https://mobile-security.gitbook.io/mobile-security-testing-guide/ios-testing-guide/0x06j-testing-resiliency-against-reverse-engineering

https://scent2d.tistory.com/86

위 경로 참고

if (ObjC.available) {

try {
var className = "mVaccine";
var funcName = "- mvc";
var hook = eval('ObjC.classes.' + className + '["' + funcName + '"]');
var newretval = ptr("0x0")

Interceptor.attach(hook.implementation, {
    onLeave: function(retval) { console.log("[*] Class Name: " + className);
    console.log("[*] Method Name: " + funcName);
    console.log("\t[-] Type of return value: " + typeof retval);
    console.log("\t[-] Original Return Value: " + retval);
    retval.replace(newretval)
    console.log("\t[-] New Return Value: " + newretval) } });

var className2 = "cc_Util";
var funcName2 = "+checkJailBreakStatus";
var hook2 = eval('ObjC.classes.' + className + '["' + funcName + '"]');

Interceptor.attach(hook2.implementation, {
    onLeave: function(retval) { console.log("[*] Class Name: " + className);
    console.log("[*] Method Name: " + funcName);
    console.log("\t[-] Type of return value: " + typeof retval);
    console.log("\t[-] Original Return Value: " + retval);
    newretval = ptr("0x0")
    retval.replace(newretval)
    console.log("\t[-] New Return Value: " + newretval) } });

var className3 = "cc_IntroViewController";
var funcName3 = "- prepareAppStateCheck";
var hook3 = eval('ObjC.classes.' + className + '["' + funcName + '"]');

Interceptor.attach(hook3.implementation, {
    onLeave: function(retval) { console.log("[*] Class Name: " + className);
    console.log("[*] Method Name: " + funcName);
    console.log("\t[-] Type of return value: " + typeof retval);
    console.log("\t[-] Original Return Value: " + retval);
    newretval = ptr("0x0")
    retval.replace(newretval)
    console.log("\t[-] New Return Value: " + newretval) } });


}
catch(err) { console.log("[!] Exception2: " + err.message); } }

else { console.log("Objective-C Runtime is not available!"); }

관건은...내가 후킹하고 싶은

클래스명, 메소드명을 찾아서.. 

해당 메소드명의 값을 출력해보고 

반환 값을 replace하면 된다. 

 - 참고

https://blog.attify.com/bypass-jailbreak-detection-frida-ios-applications/

https://github.com/0xdea/frida-scripts

https://github.com/Ebryx/AES-Killer?fbclid=IwAR1guTuraiAJPTUSy8cwVbDun-Nd-n7LEpajE5abjxJo0dRcb81CKwQpSR0

https://wayhome25.github.io/cs/2017/04/11/cs-13/

위 경로 참고

함수의 호출방식

call-by-value (값에 의한 호출)

• 함수가 호출될 때, 메모리 공간 안에서는 함수를 위한 별도의 임시 공간이 생성된다. (c++의 경우 stack frame) 함수가 종료되면 해당 공간은 사라진다.
• 스택 프레임(Stack Frame) : 함수 호출시 할당되는 메모리 블록(지역변수의 선언으로 인해 할당되는 메모리 블록)
• call-by-value 값에 의한 호출방식은 함수 호출시 전달되는 변수의 값을 복사하여 함수의 인자로 전달한다.
• 복사된 인자는 함수 안에서 지역적으로 사용되는 local value의 특성을 가진다.
• 따라서 함수 안에서 인자의 값이 변경되어도, 외부의 변수의 값은 변경되지 않는다.
• Java의 경우 함수에 전달되는 인자의 데이터 타입에 따라서 (원시자료형 / 참조자료형) 함수 호출 방식이 달라진다.
  • 원시 자료형 (primitive type) : call-by-value 로 동작 (int, short, long, float, double, char, boolean )
  • 참조 자료형 (reference type): call-by-reference 로 동작 (Array, Class Instance)

call-by-reference (참조에 의한 호출)

• 함수가 호출될 때, 메모리 공간 안에서는 함수를 위한 별도의 임시 공간이 생성된다. (예: stack frame) 함수가 종료되면 해당 공간은 사라진다.
• call-by-reference 참조에 의한 호출방식은 함수 호출시 인자로 전달되는 변수의 레퍼런스를 전달한다. (해당 변수를 가르킨다.)
• `따라서 함수 안에서 인자의 값이 변경되면, 아규먼트로 전달된 객체의 값도 함께 변경된다.

https://github.com/ecthros/uncaptcha2

https://github.com/haroonawanofficial/Amazon-AWS-Hack

아직 확인 불가

https://github.com/charles2gan/GDA-android-reversing-Tool

https://github.com/rhaidiz/broxy

charles 외 다른 프록시를 찾던 중 확인

아직 실행은 안해봄

https://github.com/nabla-c0d3/ssl-kill-switch2/releases

모바일 단말기의 프록시 설정 시 단말기와 프록시 구간의 SSL 암호화가 사설 인증서로 암호화 되기 때문에, 경고 메세지가 뜨거나 통신을 수행할 수 없는 경우가 빈번히 발생합니다.

위의 문제 때문에 모바일 단말기에 SSL 패킷 분석을 위해 사설 인증서를 신뢰할 수 잇는 인증서로 등록하여 패킷 분석을 진행합니다. (ex /Burp/cert)

하지만, 디바이스의 신뢰할 수 있는 저장소를 무시하고 자체적으로 앱 내부에 저장된 인증서로 SSL 연결을 맺는 앱들이 존재하여 프록시 툴 상에 패킷을 확인할 수 없는 경우가 존재합니다.

인증서에 대한 검증이 클라이언트 측에서 이루어지기 때문에 애플리케이션에서 수행되는 인증서 검증을 비활성화하는 트윅을 설치하여 인증서 검증의 우회가 가능합니다.

com.nablac0d3.sslkillswitch2_0.14.deb 파일

/private/var/mobile/Media/Downloads 경로에 이동

dpkg -i <package>.deb

killall -HUP SpringBoard

github.com/blackberry/pe_tree