ、当然、暗黙の自己パラメーターを受け入れません（これは、C ++で静的メソッドを宣言することに似ています）。そして、自己によって指し示されたオブジェクトのIsa Invariantがなければ、もちろんスーパーポインターも機能しません。したがって、任意の方法のプロトタイプは次のように宣言されます。

 - | + (<return type>) mainMethodNamePart
[: (<type of first parameter>) nameOfFirstFormalParameter
	[[optionalMethodNamePart]: (<type of second parameter>) secondFormalParameterName] ...
]

例えば：

+ (Class)class;
+ (id)alloc;
- (id)init;
- (void)addObject: (id)anObject;
+ (NSString *)stringWithCString: (const char*)aCString usingUncoding: (enum NSStringEncoding)encoding;
- (NSString *)initStringWithFormat: (NSString *)format, ...;

• Bluetooth周辺機器
• カレンダーデータ
• カメラ
• 連絡先
• ヘルス共有
• 健康の更新
• HomeKit
• 位置
• マイクロフォン
• モーション
• 音楽とメディアライブラリ
• 写真
• リマインダー
• Siri
• 音声認識
• テレビプロバイダー
• 等

Apple開発者のドキュメント

https://developer.apple.com/library/archive/documentation/macosx/conceptual/osx_technology_overview/systemframeworks/systemframeworks.html

https://www.theiphonewiki.com/wiki//system/library/frameworks

フレームワークは、ファイルシステムのいくつかの場所に保存されます。

• /システム/ライブラリ/フレームワーク。 iOSとOS Xの両方で、Appleの提供されたフレームワークが含まれています
• /ネットワーク/ライブラリ/フレームワークは、ネットワークにインストールされている一般的なフレームワークに（まれに）使用できます。
• /ライブラリ/フレームワークはサードパーティのフレームワークを保持します（そして、予想されるように、ディレクトリはiOSで空のままです）
• 〜/ライブラリ/フレームワークは、ユーザーが提供するフレームワークを保持します

さらに、アプリケーションには独自のフレームワークが含まれる場合があります。

Apple開発者のドキュメント - ネットワーク

Apple開発者のドキュメント - Networkextension

Apple開発者のドキュメント - NetworkingDriverKit

遭遇する可能性のあるアプリのほとんどは、リモートエンドポイントに接続します。動的分析（トラフィックキャプチャと分析など）を実行する前であっても、アプリケーションが通信することになっているドメインを列挙することにより、いくつかの初期入力またはエントリポイントを取得できます。

通常、これらのドメインは、アプリケーションのバイナリ内の文字列として存在します。 rabin2 -zz <path_to_binary>またはIDA Proで文字列を取得することにより、ドメインを抽出できます。後者のオプションには明確な利点があります。各ドメインが相互参照をチェックして使用されているコンテキストで使用できるコンテキストを確認できるため、コンテキストを提供できます。

ここから、この情報を使用して、分析中に後で使用する可能性のあるより多くの洞察を導き出すことができます。たとえば、ターゲット環境の詳細を知るために、ドメインをピン留め証明書に一致させるか、ドメイン名でさらなる偵察を実行できます。

安全な接続の実装と検証は、複雑なプロセスである可能性があり、考慮すべき多くの側面があります。たとえば、多くのアプリケーションは、XMPPやプレーンTCPパケットなどのHTTPを除いて他のプロトコルを使用するか、MITM攻撃を阻止するために証明書のピン留めを実行します。

ネットワークフレームワークは、2018年にApple Worldwide Developers Conference（WWDC）で導入され、Sockets APIに代わるものです。この低レベルのネットワークフレームワークは、動的ネットワーク、セキュリティ、パフォーマンスサポートを組み込んだデータを送信および受信するクラスを提供します。

TLS 1.3は、 using: .tls引数が使用される場合、ネットワークフレームワークでデフォルトで有効になります。これは、Legacy Secure Transport Frameworkよりも優先オプションです。

URLSessionはネットワークフレームワークの上に構築され、同じ輸送サービスを利用しています。また、エンドポイントがHTTPSの場合、クラスはデフォルトでTLS 1.3を使用します。

URLSession 、ネットワークフレームワークを直接使用する代わりに、HTTPおよびHTTPS接続に使用する必要があります。クラスは両方のURLスキームをネイティブにサポートし、そのような接続に対して最適化されています。必要なボイラープレートコードが少ないため、エラーの傾向が低下し、デフォルトで安全な接続が確保されます。ネットワークフレームワークは、低レベルおよび/または高度なネットワーク要件がある場合にのみ使用する必要があります。

公式のAppleドキュメントには、ネットワークフレームワークを使用してNetCatとURLSessionを実装してWebサイトデータをメモリに取得する例が含まれています。

https://developer.limneos.net/

https://www.theiphonewiki.com/wiki//system/library/privateframeworks

デバイス用の最新ツールはhttps://canijailbreak.comにあります

この研究は基本的に、iOS 10〜15でcheckra1ned iphone 5sからxのために記述されており、新しいbootrom pwnageツールがリリースされる場合は長期的に更新できます。 https://www.theiphonewiki.com/wiki/bootrom#bootrom_exploitsをチェックしてください

1. Cydia Sources関連リポジトリ（ https://repo.chariz.comなど）に追加
2. パッケージを検索してインストールします
3. 変更が表示されない場合や何かが機能しない場合は、 killall SpringBoardを実行します
   ほとんどの場合、スプリングボードの再起動が必要です

.deb/.ipaファイルをfilzaファイルマネージャーを使用して開き、.debのインストールでエラーが表示された場合は、すべての依存関係を見つけてインストールしてみてください

https://cydia.akemi.ai/ repoからunifiedをインストールします

https://apt.bingner.com/
https://apt.thebigboss.org/repofiles/cydia/
https://cydia.saurik.com
https://repo.dynastic.co/
https://getdelta.co/
https://cokepokes.github.io/
https://cydia.akemi.ai/
https://nscake.github.io/
https://repo.chariz.com/
https://mrepo.org/
https://rejail.ru/
https://repo.hackyouriphone.org/
https://build.frida.re/ - Frida
https://cydia.radare.org/ - radare2

デスクトップにインストールします

brew install libimobiledevice ideviceinstaller libirecovery

sudo port install idevicerestore

idevice_idリスト添付デバイスまたは印刷デバイスのデバイス名idevicebackup idevicebackup2名前は、デバイスのバックアップを作成または復元します（ idevicecrashreport ）iOS 4以降のデバイスのバックアップidevicedebugserverproxy作成または復元しますidevicedebugリモートデバッグ用のデバイスからの接続idevicediagnosticsのデバイスの診断インターフェイスと対話ideviceinfo ideviceenterrecoveryのデバイスの入力ideviceimagemounterデバイスのidevicenameディスクイメージをデバイスに表示idevicescreenshotますidevicepair接続されたデバイスidevicesetlocationデバイス上の場所をシミュレートidevicesyslog接続デバイスのリレーSyslog

ideviceinstaller --list-apps
ideviceinstaller --install <Application.ipa>
ideviceinstaller --uninstall <bundle id>
idevicedebug -d run <bundle id>

irecovery --shell 、iOSデバイスのIBOOT/IBSSとの通信を可能にします

idevicerestore --latest新しいファームウェアをデバイスに復元しますidevicerestore --erase --latest
すべてのデータを消去することで強制復元

inetcatユーティリティデバイスへの生の接続を公開するためのiproxy 2222:22ローカルポート2222をバインドし、最初のUSBデバイスの22に進みます

