• ida | hopper
• python3 & frida
  pip3 uninstall frida
  pip3 uninstall frida-tools
  pip3 install frida -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com
  pip3 install frida-tools -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com
• dylib 注入工具 https://github.com/tyilo/insert_dylib
• rd_route 劫持库 https://github.com/rodionovd/rd_route

第一步 寻找特征

利用 苹果软件的 i18n 来搜索关键字符串 用 IDE 打开这个目录

全局搜索 Your copy of AirBuddy is not activate

注意看，这些文件是一个 framework 和一个 xpc 文件中存在的。xpc 就不多说了，就没有意义。我们直接重点关注 AirCore.framework 文件。

/Applications/AirBuddy.app/Contents/Library/LoginItems/AirBuddyHelper.app/Contents/Frameworks/AirCore.framework/Versions/A/Resources/en.lproj/Localizable.strings
/Applications/AirBuddy.app/Contents/Library/LoginItems/AirBuddyHelper.app/Contents/Frameworks/AirCore.framework/Versions/A/AirCore

"LICENSE_STATE_NOT_ACTIVATED" = "Your copy of AirBuddy is not activated.";

可以看到字符串引用key就是 “LICENSE_STATE_NOT_ACTIVATED”。 我们直接在 IDA|HOPPER 中打开 AirCore 搜索：

找到定位后 查找 引用该字符串的代码

继续 查看 函数 6b4c0 的引用

事情此时变得有趣了起来：这个一看就很不对劲的函数 [ _$sSS7AirCoreE27locLicenseStateNotActivatedSSvau ]没有任何调用方！ 下面那个函数也是如此，那么他是如何被调用的呢？

由于这不是在主进程中，所以我们大胆假设：这是一个导出函数！

我们到 Exports 里面复制一部分的文字搜索，果然。 那么问题来了，哪里引用了呢？

我们直接搜主程序试试： （主程序: /Applications/AirBuddy.app/Contents/MacOS/AirBuddy）

果然不出所料。 我们继续跟进去,一直跟进看看他是如何被调用的：

然后查看流程图 , 可以看到 函数头为 sub_100050480

在这个函数的入口中，a1 所在的 r13 寄存器对内存 +153 的偏移处进行判断 (hopper 显示的 十六 进制 +0x99)， 如果不等于 1 那么执行这里的 A1F78 函数（104行），否则执行刚刚找到的 NotActivated。

__stubs:00000001000A1F78 jmp cs:_$sSS7AirCoreE24locLicenseStateActivatedSSvau_ptr

打开流程图, 可以看到, 如果执行 104 行的话, 最后会执行 sub_100017DF0 来返回函数返回值.

python 文件新建，写入 (hook_main.py)

然后我们要准备一个 _index.js，否则就没戏唱了。 那么有玩 frida 比较多的朋友可能会问，为什么不用 frida -f xxx 启动这个 app 进程 还要 python 这么麻烦？ 解答： frida 在 macOS 上的 inlinehook 有问题，会造成 app 挂起无法恢复运行状态导致超时，系统强制终止进程。因为系统认为 app 卡死了。启动失败嘛。

下面我们看下 ts 文件 ( index.ts , Utils.ts)

然后编译ts到js文件的指令：

build : frida-compile index.ts -o _index.js
watch : frida-compile index.ts -o _index.js -w

build 是编译，-w是监视文件修改自动编译。 我们执行 watch 的指令即可自动编译了。

准备工作完成，那么我们开始hook函数 __int64 __usercall sub_100050480@(__int64 a1@) 看看:
我们把可执行文件的名称写在 参数1 中，这样就会自动锁定内存里这个同名进程进行注入。

获取函数偏移: moduleBaseAddr = 0x0000000100000000
funOffset = funAddr - moduleBaseAddr = 0x0000000100050480 - 0x0000000100000000 = 0x50480

然后我们获取这个指针所在的地址，开始进入函数的挂钩：

hook(getPointer(0x50480), (ths, rev) => {

}, (ths, args) => {

    let r13 = ths.context["r13"];
    let tp = new NativePointer(r13).add(153);
    log("current:", tp.readInt())
    tp.writeInt(0)
    log("after:",tp,tp.readInt())
})

之后 运行我们的 python 脚本, 自动启动 AirBuddy 后

r13 + 153 指向的地址成功被修改, 并且注册成功了

注入我用的是 rd_route 劫持库.

毕竟不能靠 Frida 先启动然后再启动 app，这并不酷，也不符合我对高科技的想象。

用 AppCode 或者 XCode 新建项目:

如图所示。 然后 import 一下几个基本库： UI 控件库是注入 CleanMyMac 的，可以不写。

#import <objc/runtime.h>
#import <mach-o/dyld.h>
#import <SwiftUI/SwiftUI.h>
#import "rd_route.h"

直接写内联汇编啊铁子！（突然激动 s

void AirBuddy(){
    intptr_t _0x100050480 = _dyld_get_image_vmaddr_slide(0) + 0x100050480;
    rd_route((void *) _0x100050480, _0x100050480New, (void **) &_0x100050480Ori);
}
+ (void) load {
    NSString *appName = [[NSBundle mainBundle] bundleIdentifier];
    const char *myAppBundleName = [appName UTF8String];
    NSLog(@"=== AppName is %s.",myAppBundleName);
    AirBuddy();
}

