某手sig3-ios算法 Chomper黑盒调用

原创 已于 2025-02-20 18:19:36 修改 · 1.9k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#frida #ios逆向 #objective-c #chomper

于 2025-02-20 17:42:29 首次发布

Chomper-iOS界的Unidbg

最近在学习中发现一个Chomper框架,Chomper 是一个模拟执行iOS可执行文件的框架,类似于安卓端大名鼎鼎的Unidbg。

这篇文章使用Chomper模拟执行某手的sig3算法,初步熟悉该框架。这里只熟悉模拟执行步骤以及一些常见的hook操作、读取操作等。

框架搭建

chomper 使用python开发,这里直接使用pip安装 pip install chomper (mac的m系列芯片,可能需要再自己电脑编译unicorn并安装)

下载chomper中rootfs​ 放在项目录下 如下:

基础代码如下:

import os

from chomper import Chomper
from chomper.const import ARCH_ARM64, OS_IOS
from chomper.objc import ObjC
from chomper.utils import pyobj2nsobj
from chomper.os.ios.hooks import register_hook
from unicorn import arm64_const

base_path = os.path.abspath(os.path.dirname(__file__))


def trace_inst_callback(self, uc, address, size, user_data):
    for inst in self.cs.disasm_lite(uc.mem_read(address, size), 0):
        self.logger.info(
            f"Trace at {self.debug_symbol(address)}: {inst[-2]} {inst[-1]}"
        )

        message = ""
        for i in range(31):
            if message:
                message += ", "
            message += f"x{i}={hex(self.uc.reg_read(getattr(arm64_const, f'UC_ARM64_REG_X{i}')))}"
        self.logger.info(message)


Chomper.trace_inst_callback = trace_inst_callback #这里是用来trace代码
#加载ios基础库支持。
emu = Chomper(
    arch=ARCH_ARM64,
    os_type=OS_IOS,
    rootfs_path=os.path.join(base_path, "rootfs/ios"),
    enable_ui_kit=True, #开启ui_kit库支持,
)

objc = ObjC(emu)

某手核心算法调用

这里不再分析sig3怎么来的,以及如何构造的,如果需要请看兔哥公众号文章。https://mp.weixin.qq.com/s/JG56KxPC7s3oSvoGkQVBRQ

算法加载流程如下:根据frida-trace得

+[KWSecurity defaultInterface]
 22578 ms  -[KWSecurity atlasSign:/rest/app/square/home/mall/tab/dynamic/feed87fa757cb702565b6afa61de4f5f9617]
 22582 ms     | +[KWSecuritySignature atlasSignPlus:0x2852e18c0 isInner:0x0 sdkid:0x10eb67638 sdkName:0x10eb67638 ztconfigFilePath:0x10eb67638]
 22582 ms     |    | +[KWOpenSecurityGuardManager getInstance]
 22582 ms     |    | -[KWOpenSecurityGuardManager getSecureSignatureComp]
 22582 ms     |    |    | -[KWOpenSecurityGuardManager getComponent:0x0]
 22582 ms     |    |    |    | +[KWOpenComponentLibrary getInstance]
 22582 ms     |    |    |    | -[KWOpenComponentLibrary getComponent:0x0]
 22582 ms     |    |    |    |    | -[KWOpenComponentLibrary sdkDict]
 22582 ms     |    | +[KWOpenSecurityGuardParamContext createParamContextWithAppKey:d7b7d042-d4f2-4012-be60-d97ff2429c17 paramDict:nil requestType:0x1 input:{
   