デバイスAppleファイルコンジット「2」にインストールする

ImazingまたはIfunboxを使用して、ファイルシステムにアクセスします

Filzaファイルマネージャーをインストールします

デバイスにOpenSSHをインストールし、デスクトップで実行します。

iproxy 2222:22

ssh -p 2222 root@localhost

rootのデフォルトのiOSパスワードはalpineです。あなたが悪い記憶を持っているなら、それを変更しないでください

https://repo.chariz.comからDevice Newterm2にインストールして、ローカルターミナルを使用する

 cd /private/var/containers/Bundle/Application/<guid>/myapp.app
// Contains compiled code, statically linked files, compressed NIB files.

 cd /private/var/mobile/Containers/Data/Application/
ls -lrt  // Your freshly installed IPA is at the bottom of list
cd [app guid]/Documents/
cd [app guid]/Library/

 /private/var/Keychains
TrustStore.sqlite3
keychain-2.db
pinningrules.sqlite3

 // Extract IPA (whether App Store encrypted or not)
scp -r -P 2222 root@localhost:/var/containers/Bundle/Application/<app GUID>/hitme.app ~/hitme.app

// Different to SSH, the uppercase P for Port with SCP. Order important.
scp -P 2222 root@localhost:/var/root/overflow.c localfilename.c

// from Jailbroken device to local machine
// Caution:no space after the root@localhost: Otherwise you copy the entire filesystem!
scp -P 2222 root@localhost:/private/var/mobile/Containers/Data/Application/<App GUID>/Library/Caches/Snapshots/com.my.app

// from local machine to remote Jailbroken device
scp -P 2222 hello.txt root@localhost:/var/root/

https://nscake.github.io/からlibflexと屈曲をインストールする

New Termeを開き、 killall SpringBoardを実行します

これで、StatusBarのLongPressによって任意のアプリケーション内にFlexをロードできます

Fridaは、以前にロックダウンされたソフトウェアでスクリプトを実行できる動的なバイナリインストゥルメントツールキットです。一言で言えば、Fridaを使用すると、Windows、Mac、Linux、iOS、AndroidのネイティブアプリにJavaScriptのスニペットを注入できます。

CydiaにFrida Repoを追加 - https://build.frida.re/

• Apple A6以下の32ビットデバイス（iPhone 5、iPhone 5C、iPad 2以前）がある場合は、32ビットデバイスにFridaをインストールします
• Apple A11以降（iPhone X、iPad 7、iPod Touch 7以前）を備えた64ビットデバイスがある場合は、 Fridaをインストールします
• 新しいデバイスでは、A12+デバイス用にFridaをインストールできます

Python 3をお持ちでない場合：

brew install pyenv
pyenv install 3.9.0 （または最新の利用可能）

次に、インストールします

pip3 install frida-tools

frida-ls-devices利用可能なデバイスをリストします
frida-ps -U usbデバイス上のすべての実行中のプロセス名とpidsをリスト
frida-ps -UaiリストUSBデバイスにインストールされているすべてのアプリ
frida-ps -UaリストUSBデバイス上のすべての実行中のアプリ
frida-ls-devices添付のすべてのデバイスをリストします
frida-ps -D 0216027d1d6d3a03 FRIDAを特定のデバイスに接続します
プロセスで内部機能を発見するためのfrida-discoverツール
frida-trace -U Twitter -i "*URL*"トレースネイティブAPI
frida-trace -U -f com.toyopagroup.picaboo -I "libcommonCrypto*"
アプリとトレースCrypto API呼び出しを起動します
frida-trace -U Twitter -m "-[NSURL* *HTTP*]" Objective-C APIをトレースします
frida -U -n Twitter -l inject.js REPL経由でUSBデバイスにプロセスにスクリプトを注入する
frida -n cat名前で猫に接続します
frida -f foobar Force Open Foobar
frida -U -f foobar --no-pauseオープンフォーバルを開けないでください。アプリの実行を開始します
frida-ps -U | grep -i myapp接続デバイスからターゲットアプリのプロセスIDを取得します
frida -U -f foobar --no-pause -q --eval 'console.log("Hi Frida");'
スクリプトを実行してフリーダを終了します

この時点で、 NativeFunctionがplay_sound変数に保存されています。通常の関数play_sound()のようにそれを呼び出し、（ int ）inputパラメーターを指定することも忘れないでください： play_sound(1007)

それをすべてまとめる：

var address = Module.findExportByName('AudioToolbox', 'AudioServicesPlaySystemSound')
var play_sound = new NativeFunction(address, 'void', ['int'])
play_sound(1007)

最初にオブジェクトのインスタンスを取得する必要があります。

• それを割り当て、そのコンストラクターを呼び出します。たとえば、 var instance = ObjC.classes.ClassName.alloc().init();
• getting an existing instance using ObjC.choose , like - if you know there's only one instance already created somewhere on the heap - you can to something like var instance = ObjC.chooseSync(ObjC.classes.ClassName)[0];
• getting an existing instance from a singleton you know holds the instance in a property, for example var instance = ObjC.classes.MySingleton.getInstance().myInterestingInstance();

and then call the method on the instance:

instance.setSomething();

or, if the method signature takes an argument, like - setSomething: , you can also pass the argument (just remember to put a _ instead of ObjC's : ):

instance.setSomething_(argument);

 frida -U "My App"               // Attach Frida to app over USB

Process.id
419

Process.getCurrentThreadId()
3843

var b = "hello frida"

console.log(b)
"hello frida"

c = Memory.allocUtf8String(b)
"0x1067ec510"

Memory.readUtf8String(c)
"hello frida"

console.log(c)
0x1067ec510

console.log(c.readUtf8String(5))
hello

console.log(c.readUtf8String(11))
hello frida

ptrToC = new NativePointer(c);
"0x1067ec510"

console.log(ptrToC)
0x1067ec510

console.log(ptrToC.readCString(8))
hello fr

Memory.readUtf8String(ptrToC)
"hello frida"

Objective-C's syntax includes the : and @ characters. These characters were not used in the Frida Javascript API .

