frida-trace -U -i CCCrypt* -m "-[NSURLRequest *]" -a WhatsApp!FF1235 WhatsApp
-i - Π½Π°ΡΠΈΠ²Π½ΡΠ΅ ΡΡΠ½ΠΊΡΠΈΠΈ
-m - iOS ΠΌΠ΅ΡΠΎΠ΄Ρ
-a - ΠΏΠ΅ΡΠ΅Ρ
Π²Π°Ρ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»ΡΡΠΊΠΈΠΉ ΡΡΠ½ΠΊΡΠΈΠΉ, (sub_FF1235 ΠΈΠ»ΠΈ sub_10FF1235 ? ),
-a module!offset - Π² ΠΎΠ±ΡΠ΅ΠΌ Π²ΠΈΠ΄Π΅, Π΅ΡΠ»ΠΈ ΡΡΠ½ΠΊΡΠΈΡ Π½Π΅ Π² ΠΌΠΎΠ΄ΡΠ»Π΅, ΡΠΎ module = Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΡ
Daniel: "Π’ΠΎΠ»ΡΠΊΠΎ ΡΠ°ΠΌ Π½ΡΠ°Π½ΡΡ Π΅ΡΡΡ, Π½Π° Π°ΠΉΠΎΡ ΠΈΠ½ΠΎΠ³Π΄Π° Π½Π°Π΄ΠΎ 1 Π±Π°ΠΉΡ ΠΏΡΠΈΠ±Π°Π²ΠΈΡΡ"
(http://o2m.dyndns.org:39581/~petrakov/clxphpm58wwh5db.png)
-[NSURLRequest *] - Ρ
ΠΎΡΠΈΠΌ ΠΏΠ΅ΡΠ΅Ρ
Π²Π°ΡΠΈΡΡ Π²ΡΠ΅ ΠΌΠ΅ΡΠΎΠ΄Ρ ΠΊΠ»Π°ΡΡΠ° NSURLRequest,
Π΅ΡΠ»ΠΈ Π½Π°Π΄ΠΎ ΡΡΠΎ-ΡΠΎ ΠΊΠΎΠ½ΠΊΡΠ΅ΡΠ½ΠΎΠ΅, ΡΠΎ Π²ΠΌΠ΅ΡΡΠΎ * - Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΠΌΠ΅ΡΠΎΠ΄Π°
ΠΠ΅ΡΠ΅Ρ
Π²Π°Ρ ΠΊΠΎΠ½ΠΊΡΠ΅ΡΠ½ΡΡ
ΠΈΠ½ΡΡΡΡΠΊΡΠΈΠΉ (ΠΏΠΎ ΡΡΡΠΈ: breakpoint - ΠΌΠΎΠΆΠ΅ΠΌ ΠΏΠ΅ΡΠ΅Ρ
Π²Π°ΡΠΈΡΡ Π»ΡΠ±ΠΎΠ΅ ΠΌΠ΅ΡΡΠΎ Π² ΠΊΠΎΠ΄Π΅)
ΠΡΠΈΠΌΠ΅Ρ Ρ
ΡΠΊΠ° Π² hooks*.txt: -a Module!0x1001abbca! GOOD # ΠΡΠΎΡΡΠΎ Π΄ΠΎΠ±Π°Π²Π»ΡΠ΅ΠΌ ! Π² ΠΊΠΎΠ½Π΅Ρ. ΠΡΠΎ Π°Π΄ΡΠ΅Ρ ΠΈΠ½ΡΡΡΡΠΊΡΠΈΠΈ Π² IDA (Π½ΠΎΡΠΌΠ°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π½ΠΎΠ΅ Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ - Π±Π΅Π· ASLR)
ΠΡΠΈΠΌΠ΅Ρ hook.js ΠΎΠ±ΡΠ°Π±ΠΎΡΡΠΈΠΊΠ°:
{
onInstruction: function (log, args, state)
{
log("--> Snapchat!0x1001abbca: x0 = " + this.context.x0 + ", x1 = " + this.context.x1 + ", x8 = " + find_module_offset_by_addr(this.context.x8));
// x* - ΡΠ΅Π³ΠΈΡΡΡΡ, ΠΊΠΎΡΠΎΡΡΠ΅ Ρ
ΠΎΡΠΈΠΌ ΠΏΠ΅ΡΠ΅Ρ
Π²Π°ΡΠΈΡΡ (Π·Π½Π°ΡΠ΅Π½ΠΈΠ΅ Π½Π΅ Π½ΠΎΡΠΌΠ°Π»ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ - Ρ ASLR)
}
}