   length = 75, bytes = 0x2f726573 742f6170 702f7371 75617265 ... 34663566 39363137 } wbindexKey:lD6We1E8i bInnerInvoke:0x0 sdkid: sdkName: ztconfigFilePath:]
 22589 ms     |    |    | -[KWOpenSecurityGuardParamContext setAppKey:0x100932dd8]
 22589 ms     |    |    | -[KWOpenSecurityGuardParamContext setWbindexKey:0x100932df8]
 22589 ms     |    |    | -[KWOpenSecurityGuardParamContext setParamDict:0x0]
 22590 ms     |    |    | -[KWOpenSecurityGuardParamContext setRequestType:0x1]
 22590 ms     |    |    | -[KWOpenSecurityGuardParamContext setInput:0x2876d4e70]
 22590 ms     |    |    | -[KWOpenSecurityGuardParamContext setOutput:nil
最低0.47元/天 解锁文章
哈里哈气
关注
最新版某sig3深度算法还原分析
Codeooo 博客
06-28 1324
输入明文:urlpath + sig, 进行hmac_sha256算法加密后再进行aes白盒加密,crc32加密后"41512700" + 随机数+"01000000" + crc32_value + 时间戳hex+ "000d00"进行自定义逻辑算法后,生成sig3
7.68.1版本unidbg调用方式
Codeooo 博客
12-21 6913
【代码】7.68.1版本unidbg调用方式。
探索移动安全新境界:Chomper深度解析与应用实践
gitblog_00013的博客
06-06 788
探索移动安全新境界:Chomper深度解析与应用实践 chomperA lightweight emulation framework for performing encryption or decryption of mobile platform (Android, iOS).项目地址:https://gitcode.com/gh_mirrors/ch/chomper 在移动安全领域,对于...
app端sig3、__NS_sig3、__NS_sig3算法测试
小羊驼的博客
01-17 2456
解密服务已打包成jar文件,目文章主要讲解如何调用接口获取sig值。将解密服务上传到服务器并运行,或者使用本地环境运行项目。部署后运行项目,如果出现以下提示就说明部署成功,可以直接调用(记得开放端口),访问地址为服务器的地址加端口。在语言模型中,编码器和解码器都是由一个个的 Transformer 组件拼接在一起形成的。方法取得的sig参数对上方部署的服务进行请求,即可得到。以上就是本次测试的全部流程,如有需要代码的可以联系我哦。
APP逆向 day24unidbg上
最新发布
2509_93930245的博客
10-28 788
unidbg是一个Java开源项目,可以帮助我们去模拟一个安卓或IOS设备,用于去执行so文件中的算法,从而不需要再去逆向他内部的算法它是一个基于 unicorn 的逆向工具,可以直接调用Android和iOS中的 so 文件允许您模拟 Android native library 和 实验性的 iOS 模拟而在什么时候使用unidbg呢?
最新sig __NS_sig3 __NStokensig易语言方案
q2261850466的博客
04-22 1736
sig3
ks ios极速版、概念版、创作版sig sig3
Codeoooo 博客
11-02 2030
对于快ios版本抓包很简单,直接vpn转发抓包方式即可,不可用代理抓包;这个和安卓的ks抓包也差不多,不过安卓还需要个hook掉一些东西才可以。ios的防护还是很低的,不像安卓中对于快来说so中有大量花指令,动去修改还很多,而且很类似,直接可以用脚本批量修复花指令及无法跳转的问题。https://creator-api.gifshow.com 这样的域名。快除了正版下,还有极速版,概念版,创作版。然而看了下概念版还是风控比正版要低的多~
精选资源
NS sig3签名算法,2024年10月份更新
11-01
开发者通过编写run.js文件来演示如何在网页中调用和使用__NS_sig3.js文件中的签名算法,run.js文件可能包含了一些JavaScript代码,用于在网页中运行和展示NS sig3签名算法的实际操作过程。 对于快平台来说,NS ...
精选资源
sig3sig、NStoken算法,附带测试用例
06-08
本文将深入探讨标题中的"快sig3sig、NStoken算法",并提供相关的Python实现及测试用例。 一、sig3算法 sig3是快用来对请求参数进行签名的一种方式,以防止请求被篡改。它的主要作用是确保请求的数据在传输...
精选资源
协yi算法sig和NStokensig-易语言
06-13
这次发的是快协yisig 和NStokensig算法,did和sig3过几天在发
镜像 k8s.gcr.io/sig-storage/nfs-subdir-external-provisioner:v4.0.2
04-22
k8s.gcr.io/sig-storage/nfs-subdir-external-provisioner:v4.0.2 被墙无法pull,使用nfs方式提供k8s PVC必须的镜像包。 本人小水管拉下来的,拿走不谢。 使用方法: #解压 tar -xvf k8s.gcr.io_sig-storage_nfs-...