 // Attach to playground process ID
frida -p $(ps -ax | grep -i -m1 playground |awk '{print $1}')

ObjC.available
true

ObjC.classes.UIDevice.currentDevice().systemVersion().toString()
"11.1"

ObjC.classes.NSBundle.mainBundle().executablePath().UTF8String()

ObjC.classes.UIWindow.keyWindow().toString()
RET: <WKNavigation: 0x106e165c0>

// shows Static Methods and Instance Methods
ObjC.classes.NSString.$ownMethods

ObjC.classes.NSString.$ivars

var myDate = ObjC.classes.NSDate.alloc().init()

console.log(myDate)
2019-04-19 19:03:46 +0000

myDate.timeIntervalSince1970()
1555700626.021566

myDate.description().toString()
"2019-04-19 19:03:46 +0000"

var a = ObjC.classes.NSUUID.alloc().init()

console.log(a)
4645BFD2-94EE-413D-9CE5-8982D41ED6AE

a.UUIDString()
{
    "handle": "0x7ff3b2403b20"
}
a.UUIDString().toString()
"4645BFD2-94EE-413D-9CE5-8982D41ED6AE"

 var b = ObjC.classes.NSString.stringWithString_("foo");

b.isKindOfClass_(ObjC.classes.NSString)
true

b.isKindOfClass_(ObjC.classes.NSUUID)
false

b.isEqualToString_("foo")
true

b.description().toString()
"foo"

var c = ObjC.classes.NSString.stringWithFormat_('foo ' + 'bar ' + 'lives');

console.log(c)
foo bar lives

 var url = ObjC.classes.NSURL.URLWithString_('www.foobar.com')

console.log(url)
www.foobar.com

url.isKindOfClass_(ObjC.classes.NSURL)
true

console.log(url.$class)
NSURL

 var b = ObjC.classes.NSString.stringWithString_("foo");

var d = ObjC.classes.NSData
d = b.dataUsingEncoding_(1)			//	NSASCIIStringEncoding = 1, NSUTF8StringEncoding = 4,

console.log(d)
<666f6f>							//	This prints the Hex value "666f6f = foo"

d.$className
"NSConcreteMutableData"

var x = d.CKHexString()				//	Get you the Byte array as a Hex string

console.log(x)
666f6f

x.$className
"NSTaggedPointerString"

var newStr = ObjC.classes.NSString.stringWithUTF8String_[d.bytes]

 // demoapp is the iOS app name
myapp=$(ps x | grep -i -m1 demoapp | awk '{print $1}')
frida-trace -i "getfsent*" -p $myapp

// Connect to process with Frida script
frida --codeshare mrmacete/objc-method-observer -p 85974

 Process.enumerateModules()      
// this will print all loaded Modules

Process.findModuleByName("libboringssl.dylib")
{
    "base": "0x1861e2000",
    "name": "libboringssl.dylib",
    "path": "/usr/lib/libboringssl.dylib",
    "size": 712704
}

Process.findModuleByAddress("0x1c1c4645c")
{
    "base": "0x1c1c2a000",
    "name": "libsystem_kernel.dylib",
    "path": "/usr/lib/system/libsystem_kernel.dylib",
    "size": 200704
}

 DebugSymbol.fromAddress(Module.findExportByName(null, 'strstr'))
{
    "address": "0x183cb81e8",
    "fileName": "",
    "lineNumber": 0,
    "moduleName": "libsystem_c.dylib",
    "name": "strstr"
}

 Module.findExportByName(null, 'strstr')
"0x183cb81e8"

Module.getExportByName(null,'strstr')
"0x183cb81e8"

Process.findModuleByAddress("0x183cb81e8")
{
    "base": "0x183cb6000",
    "name": "libsystem_c.dylib",
    "path": "/usr/lib/system/libsystem_c.dylib",
    "size": 516096
}

 a = Process.findModuleByName("Reachability")
a.enumerateExports()
....
{
    "address": "0x102fab020",
    "name": "ReachabilityVersionString",
    "type": "variable"
},
{
    "address": "0x102fab058",
    "name": "ReachabilityVersionNumber",
    "type": "variable"
}
....
...
..

 frida -U -f funky-chicken.debugger-challenge --no-pause -q --eval 'var x={};Process.enumerateModulesSync().forEach(function(m){x[m.name] = Module.enumerateExportsSync(m.name)});' | grep -B 1 -A 1 task_threads

            "address": "0x1c1c4645c",
            "name": "task_threads",
            "type": "function"

 frida -U -f funky-chicken.debugger-challenge --no-pause -q --eval 'var x={};Process.findModuleByAddress("0x1c1c4645c");'

{
    "base": "0x1c1c2a000",
    "name": "libsystem_kernel.dylib",
    "path": "/usr/lib/system/libsystem_kernel.dylib",
    "size": 200704
}

 [objc_playground]-> var a = ObjC.classes.NSString.stringWithString_("foo");

[objc_playground]-> a.superclass().toString()
"NSString"

[objc_playground]-> a.class().toString()
"NSTaggedPointerString"

// PASTE THIS CODE INTO THE FRIDA INTERFACE...
Interceptor.attach(ObjC.classes.NSTaggedPointerString['- isEqualToString:'].implementation, {
    onEnter: function (args) {
      var str = new ObjC.Object(ptr(args[2])).toString()
      console.log('[+] Hooked NSTaggedPointerString[- isEqualToString:] ->' , str);
    }
});

// TRIGGER YOUR INTERCEPTOR
[objc_playground_2]-> a.isEqualToString_("foo")
[+] Hooked NSTaggedPointerString[- isEqualToString:] -> foo
1   // TRUE
[objc_playground_2]-> a.isEqualToString_("bar")
[+] Hooked NSTaggedPointerString[- isEqualToString:] -> bar
0   // FALSE

 // frida -U -l open.js --no-pause -f com.yd.demoapp

// the below javascript code is the contents of open.js

var targetFunction = Module.findExportByName("libsystem_kernel.dylib", "open");

Interceptor.attach(targetFunction, {
    onEnter: function (args) {
        const path = Memory.readUtf8String(this.context.x0);
        console.log("[+] " + path)
    }
});

frida-trace --v Check it works frida-trace --help Excellent place to read about Flags frida-trace -f objc_playground Spawn and NO trace frida-trace -m "+[NSUUID UUID]" -U "Debug CrackMe" Trace ObjC UUID static Class Method frida-trace -m "*[ComVendorDebugger* *]" -U -f com.robot.demo.app ObjC wildcard trace on Classes frida-trace -m "*[YDDummyApp.UserProfileMngr *]" -U -f com.robot.demo.app Trace mangled Swift functions frida-trace -i "getaddrinfo" -i "SSLSetSessionOption" -U -f com.robot.demo Trace C function on iOS frida-trace -m "*[*URLProtection* *]" -U -f com.robot.demo For https challenge information frida-trace -m "*[NSURLSession* *didReceiveChallenge*]" -U -f com.robot.demo Check whether https check delegate used frida-trace -U -f com.robot.demo.app -I libsystem_c.dylib Trace entire Module. frida-trace -p $myapp -I UIKit Trace UIKit Module. frida-trace -f objc_playground -I CoreFoundation Trace CoreFoundation Module. frida-trace -I YDRustyKit -U -f com.yd.mobile Trace my own module. frida-trace -m "-[NSURLRequest initWithURL:]" -U -f com.robot.demo Get app files and APIs frida-trace -m "-[NSURL initWithString:]" -U -f com.robot.demo Find the API endpoints frida-trace -m "*[NSURL absoluteString]" -U -f com.robot.demo My favorite of these

 frida-trace -i "*strcpy" -f hitme aaaa bbbb
Instrumenting functions...                                              
_platform_strcpy: Loaded handler at "/.../__handlers__/libSystem.B.dylib/_platform_strcpy.js"
Started tracing 1 function. Press Ctrl+C to stop.                       

