[IOS] IOS Decrpyt IPA with frida ios dump(11.X 이상)

IOS Decrpyt IPA with frida ios dump(11.X 이상)

intro.

ios 11.X 이상으로 넘어오면서 Clutch가 안된다.
이 때, frida를 사용하면 앱 복호화가 가능해진다.

 

install.

1) frida-ios-dump 파일을 설치한다.
git clone https://github.com/AloneMonkey/frida-ios-dump.git

AloneMonkey/frida-ios-dump

 

2) 파일을 받으면 아래와 같은 리스트를 확인할 수 있다.
requirements.txt를 설치하여 필요한 패키지들을 한번에 설치한다.

 

pip install -r requirements.txt --upgrade

 

3) 설치완료 후 임의의 앱(Safari)을 실행하여 frida 동작여부를 확인한다.

python >>> import frida >>> frida.get_usb_device() >>> Device(id="a8e0~~~~~~~~~~~", name="iOS Device", type='usb') >>> frida.get_usb_device().attach("Safari") >>> Session(pid=5057)

 

4) 앱을 decrypt를 수행하는 dump.py의 내용 중 일부를 수정한다.

에러가 발생하는 문제를 해결하기 위해 62번 줄의 테더를 usb로 변경한다.

 

usage.

1) 현재 decrpyt가 가능한 프로세스 리스트를 확인한다.

./dump.py -l

 

2) 리스트 내 존재하는 프로세스 중 decrpyt를 수행할 프로세스를 선택해 decrpyt를 수행한다.

./dump.py <app_name>

 

3) 앱이 디크립트가 수행되면 ipa 파일로 결과물이 떨어지게된다.
앱의 이름이 한글인 경우 프로세스 리스트의 Identifier로도 디크립트가 가능하다.