某短视频平台最新sig3字段算法分析(一)
yanjunccc的博客
01-16 1644
最近看到里的某短视频APP来了兴致,特意拿来分析记录下,整个系列文章大概分为抓包,java层分析,so定位,so去花,unidbg,算法还原等几个部分,这几篇文章会记录下我的整个调试过程,前面的文章会比较基础,入门级玩家基本可以略过了,因为考虑到文章的连续性我这边还是会记录发表下。
Chomper 开源项目教程
gitblog_00983的博客
08-31 582
Chomper 开源项目教程 1. 项目的目录结构及介绍 Chomper 项目的目录结构如下: chomper/ ├── README.md ├── src/ │ ├── main.py │ ├── config.py │ ├── utils/ │ │ ├── helper.py │ │ └── logger.py │ └── modules/ │ ├─...
探索《SecuritySDK》:强化你的应用安全防护
gitblog_00047的博客
03-31 457
探索《SecuritySDK》:强化你的应用安全防护 在这个数字化的时代,应用安全已经成为每个开发者不容忽视的重要议题。 是一个专为开发者设计的安全工具包,它提供了丰富的安全功能,帮助你的应用程序在面对各种安全威胁时更加稳固。 项目简介 SecuritySDK 是由 Daizhong Yin 开发的一款开源软件开发套件,它的目标是简化安全集成过程,让开发者能够在不牺牲效率的前提下,增强其应用的安全...
android elf内存回收,重写方法后报内存异常 · Issue #165 · zhkl0228/unidbg · GitHub
weixin_33908906的博客
06-01 1056
"C:\Program Files\Java\jdk1.8.0_171\bin\java" "-javaagent:D:\IntelliJ IDEA 2017.3\lib\idea_rt.jar=8513:D:\IntelliJ IDEA 2017.3\bin" -Dfile.encoding=UTF-8 -classpath "C:\Program Files\Java\jdk1.8.0_171...
2024-sig __NS_sig3 sig3...参数脱机, unidbg生成加密参数
weixin_44110940的博客
06-16 1083
说明: 此代码仅供用于学习交流, 切勿用于非法用途。有需要的可以私信我交流学习。
android安全和web安全哪个好用,GitHub - bitian/SecuritySDK: Android安全SDK,提供基础的安全防护能力,如安全webview、IPC安全通信、应用和插件安全...
weixin_39652154的博客
05-26 359
SecuritySDKSecuritySDK是为Android APP提供一系列安全防护功能,包括但不限于:基础加固对抗防护、典型漏洞防护方案和代码、威胁情报收集等功能。其中securitysdkcore是项目核心功能代码,app只是securitysdkcore的测试demo apk。项目成员:daizy(daizhongyin@126.com)、张林(97615274@qq.com)、唐海洋(...
动实现gcc-phat算法
01-08
### 动实现 GCC-PHAT 算法 GCC-PHAT (Generalized Cross-Correlation with Phase Transform) 是一种用于估计两个信号之间时延的技术,在声源定位等领域有广泛应用。该方法通过计算两路音频信号之间的互相关函数并应用相位变换来提高延迟估计精度。 对于动实现 GCC-PHAT 的过程可以分为几个部分处理: - **傅里叶变换**:将输入的时间域信号转换到频域表示形式。 - **交叉谱密度计算**:基于频率响应求解两个信号间的交叉功率谱密度。 - **相位变换**:对得到的结果施加特定的权重因子,即 PHAT 权重。 - **逆傅里叶变换**:最后再把经过处理后的数据变回时间轴上以便找到最大值对应的位置作为估计出来的相对延迟量。 下面给出 Python 实现的一个简单例子[^1]: ```python import numpy as np from scipy import signal, fftpack def gcc_phat(sig, refsig, fs=1, max_tau=None, interp=16): ''' sig 和 refsig 应当是长度相同的向量序列 ''' # 计算FFT大小以及填充零的数量 n = sig.shape[0] m = refsig.shape[0] SIG = fftpack.fft(sig, n=n * interp) REFSIG = fftpack.fft(refsig, n=n * interp) R = SIG * np.conj(REFSIG) cc = fftpack.ifft(R / abs(R)) max_shift = int(interp * n / 2) if max_tau: max_shift = min(int(max_tau * fs), max_shift) cc = np.concatenate((cc[-max_shift:], cc[:max_shift + 1])) # 寻找峰值位置 shift = np.argmax(np.abs(cc)) - max_shift tau = shift / float(fs * interp) return tau, cc ``` 此代码片段实现了基本功能,可以根据实际应用场景调整参数设置以优化性能表现。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值