Edit the auto-generated, template Javascript file.

 -----------
onEnter: function (log, args, state) {
  // strcpy()  arg1 is the Source. arg0 is the Destination.
  console.log('n[+] _platform_strcpy()');
  var src_ptr  = args[1].toString()
  var src_string = Memory.readCString(args[1]);
  var src_byte_array = Memory.readByteArray(args[1],4);
  var textDecoder = new TextDecoder("utf-8");
  var decoded = textDecoder.decode(src_byte_array);
  console.log('[+] src_ptrt-> ' , src_ptr);
  console.log('[+] src_stringt-> ' + src_string);
  console.log('[+] src_byte_arrayt-> ' + src_byte_array);
  console.log('[+] src_byte_array sizet-> ' + src_byte_array.byteLength);
  console.log('[+] src_byte_array decodedt-> ' + decoded);
},

結果：

 [+] _platform_strcpy()
[+] src_ptr	->  0x7ffeefbffaa6
[+] src_string	-> aaaa
[+] src_byte_array	-> [object ArrayBuffer]
[+] src_byte_array size	-> 4
[+] decoded	-> aaaa

[+] _platform_strcpy()
[+] src_ptr	->  0x7ffeefbffaab
[+] src_string	-> bbbb
[+] src_byte_array	-> [object ArrayBuffer]
[+] src_byte_array size	-> 4
[+] decoded	-> bbbb

 frida-ps -Uai  // get your bundle ID

frida --codeshare mrmacete/objc-method-observer -U -f funky-chicken.push-demo

[+] At the Frida prompt...

observeSomething('*[ABC* *]'); // any Class beginning with ABC, regardless of instance or static class
observeSomething('-[WKWebsiteDataStore httpCookieStore]');
observeSomething('-[WKWebAllowDenyPolicyListener *]');
observeSomething('-[WKWebView loadRequest:]');                // dump the URL to hit
observeSomething('-[WKWebView load*]');                       // you get all HTML, js, css, etc
observeSomething('-[WKWebView loadHTMLString:baseURL:]')      // really effective; see the entire request
observeSomething('-[WKWebView *Agent]');                      // try to see if somebody set a custom UserAgent
observeSomething('*[* isEqualToString*]');                    // watch string compares

bash -c "exec -a YDFooBar ./frida-server &"

frida-server -l 0.0.0.0:19999 &

frida-ps -ai -H 192.168.0.38:19999

frida-trace -m "*[NSURLSession* *didReceiveChallenge*]" -H 192.168.0.38:19999 -f com.youdog.rusty.tinyDormant

Objection is a runtime mobile exploration toolkit powered by Frida to assess the security posture of mobile applications without needing to write scripts .

pip3 install objection

objection device_type Get information about an attached device
objection explore Start the objection exploration REPL
objection explore --startup-command 'ios jailbreak simulate'
objection explore --startup-command 'ios jailbreak disable'
Early Instrumentation

ls
env This will print out the locations of the applications Library, Caches and Documents directories
!<shell command> Run OS command
file download <remote path> [<local path>]
file upload <local path> [<remote path>]
Upload/Download
file cat <file> View file
memory dump all <local destination> memory dump from_base <base_address> <size_to_dump> <local_destination>
Dump all memory/Dump part
memory list modules List loaded modules in memory
memory list exports <module_name> Exports of a loaded module
memory search "<pattern eg: 41 41 41 ?? 41>" (--string) (--offsets-only)
memory write "<address>" "<pattern eg: 41 41 41 41>" (--string)
Search/Write
sqlite connect pewpew.sqlite Query the sqlite database
sqlite execute schema Have a look at the table structure
sqlite execute query select * from data;
Execute any query
import <local path frida-script> Import frida script
jobs list List running scripts/jobs
jobs kill <job id> Kill script/job
ios plist cat credentials.plist Read plist file
ios info binary Inspect binary info
ios sslpinning disable --quiet Disable SSL pinning
ios jailbreak simulate Simulate a jailbroken environment to understand how an application behaves
ios jailbreak disable Jailbreak detection bypass
ios nsuserdefaults get Dump NSUserDefaults
ios nsurlcredentialstorage dump Dump NSURLCredentialStorage
ios keychain dump Dump app keychain
ios cookies get Get secure flags and sensitive data stored in cookies
ios monitor crypto monitor Hooks CommonCrypto to output information about cryptographic operation
ios ui dump Dump UI hierarchy
ios ui alert "<message>" Show alert

env Local app paths
ios bundles list_bundles List bundles of the application
ios bundles list_frameworks List external frameworks used by the application
ios hooking list classes List classes of the app
ios hooking search classes <str> Search a class that contains a string
ios hooking list class_methods List methods of a specific class
ios hooking search methods <str> Search a method that contains a string
ios hooking watch class <class_name>
Hook all the methods of a class, dump all the initial parameters and returns
ios hooking watch method "-[<class_name> <method_name>]" --dump-args --dump-return --dump-backtrace
Hook an specific method of a class dumping the parameters, backtraces and returns
ios hooking set return_value "-[<class_name> <method_name>]" false
This will make the selected method return the indicated boolean
ios hooking generate simple <class_name>
Generate hooking template.

r2 frida://device-id/Snapchat Attach to a running app using the display name.
r2 frida://attach/usb//Gadget Attach to the Frida Gadget

r2 frida://device-id//com.snapchat.android Spawn an app using two // and the package name.
r2 frida://spawn/usb/device-id/com.android.app Or explicitly using the word spawn
r2 frida://spawn/usb//com.android.app Or without entering the device-id

=!? Get the list of commands

=!?~^i :
i Show target information
ii[*] List imports
il List libraries
is[*] <lib> List symbols of lib (local and global ones)
iE[*] <lib> Same as is, but only for the export global ones
iEa[*] (<lib>) <sym> Show address of export symbol
isa[*] (<lib>) <sym> Show address of symbol
ic <class> List Objective-C classes or methods of <class>
ip <protocol> List Objective-C protocols or methods of <protocol>
=!i Shows target information
=!i* Shows target information in r2 form
.=!i* Radare2 imports all the dynamic binary data from Frida. Eg: which architecture, endianness, pointer size, etc...
.=!iE* Radare2 imports all the dynamic export data from Frida for all the dynamic libraries.
.=!iE* <lib> Radare2 imports all the dynamic export data from Frida for only one specific library.
.=!ii* Radare2 imports all the dynamic import data from Frida.
=!ii <lib> List imports. Commonly used with the symbol ~ , which is the internal grep of r2 .
=!ii* <lib> List imports in r2 form.
=!il List libraries. Commonly used with the symbol ~ , which is the internal grep of r2.
=!iE <lib> List exports of library(ies)
=!iEa (<lib>) <sym> Show address of export symbol
=!iEa* (<lib>) <sym> Show address of export symbol in r2 format
=!isa[*] (<lib>) <sym> Show address of symbol
=!ic List classes
=!/ keyword Search hex/string pattern in memory ranges (see search.in=?)

