[mobile] ios memory dump with fridump

[mobile] ios memory dump with fridump

 

1. 환경 

 

iphone 6 / ios 11.4.1 / unc0ver 탈옥 (https://github.com/pwn20wndstuff/Undecimus)

frida - iOS, 윈도우 둘다 설치

python 2.7

fridump (https://github.com/Nightbringer21/fridump)

 

2. fridump 로 메모리 덤프하기

 

fridump는 한글이름의 앱을 덤프시도하면 제대로 인식하지 못해 메모리 덤프가 불가능하다.

(단, fridump를 python 3 버전에 맞는 걸 사용하면 해결가능)

그래서 위 환경에서 한글앱 메모리 덤프를 위해 fridump.py 코드를 수정한다.

 

attach(APP_NAME) -> attach(int(APP_NAME)) 으로 수정하여 저장한다. 한글 앱은 앱 이름으로 인식이 안되기에 int형으로 바꿔 pid로 인식하여 메모리 덤프를 하기 위한 수정이다.

 

frida-ps -U 명령어를 이용하여 USB 케이블로 연결된 iPhone의 프로세스를 조회하고 그 중 한글 앱의 pid를 확인하다.

 

fridump.pu -U -r [PID] 명령어를 통해 해당 앱의 메모리를 덤프한다.

 

확인결과, 해당 앱의 메모리가 잘 덤프된 것을 확인 할 수 있다.

 

gdb보다는 아무래도 fridump를 이용하는 것이 좀더 편하고 빠른 것 같다. 

 

-END-