[原创]Frida日志收集查看工具 FridaNSLogger-iOS安全-看雪-安全社区|安全招聘|kanxue.com

[原创]Frida日志收集查看工具 FridaNSLogger

2020-1-14 21:59 15569

[原创]Frida日志收集查看工具 FridaNSLogger

butterflydog 活跃值

活跃值

2020-1-14 21:59

15569

FridaNSLogger

FridaNSLogger可以在Frida中将日志信息通过socket连接发送至Mac端查看。
Mac端日志查看工具 FridaNSLoggerViewer 基于 NSLogger 修改实现。
项目地址

特点

可以在Frida TypeScript代码中直接发送日志消息；
支持 string 和 binary 类型日志消息；
支持简单的断线重连；
完备的Mac端日志查看器FridaNSLoggerViewer（支持日志分级，过滤，保存等）；

快速使用

在Mac端启动日志查看器FridaNSLoggerViewer，默认监听 127.0.0.1:50010 ，并获取该Mac系统内网IP(比如192.168.2.10)
在Frida TypeScript工程中引用：

import { Logger } from "./logger";
import { swapInt64 } from "./logger";

// 连接到局域网内的FridaNSLoggerViewer，注意修改IP。
// 如果Frida脚本
const logger = new Logger('192.168.2.10', 50010);
logger.logStr('helloworld'); //发送string类型日志

const testS64 = new Int64('0x0102030405060708');
const testBuf = Memory.alloc(8).writeS64( swapInt64(testS64) ).readByteArray(8);
logger.logBinary(testBuf as ArrayBuffer); //发送binary类型日志

FridaNSLoggerViewer 效果如下图：
图片描述

原理

Frida脚步内作为client，利用Frida的 SocketConnection 接口，将日志编码后发送；
FridaNSLoggerViewer作为socket服务端，可监听局域网内多个client发来的连接。NSLogger原有实现需要加密后的socket数据，FridaNSLoggerViewer对其修改，去掉了加密，支持 raw tcp packet.

新加入的client默认第一条消息发送设备信息，包含Frida版本，系统版本等信息。后续每条日志打包为一个LogMessage发送。

NSLogger接收的单个二进制数据包格式为：

uint32_t    totalSize        //(total size for the whole message excluding this 4-byte count)
uint16_t    partCount        //(number of parts below)
[repeat partCount times]:
    uint8_t        partKey        //the part key
    uint8_t        partType    //(string, binary, image, int16, int32, int64)
    uint32_t    partSize    //(only for string, binary and image types, others are implicit)
    .. `partSize' data bytes

举例：
一个LogMessage的数据包拆分如下：

00000073 //totalSize，占4byte。数值为整个包的字节数减去4，即后续部分长度
000a //0xa=10 parts，2byte，有多少个parts
0104 00000000 5e13fedb //01=PART_KEY_TIMESTAMP_S, 04=PART_TYPE_INT64
0304 00000000 00011402 //03=PART_KEY_TIMESTAMP_US
0400 00000008 54687265 61642036  //PART_KEY_THREAD_ID   
0003 00000003 // PART_KEY_MESSAGE_TYPE  PART_TYPE_INT32 
1500 00000001 31 //0x15=21,PART_KEY_CLIENT_VERSION
1400 0000000f 4e534c6f 67676572 54657374 417070 // 0x14=20,PART_KEY_CLIENT_NAME 
1900 00000008 6950686f 6e652058 //0x19=25=PART_KEY_UNIQUEID
1700 00000004 31322e32 //0x17=23=PART_KEY_OS_VERSION
1600 00000003 694f53 //0x16=22=PART_KEY_OS_NAME
1800 00000006 6950686f6e65 //0x18=24=PART_KEY_CLIENT_MODEL

(完)

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

收藏・7

点赞・1

打赏

分享

最新回复 (5)
ydscience 雪币： 175 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 2 关注私信	ydscience 2020-1-15 09:16 2 楼 0 好文
touchmii 雪币： 313 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	touchmii 2020-2-13 15:37 3 楼 0 好东西
Jennifor 雪币： 244 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	Jennifor 2020-3-6 17:14 4 楼 0 咨询下lz，我也是在应用中将frida脚本作为client，然后nodejs写了个服务端，想实现tcp数据的双向传输，可是我这边客户端只有在连接后收到服务端一次数据，然后数据就收不到了，请问怎么用SocketConnection实时监听到服务端发过来的数据呢
butterflydog 雪币： 1078 活跃值： (1112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 11 粉丝 4 关注私信	butterflydog 2020-3-10 21:58 5 楼 0 写了个demo测试了一下，Frida作为client，不停的read就行，下面是假设每次服务器发的包都是10字节，注意pkglen的设置。根据你自己的包的格式，修改每次读取的大小，注意有的包可能会被拆开收完。 const pkglen = 10; function readRspData(socket:SocketConnection) { socket.input.read(pkglen).then ( (buf) => { console.log('read success, len', buf.byteLength, buf); readRspData(socket); }).catch((err)=> { console.log('read fail', err) //readRspData(socket);?? }) }
airbus 雪币： 244 活跃值： (163) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 228 粉丝 2 关注私信	airbus 2021-6-8 16:11 6 楼 0 frida 上windows的相关分析好像比较少？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

返回

butterflydog

发帖

回帖

RANK

关注

他的文章

[原创] 基于Frida实现了个Mac OS app [CatFrida]，可以快速查看越狱设备上的app信息

[原创]初探Swift Runtime：使用Frida实现针对Alamofire的抓包工具

[原创] 从Mach-O中导出swift对象定义的小工具：SwiftDump

[原创] 谁动了我的宽带？记一次HTTP劫持的发现过程

[原创]Frida日志收集查看工具 FridaNSLogger

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区