> =!?~^/ :
/[x][j] <string|hexpairs> Search hex/string pattern in memory ranges (see search.in=?)
/w[j] string Search wide string
/v[1248][j] value Search for a value honoring e cfg.bigendian of given width

> =!?~^d :
db (<addr>|<sym>) List or place breakpoint
db- (<addr>|<sym>)|* Remove breakpoint(s)
dc Continue breakpoints or resume a spawned process
dd[-][fd] ([newfd]) List, dup2 or close filedescriptors
dm[.|j|*] Show memory regions
dma <size> Allocate bytes on the heap, address is returned
dmas <string> Allocate a string inited with on the heap
dmad <addr> <size> Allocate bytes on the heap, copy contents from
dmal List live heap allocations created with dma[s]
dma- (<addr>...) Kill the allocations at (or all of them without param)
dmp <addr> <size> <perms> Change page at

e[?] [a[=b]] List/get/set config evaluable vars

[0x00000000] > = ! e
e patch.code=true
e search.in=perm:r--
e search.quiet=false
e stalker.event=compile
e stalker.timeout=300
e stalker.in=raw  

=!. script.js
=!ic List iOS classes

More info: https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06c-reverse-engineering-and-tampering#tampering-and-runtime-instrumentation

Frida GUI.

Frida GUI.

Frida GUI. https://github.com/FuzzySecurity/Fermion

More info:
https://frida.re/docs/examples/ios/
https://frida.re/docs/frida-trace/
https://frida.re/docs/examples/ios/
https://github.com/sensepost/objection/wiki/Using-objection
Apple's Entitlements Troubleshooting – https://developer.apple.com/library/content/technotes/tn2415/_index.html
Apple's Code Signing – https://developer.apple.com/support/code-signing/
Cycript Manual – http://www.cycript.org/manual/
Frida iOS Tutorial – https://www.frida.re/docs/ios/
Frida iOS Examples – https://www.frida.re/docs/examples/ios/
r2frida Wiki – https://github.com/enovella/r2frida-wiki/blob/master/README.md
Charlie Miller, Dino Dai Zovi. The iOS Hacker's Handbook. Wiley, 2012 – https://www.wiley.com/en-us/iOS+Hacker's+Handbook-p-9781118204122
Jonathan Levin. Mac OS X and iOS Internals: To the Apple's Core. Wiley, 2013 – http://newosxbook.com/MOXiI.pdf

Install SSL Kill Switch 2 from https://github.com/nabla-c0d3/ssl-kill-switch2/releases/

Open your settings and enable SSL Kill Switch 2

1. Run Charles on PC.

2. Install Charles Root Certificate on iOS device:

The following window will appear:

3. In the network settings of the iOS device specify the IP and port of Charles Proxy:

Depending on your network architecture the IP address Charles is running on may differ.

4. Open the browser on the iOS device and follow the link — http://chls.pro/ssl

5. Install Charles SSL certificate on the device:

6. Enable SSL Proxying

7. Start SSL Proxying:

Since all binary files inside an .ipa are encrypted with AES and being decrypted with a private key by Secure Enclave Processor at the runtime there is a few ways to decrypt it:

If you don't have Node.js:

brew install nvm
nvm install node

To dump decrypted ipa using bagbak utility install it on desktop:

sudo npm install -g bagbak

Then download your application from the App Store and dump:

bagbak <bundle id or name> --uuid <uuid> --output <output>

There are several ways to run the hardware AES engine:

• Patch iBoot to jump to aes_crypto_cmd

• Use OpenIBoot

• Use XPwn with a kernel patch

• Use Greenpois0n console:

  ideviceenterrecovery
irecovery --shell
go aes dec <file>

• Use ipwndfu

• Use checkra1n

Run checkra1n with -p to run into pongoOS (https://github.com/checkra1n/pongoOS) and use the aes command over USB

If you want to disassemble an application from the App Store, remove the FairPlay DRM first.

After decrypting .ipa file open app binary in disassembler like IDA Pro .

In this section the term "app binary" refers to the Macho-O file in the application bundle which contains the compiled code, and should not be confused with the application bundle - the IPA file.

• MachOViewer (Homepage)

• Hex Fiend (Homepage)
• 0xED (Homepage)
• Synalyze It! (Homepage)

• Hopper (Homepage)
• IDA (Homepage)
• otool (man page)
• otx (Homepage)

• Hopper (Homepage)
• Hex-Rays (Homepage)
• classdump (Homepage)
• codedump (i386) (Source ZIP)

• GDB (Not shipped on OS X anymore) (Homepage)
• LLDB (Homepage - man page)
• PonyDebugger (link)

• Bit Slicer (Homepage - Source)

• nm (man page)
• strings (man page)
• dsymutil (man page)
• install_name_tool (man page)
• ld (man page)
• lipo (man page)
• codesign (man page)
• hexdump (man page)
• dyld_shared_cache (link)
• vbindiff (link)
• binwalk (link)
• xpwntool (link)
• objdump (link)

If you have a license for IDA Pro, you can analyze the app binary using IDA Pro as well.

To get started, simply open the app binary in IDA Pro.

Upon opening the file, IDA Pro will perform auto-analysis, which can take a while depending on the size of the binary. Once the auto-analysis is completed you can browse the disassembly in the IDA View (Disassembly) window and explore functions in the Functions window, both shown in the screenshot below.

https://github.com/ChiChou/IDA-ObjCExplorer/blob/master/ObjCExplore.py – Obj-C Classes Explorer for IDA Pro. Just press Ctrl + Shift + E .

https://github.com/avast/retdec-idaplugin – RetDec decompiler for IDA Pro. Just press Ctrl + D .

https://github.com/zynamics/objc-helper-plugin-ida – zynamics Objective-C helper script.

https://github.com/techbliss/Frida_For_Ida_Pro – Connect frida.

https://github.com/vadimszzz/idapython/blob/master/cortex_m_firmware.py – IDA Python module for loading ARM Cortex M firmware.

https://github.com/saelo/ida_scripts/blob/master/kernelcache.py – Identify and rename function stubs in an iOS kernelcache.

https://github.com/luismiras/IDA-iOS-scripts/blob/master/find_iOS_syscalls.py – Find iOS syscalls.

https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/listAllKEXT.py – List all Kexts.

https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/findSyscallTable.py – This script searches the iOS syscall table within the iOS kernelcache.

https://github.com/stefanesser/IDA-IOS-Toolkit/blob/master/fixupSysctlSet.py – This script ensures that all sysctl_oid structures referenced by the sysctl_set segment are marked correctly.

https://github.com/bazad/ida_kernelcache – An IDA Toolkit for analyzing iOS kernelcaches.

You can use class-dump to get information about methods in the application's source code.