然后我们用 _dyld_get_image_vmaddr_slide(0) + 0x100050480; 加上函数偏移得到内存中这个函数的偏移地址。 为什么 _dyld_get_image_vmaddr_slide 参数选 0 捏？因为这是选择第一个镜像（也就是可执行文件本身的内存空间镜像基址），具体细节懒得说，百度搜一下大家就懂了。 记住写 0 就是表示 App 可执行文件本身,也就是你注入的那个进程本身。别乱写哦，因为app在运行时不止一个内存镜像。 然后我们伪造一个函数 0x100050480New 进行挂钩。

int _0x100050480New() {
    NSLog(@"==== _0x100050480New called");
    __asm
    {   
        //内联汇编直接修改寄存器的值
        mov byte ptr[r13+99h], 0
    }
    NSLog(@"==== _0x100050480New call end");
    return _0x100050480Ori(); // 调用原函数恢复执行
}

接下来声明一下原始函数保存地址，这里直接转换成函数结构体可以直接调用

int (*_0x100050480Ori)();

定义原函数返回值int 无参数 加上 取该变量内存地址里的值以被下面挂钩函数赋新值： rd_route((void *) _0x100050480, _0x100050480New, (void ) &_0x100050480Ori);
(void ) &_0x100050480Ori 这里用 (void *) 进行类型转换，&取地址符传递地址进函数。 然后 _0x100050480Ori 保存的就是原函数地址了，注意如果不写“ * ”你会得到 _0x100050480Ori 的内存地址而不是这个内存地址里面的值。
然后使用经典的 mov 指令在函数进入时将寄存器的值赋予 0，并恢复原函数执行，这样原函数读到的就是新的 r13 寄存器里的这个 0 值啦！

__asm
    {   
        //内联汇编直接修改寄存器的值
        mov byte ptr[r13+99h], 0
    }

按下 build 狠狠的编译出dylib文件。libairbuddy.dylib

要 hook 的 函数是主程序 AirBuddy.app 的啊, 为啥 用 insert_dylib 注入 lib 的时候 , 注入的 LetsMove.app 啊??

因为我们想修改内存的是主程序二进制文件，所以我们千万不要注入任何影响到偏移地址有关的文件，如 AirCore 和 AirBuddy 二进制文件，为什么呢？因为这样会造成文件偏移错误。我们的偏移地址是根据IDA读出的原始二进制来算的，如果你注入了这些文件地址就会发生移位，这就无法通过原地址进行正确的注入了。所以我挑了个好欺负的小文件。也别去注入几MB的大文件，手动来回复制文件很麻烦的。

注意: 生成的 libInlineInjectPlugin 文件位置确定后,不要删除,否则注入的程序启动会失败

Usage: insert_dylib dylib_path binary_path [new_binary_path]
Option flags: --inplace --weak --overwrite --strip-codesig --no-strip-codesig --all-yes

dylib="/Users/voidm/Downloads/insert_dylib"
target_dll="/Users/voidm/Library/Developer/Xcode/DerivedData/InlineInjectPlugin-gkfcehaqmflzmaewkaqxbqdjwhdv/Build/Products/Debug/libInlineInjectPlugin.dylib"
target_bin="/Applications/AirBuddy.app/Contents/Frameworks/LetsMove.framework/Versions/A/LetsMove"
out_bin="/Applications/AirBuddy.app/Contents/Frameworks/LetsMove.framework/Versions/A/LetsMove"

backup_name="${target_bin}_$(date +%Y%m%d%H%M%S)"
cp "$target_bin" "$backup_name"

sudo $dylib $target_dll $target_bin $out_bin

• 2024, macOS-InjectPluginCode, https://github.com/QiuChenlyOpenSource/macOS-InjectPluginCode
• 2024, [MacOS逆向] AirBuddy2 2.6.3 的dylib注入方案 (2) , https://www.52pojie.cn/thread-1739112-1-1.html
• 2023, Search Engine By Google.
• 2023, Bing Global Search Engine By Microsoft.
• 2023, MacOS动态注入的三种方式及hook方案, https://blog.csdn.net/tangsilian/article/details/89442802
• 2023, macOS 逆向從入門到破解 Frida + Hopper + dylib 注入, https://beeeeemo.dev/2021/08/macos-%E9%80%86%E5%90%91%E5%BE%9E%E5%85%A5%E9%96%80%E5%88%B0%E7%A0%B4%E8%A7%A3-frida-hopper-dylib-%E6%B3%A8%E5%85%A5/
• 2023, 404 WebSite by code-examples.net, https://code-examples.net/zh-CN/q/204273
• 2023, JianShu by https://www.jianshu.com/p/3c8a9a6cee8d
• 2023, 404 WebSite by https://github.com/rodionovd/rd_route
• 2023, 使用Frida优雅调试010 Editor https://www.chinapyg.com/thread-134972-1-1.html
• 2023，Objective-C的hook方案（一）: Method Swizzling by https://blog.csdn.net/yiyaaixuexi/article/details/9374411
• 2023，运行时注入方式破解最新Mac版010 Editor v9.0.1 https://www.52pojie.cn/forum.php?mod=viewthread&tid=861809&extra=page%3D1%26filter%3Dtypeid%26typeid%3D377