Note the architectures: armv7 (which is 32-bit) and arm64 . This design of a fat binary allows an application to be deployed on all devices. To analyze the application with class-dump, we must create a so-called thin binary, which contains one architecture only:

 iOS8-jailbreak:~ root# lipo -thin armv7 DamnVulnerableIOSApp -output DVIA32  

And then we can proceed to performing class-dump:

iOS8-jailbreak: ~ root# class-dump DVIA32

@interface FlurryUtil : ./DVIA/DVIA/DamnVulnerableIOSApp/DamnVulnerableIOSApp/YapDatabase/Extensions/Views/Internal/
{
}
+ (BOOL)appIsCracked ;
+ (BOOL)deviceIsJailbroken ;  

Note the plus sign, which means that this is a class method that returns a BOOL type. A minus sign would mean that this is an instance method. Refer to later sections to understand the practical difference between these.

Strings are always a good starting point while analyzing a binary, as they provide context to the associated code. For instance, an error log string such as "Cryptogram generation failed" gives us a hint that the adjoining code might be responsible for the generation of a cryptogram.

In order to extract strings from an iOS binary, you can use GUI tools such as Ghidra or Cutter or rely on CLI-based tools such as the strings Unix utility strings <path_to_binary> or radare2's rabin2 rabin2 -zz <path_to_binary> . When using the CLI-based ones you can take advantage of other tools such as grep (eg in conjunction with regular expressions) to further filter and analyze the results.

nm

 nm libprogressbar.a | less

rabin2

 rabin2 -s file

radare2

 is~FUNC

Check URLs:

 strings <binary inside app bundle>  | grep -E 'session|https'
strings <binary inside app bundle>  | grep -E 'pinning'
rabin2 -qz <binary inside app bundle>                                   // in Data Section
rabin2 -qzz <binary inside app bundle>                                  // ALL strings in binary

jtool -dA __TEXT.__cstring c_playground
Dumping C-Strings from address 0x100000f7c (Segment: __TEXT.__cstring)..
Address : 0x100000f7c = Offset 0xf7c
0x100000f7c: and we have a winner @ %ldr
0x100000f98: and that's a wrap folks!r

IDA Pro can be used for obtaining cross references by right clicking the desired function and selecting Show xrefs .

• General purpose registers 0 through 30 with two addressing modes:
  • w0 = 32-bit
  • x0 = 64-bit
• Zero register wzr or xzr . Write to = discard, read from = 0 .
• Stack pointer sp - unlike other instruction sets, never modified implicitly (eg no push / pop ).
• Instruction pointer pc , not modifiable directly.
• A lot of float, vector and system registers, look up as needed.
• First register in assembly is usually destination, rest are source (except for str ).

• mov to copy one register to another, eg mov x0, x1 -> x0 = x1 .
• Constant 0 loaded from wzr / xzr .
• Small constants usually OR'ed with zero register, eg orr x0, xzr, 5 .
• Big constants usually loaded with movz + movk , eg:

   movz x0 , 0x1234 , lsl 32
  movk x0 , 0x5678 , lsl 16
  movk x0 , 0x9abc

  -> x0 = 0x123456789abc .
• movn for negative values, eg movn x0, 1 -> x0 = -1 .
• lsl and lsr instructions = logic-shift-left and logic-shift-right, eg lsl x0, x0, 8 -> x0 <<= 8 .
  • lsl and lsr not only used as instructions, but also as operands to other instructions (see movz above).
  • asl for arithmetic shift also exists, but less frequently used.
• Lots of arithmetic, logic and bitwise instructions, look up as needed.

• ldr and str with multiple variations and addressing modes:
  • ldr x0, [x1] -> x0 = *x1
  • str x0, [x1] -> *x1 = x0
  • ldr x0, [x1, 0x10] -> x0 = *(x1 + 0x10)
  • ldp / stp to load/store two registers at once behind each other, eg:
    stp x0, x1, [x2] -> *x2 = x0; *(x2 + 8) = x1;
  • Multiple variations for load/store size:
    • Register names xN for 64-bit, wN for 32-bit
    • ldrh / srth for 16-bit
    • ldrb / strb for 8-bit
  • Multiple variations for sign-extending registers smaller than 64-bit:
    • ldrsw x0, [x1] -> load 32-bit int, sign extend to 64-bit
    • ldrsh x0, [x1] -> load 16-bit int, sign extend to 64-bit
    • ldrsb x0, [x1] -> load 8-bit int, sign extend to 64-bit
    • (No equivalent str instructions)
• Three register addressing modes:
  • Normal: ldr x0, [x1, 0x10]
  • Pre-indexing: ldr x0, [x1, 0x10]! (notice the ! ) -> x1 += 0x10; x0 = *x1;
  • Post-indexing: ldr x0, [x1], 0x10 -> x0 = *x1; x1 += 0x10;
• Memory addresses usually computed by PC-relative instructions:
  • adr x0, 0x12345 (only works for small offset from PC)
  • Bigger ranges use adrp + add :

     adrp x0 , 0xffffff8012345000 ; "address of page", last 12 bits are always zero
    add x0 , x0 , 0x678

  • Even bigger ranges usually stored as pointers in data segment, offset by linker and loaded with ldr .

Note: Only dealing with integral types here. The rules change when floating-point is involved.

• x0 - x7 first 8 arguments, rest on the stack (low address to high) with natural alignment (as if they were members of a struct)
• x8 pointer to where to write the return value if >128 bits, otherwise scratch register
• x9 - x17 scratch registers
• x18 platform register (reserved, periodically zeroed by XNU)
• x19 - x28 callee-saved
• x29 frame pointer (basically also just callee-saved)
• x30 return address
• Functions that save anything in x19 - x28 usually start like this:

   stp x24 , x23 , [ sp , - 0x40 ] !
  stp x22 , x21 , [ sp , 0x10 ]
  stp x20 , x19 , [ sp , 0x20 ]
  stp x29 , x30 , [ sp , 0x30 ]
  add x29 , sp , 0x30

  and end like this:

   ldp x29 , x30 , [ sp , 0x30 ]
  ldp x20 , x19 , [ sp , 0x20 ]
  ldp x22 , x21 , [ sp , 0x10 ]
  ldp x24 , x23 , [ sp ], 0x40
  ret

  The stack for local variables is usually managed separately though, with add sp, sp, 0x... and sub sp, sp, 0x... .
• Variadic arguments are passed on the stack (low address to high), each promoted to 8 bytes. Structs that don't fit into 8 bytes have a pointer passed instead.
  Fixed arguments that don't fit into x0 - x7 come before variadic arguments on the stack, naturally aligned.
• The return value is passed as follows:
  • If it fits into 64 bits, in x0 .
  • If it fits into 128 bits, the first/lower half in x0 , the second/upper half in x1 .
  • If it is larger than 128 bits, the caller passes a pointer in x8 to where the result is written.

• System register nzcv holds condition flags (Negative, Zero, Carry, oVerflow).
  Set by one instruction and acted upon by a subsequent one, the latter using condition codes.
  (Could be accessed as normal system register, but usually isn't.)
• Some instructions use condition codes as suffixes ( instr.cond ), others as source operands ( instr ..., cond ). List of condition codes:
  • eq / ne = equal/not equal
  • lt / le / gt / ge = less than/less or equal/greater than/greater or equal (signed)
  • lo / ls / hi / hs = lower/lower or same/higher/higher or same (unsigned)
  • A few more weird flags, seldom used.
  • Unlike many other instruction sets, arm64 sets carry on no-borrow rather than borrow.
    Thus, cs / cc = carry set/carry clear are aliases of hs / lo .
• cmp = most common/basic compare instruction, sets condition flags.例：

   cmp x0 , x1
  cmp x0 , 3

• Other instructions that set condition flags:
  • cmn = compare negative
  • tst = bitwise test
  • adds / adcs = add/add with carry
  • subs / sbcs = subtract/subtract with carry
  • negs / ngcs = negate/negate with carry
  • Some more bitwise and float instructions.
• Some instructions that act on condition flags:
  • cset = conditional set, eg:

     cmp x0 , 3
    cset x0 , lo

    -> x0 = (x0 < 3)
  • csel = conditional select, eg:

     cmp x0 , 3
    csel x0 , x1 , x2 , lo

    -> x0 = (x0 < 3) ? x1 : x2
    (Translates nicely to ternary conditional.)
  • ccmp = conditional compare, eg:

     cmp x0 , 3
    ccmp x0 , 7 , 2 , hs
    b.hi 0xffffff8012345678

    -> hi condition will be true if x0 < 3 || x0 > 7 (third ccmp operand is raw nzcv data).
    Often generated by compiler for logical and/or of two conditions.
  • Many, many more.

• b = simple branch, jump to PC-relative address.
  Can be unconditional:

   b 0xffffff8012345678

  or conditional:

   cmp x0 , 3
  b.lo 0xffffff8012345678 ; jump to 0xffffff8012345678 if x < 3

  Used primarily within function for flow control.
• Shortcuts cbz / cbnz = compare-branch-zero and compare-branch-non-zero.
  Just shorter ways to write

   cmp xN , 0
  b.eq 0x...

  または

   cmp xN , 0
  b.ne 0x...

  (Translate nicely to C if(x) or if(!x) .)
• Shortcuts tbz / tbnz = test single bit and branch if zero/non-zero.
  Eg tbz x0, 3, ... translates to if((x0 & (1 << 3)) == 0) goto ... .
• bl = branch-and-link (eg bl 0xffffff8012345678 )
  Store return address to x30 and jump to PC-relative address. Used for static function calls.
• blr = branch-and-link to register (eg blr x8 )
  Store return address to x30 and jump to address in x8 . Used for calls with function pointers or C++ virtual methods.
• br = branch to register (eg br x8 )
  Jump to address in x8 . Used for tail calls.
• ret = return to address in register, default: x30
  Can in theory use registers other than x30 (eg ret x8 ), but compiler doesn't usually generate that.

• nop = do nothing
• svc = make a system call using an immediate value (eg svc 0x80 ). Note that the immediate value is separate from the syscall number. XNU ignores the immediate and expects the syscall number in x16 .
• . = special symbol that refers to the address of the instruction it is used in (eg adr x0, . )

1. Install the following prerequisites:

   • ホームブリュー
   • Xcode is mandatory. The Command Line Tools package isn't sufficient for Theos to work. Xcode includes toolchains for all Apple platforms.

    brew install ldid xz
   

2. Set up the THEOS environment variable:

    echo "export THEOS=~/theos" >> ~/.zshrc
    source ~/.zshrc
   

3. Clone Theos:

    git clone --recursive https://github.com/theos/theos.git $THEOS
   

4. Get the toolchain:

   Xcode contains the toolchain.

5. Get an iOS SDK:

   Xcode always provides the latest iOS SDK, but as of Xcode 7.3, it no longer includes private frameworks you can link against. This may be an issue when developing tweaks. You can get patched SDKs from our SDKs repo.

    curl -LO https://github.com/theos/sdks/archive/master.zip
    TMP=$(mktemp -d)
    unzip master.zip -d $TMP
    mv $TMP/sdks-master/*.sdk $THEOS/sdks
    rm -r master.zip $TMP
   

Logos is a Perl regex-based preprocessor that simplifies the boilerplate code needed to create hooks for Objective-C methods and C functions with an elegant Objective-C-like syntax. It's most commonly used along with the Theos build system, which was originally developed to create jailbreak tweaks. Logos was once integrated in the same Git repo as Theos, but now has been decoupled from Theos to its own repo.

Logos aims to provide an interface for Cydia Substrate by default, but can be configured to directly use the Objective-C runtime.

Logos is a component of the Theos development suite.

 %hookf(return type, functionName, arguments list...) {
	/* body */
}

Generate a function hook for the function named functionName . Set functionName in %init to an expression if the symbol should be dynamically looked up.

例：

 // Given the function prototype (only add it yourself if it's not declared in an included/imported header)

FILE *fopen(const char *path, const char *mode);

// The hook is thus made
%hookf(FILE *, fopen, const char *path, const char *mode) {
	puts("Hey, we're hooking fopen to deny relative paths!");
	if (path[0] != '/') {
		return NULL;
	}
	return %orig; // Call the original implementation of this function
}

// functions can also be looked up at runtime, if, for example, the function is in a private framework
%hookf(BOOL, MGGetBoolAnswer, CFStringRef string) {
	if (CFEqual(string, CFSTR("StarkCapability"))) {
		return YES;
	}
	return %orig;
}
%ctor() {
	%init(MGGetBoolAnswer = MSFindSymbol(NULL, "_MGGetBoolAnswer"));
}

 %ctor {
	/* body */
}

Generate an anonymous constructor (of default priority). This function is executed after the binary is loaded into memory. argc , argv , and envp are implicit arguments so they can be used as they would be in a main function.

 %dtor {
	/* body */
}

Generate an anonymous deconstructor (of default priority). This function is executed before the binary is unloaded from memory. argc , argv , and envp are implicit arguments so they can be used as they would be in a main function.

The directives in this category open a block of code which must be closed by an %end directive (shown below). These should not exist within functions or methods.

 %group GroupName
/* %hooks */
%end

Generate a hook group with the name GroupName . Groups can be used for conditional initialization or code organization. All ungrouped hooks are in the default group, initializable via %init without arguments.

Cannot be inside another %group block.

Grouping can be used to manage backwards compatibility with older code.

例：

 %group iOS8
%hook IOS8_SPECIFIC_CLASS
	// your code here
%end // end hook
%end // end group ios8

%group iOS9
%hook IOS9_SPECIFIC_CLASS
	// your code here
%end // end hook
%end // end group ios9

%ctor {
	if (kCFCoreFoundationVersionNumber > 1200) {
		%init(iOS9);
	} else {
		%init(iOS8);
	}
}

 %hook ClassName
/* objc methods */
%end

Open a hook block for the class named ClassName .

Can be inside a %group block.

例：

 %hook SBApplicationController
- (void)uninstallApplication:(SBApplication *)application {
	NSLog(@"Hey, we're hooking uninstallApplication:!");
	%orig; // Call the original implementation of this method
}
%end

 %new
/* objc method */
%new(signature)
/* objc method */

Add a new method to a hooked class or subclass by adding this directive above the method definition. signature is the Objective-C type encoding for the new method; if it is omitted, one will be generated.

Must be inside a %hook or %subclass block.

例：

 %new
- (void)handleTapGesture:(UITapGestureRecognizer *)gestureRecognizer {
	NSLog(@"Recieved tap: %@", gestureRecognizer);
}

 %subclass ClassName: Superclass <Protocol list>
/* %properties and methods */
%end

Generate a subclass at runtime. Like @property in normal Objective-C classes, you can use %property to add properties to the subclass. The %new specifier is needed for a method that doesn't exist in the superclass. To instantiate an object of the new class, you can use the %c operator.

Can be inside a %group block.

例：

 // An interface is required to be able to call methods of the runtime subclass using block syntax.
@interface MyObject : NSObject
@property (nonatomic, retain) NSString * someValue;
@end

%subclass MyObject : NSObject

%property (nonatomic, retain) NSString * someValue;

- (instancetype)init {
	if ((self = %orig)) {
		[self setSomeValue:@"value"];
	}
	return self;
}

%end

%ctor {
	// The runtime subclass cannot be linked at compile time so you have to use %c().
	MyObject *myObject = [[%c(MyObject) alloc] init];
	NSLog(@"myObject: %@", [myObject someValue]);
}

 %property (nonatomic|assign|retain|copy|weak|strong|getter=...|setter=...) Type name;

Add a property to a %subclass just like you would with @property to a normal Objective-C subclass as well as adding new properties to existing classes within %hook.

Must be inside a %hook or %subclass block.

 %end

Close a %group, %hook or %subclass block.

The directives in this category should only exist within a function or method body.

 %init;
%init([<ClassName>=<expr>, …]);
%init(GroupName[, [+|-]<ClassName>=<expr>, …]);

Initialize a group's method and function hooks. Passing no group name will initialize the default group. Passing ClassName=expr arguments will substitute the given expressions for those classes at initialization time. The + sigil (as in class methods in Objective-C) can be prepended to the classname to substitute an expression for the metaclass. If not specified, the sigil defaults to - , to substitute the class itself. If not specified, the metaclass is derived from the class.

The class name replacement is specially useful for classes that contain characters that can't be used as the class name token for the %hook directive, such as spaces and dots.

例：

 %hook ClassName
- (id)init {
	return %orig;
}
%end

%ctor {
	%init(ClassName=objc_getClass("SwiftApp.ClassName"));
}

 %c([+|-]ClassName)

Evaluates to ClassName at runtime. If the + sigil is specified, it evaluates to MetaClass instead of Class. If not specified, the sigil defaults to - , evaluating to Class.

 %orig
%orig(args, …)

Call the original hooked function or method. Doesn't work in a %new'd method. Works in subclasses, strangely enough, because MobileSubstrate will generate a super-call closure at hook time. (If the hooked method doesn't exist in the class we're hooking, it creates a stub that just calls the superclass implementation.) args is passed to the original function - don't include self and _cmd , Logos does this for you.

例：

 %hook ClassName
- (int)add:(int)a to:(int)b {
	if (a != 0) {
		// Return original result if `a` is not 0
		return %orig;
	}
	// Otherwise, use 1 as `a`
	return %orig(1, b);
}
%end

 &%orig

Get a pointer to the original function or method. Return type is void (*)(id, SEL[, arg types])

例：

 // Call from outside hooked method:
void (*orig_ClassName_start)(id, SEL) = nil;

void doStuff(id self, SEL _cmd) {
	if (self && orig_ClassName_start) {
		orig_ClassName_start(self, _cmd);
	}
}

%hook ClassName
- (void)start {
	%orig;
	orig_ClassName_start = &%orig;
	dispatch_after(dispatch_time(DISPATCH_TIME_NOW, 1 * NSEC_PER_SEC),
		dispatch_get_main_queue(), ^{
			doStuff(self, _cmd);
	});
}
%end

// Call with another object:
%hook ClassName
- (int)add:(int)a to:(int)b {
	int (*_orig)(id, SEL, int, int) = &%orig;
	ClassName * myObject = [ClassName new];
	int r = _orig(myObject, _cmd, 1, 2);
	[myObject release];
	return r;
}
%end

Real world example at PreferenceLoader

 %log;
%log([(<type>)<expr>, …]);

Dump the method arguments to syslog. Typed arguments included in %log will be logged as well.

You can use logify.pl to create a Logos source file from a header file that will log all of the functions of that header file. Here is an example of a very simple Logos tweak generated by logify.pl.

Given a header file named SSDownloadAsset.h :

 @interface SSDownloadAsset : NSObject
- (NSString *)finalizedPath;
- (NSString *)downloadPath;
- (NSString *)downloadFileName;
+ (id)assetWithURL:(id)url type:(int)type;
- (id)initWithURLRequest:(id)urlrequest type:(int)type;
- (id)initWithURLRequest:(id)urlrequest;
- (id)_initWithDownloadMetadata:(id)downloadMetadata type:(id)type;
@end

You can find logify.pl at $THEOS/bin/logify.pl and you would use it as so:

 $THEOS/bin/logify.pl ./SSDownloadAsset.h

The resulting output should be:

 %hook SSDownloadAsset
- (NSString *)finalizedPath { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
- (NSString *)downloadPath { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
- (NSString *)downloadFileName { %log; NSString * r = %orig; NSLog(@" = %@", r); return r; }
+ (id)assetWithURL:(id)url type:(int)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)initWithURLRequest:(id)urlrequest type:(int)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)initWithURLRequest:(id)urlrequest { %log; id r = %orig; NSLog(@" = %@", r); return r; }
- (id)_initWithDownloadMetadata:(id)downloadMetadata type:(id)type { %log; id r = %orig; NSLog(@" = %@", r); return r; }
%end

xi or xmi files enable Logos directives to be used in preprocessor macros, such as #define . You can also import other Logos source files with the #include statement. However, this is discouraged, since this leads to longer build times recompiling code that hasn't changed. Separating into x and xm files, sharing variables and functions via extern declarations, is recommended.

These file extensions control how a build system such as Theos should build a Logos file. Logos itself does not take the file extension into account and works regardless of whether a file is Objective-C or Objective-C++.

https://theos.dev/docs/
https://cydia.saurik.com/faq/developing.html
http://www.cydiasubstrate.com/id/7cee77bc-c4a5-4b8b-b6ef-36e7dd039692/
http://www.cydiasubstrate.com/inject/
https://iphonedev.wiki/index.php/Cydia_Substrate
https://cwcaude.github.io/project/tutorial/2020/07/02/iOS-tweak-dev-1.html
https://cwcaude.github.io/project/tutorial/2020/07/04/iOS-tweak-dev-2.html
https://cwcaude.github.io/project/tutorial/2020/07/12/iOS-tweak-dev-3.html
https://cwcaude.github.io/project/tutorial/2020/07/16/iOS-tweak-dev-4.html