2026-04-02 05:14:13 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了如何使用Frida-trace工具对iOS应用进行数据包解密。首先讲解了苹果系统加密库CommonCrypto的核心组件，包括对称加密、摘要算法和HMAC算法，并详细解析了CCCrypt函数的参数。随后，通过一个抓包发现加密数据的案例，演示了使用frida-trace-UF-iCCCrypt命令跟踪目标进程，以及如何修改自动生成的JavaScriptHook脚本来捕获加密操作类型、算法、密钥、IV向量等关键信息，从而实现解密。 综合评分： 85 文章分类： 移动安全,渗透测试,逆向分析,恶意软件,安全工具

cover_image

【APP专题】使用Frida-trace进行解密初体验

隐雾安全

2026年3月27日 09:00 四川

📝 编者语

平时遇到的一些有加密操作的APP,不少是直接使用的苹果官方提供的系统加密库进行加密操作。接下来就简单的了解一下iOS使用的系统加密库：CommonCrypto以及如何对APP调用系统加密库加密的数据包内容进行解密。

CommonCrypto库简介

CommonCrypto的中文直译是”通用加密”。苹果提供的系统加密库，有原生的对称加密算法和Hash算法，支持iOS和Mac开发。其支持加密算法有：AES、DES、3DES、CAST、RC2、RC4、Blowfish、MD5、SHA1/224/256/384/512等加密算法。

https://opensource.apple.com/source/CommonCrypto/CommonCrypto-36064/CommonCrypto/

可以看到，在CommonCrypto文件夹中，我们看到有以下三个文件：

CommonCryptor.h

对称加密算法相关，包含了块加密和流加密两种类型。它们分别是AES、DES、3DES、CAST、BLOWFISH和RC2以及RC4。

CommonDigest.h

摘要算法相关，包括如MD5,SHA家族等哈希摘要算法。

CommonHMAC.h

HMAC算法算法相关，包含是HMAC+MD5、HMAC+SHA1等，是HMAC算法利用哈希算法，以一个密钥和一个消息为输入，生成一个消息摘要作为输出。

相关加密算法苹果基本上已经给我们封装好了，可以直接使用，接下来，主要了解一下相关加密算法的方法接口涉及的参数的意义，以便在对APP通信数据包解密的时候能有效的获取到加密算法信息，进行解密。

CCCrypt

函数定义

CCCryptorStatus&nbsp;CCCrypt(&nbsp; CCOperation op, &nbsp; &nbsp; &nbsp;/* kCCEncrypt, etc. */&nbsp; CCAlgorithm alg, &nbsp; &nbsp;/* kCCAlgorithmAES128, etc. */&nbsp; CCOptions options, &nbsp; &nbsp;/* kCCOptionPKCS7Padding, etc. */&nbsp;&nbsp;const&nbsp;void&nbsp;*key,&nbsp;&nbsp;size_t&nbsp;keyLength,&nbsp;&nbsp;const&nbsp;void&nbsp;*iv, &nbsp; &nbsp; &nbsp;/* optional initialization vector */&nbsp;&nbsp;const&nbsp;void&nbsp;*dataIn, &nbsp; &nbsp;/* optional per op and alg */&nbsp;&nbsp;size_t&nbsp;dataInLength,&nbsp;&nbsp;void&nbsp;*dataOut, &nbsp; &nbsp; &nbsp;/* data RETURNED here */&nbsp;&nbsp;size_t&nbsp;dataOutAvailable,&nbsp;&nbsp;size_t&nbsp;*dataOutMoved)

参数说明

CCOperation op

kCCEncrypt = 0 → 调用CCCrypt方法传入此值时表示加密；
kCCDecrypt = 1 → 调用CCCrypt方法传入此值时表示解密；

enum&nbsp;{&nbsp;kCCEncrypt =&nbsp;0, &nbsp;&nbsp;kCCDecrypt =&nbsp;1, &nbsp; &nbsp;};typedef&nbsp;uint32_t&nbsp;CCOperation;

CCAlgorithm alg

此参数决定选择使用什么加密算法

enum&nbsp;{&nbsp;kCCAlgorithmAES128 =&nbsp;0,&nbsp;kCCAlgorithmDES =&nbsp;1, &nbsp; &nbsp;&nbsp;kCCAlgorithm3DES =&nbsp;2, &nbsp; &nbsp;&nbsp;kCCAlgorithmCAST =&nbsp;3, &nbsp; &nbsp;&nbsp;kCCAlgorithmRC4 =&nbsp;4,&nbsp;kCCAlgorithmRC2 =&nbsp;5&nbsp; &nbsp;&nbsp;};typedef&nbsp;uint32_t&nbsp;CCAlgorithm;

CCOptions options

此参数的作用是决定选择的补码方式，以及是否选择ECB模式，默认是CBC模式

enum&nbsp;{&nbsp;/* options for block ciphers */&nbsp;kCCOptionPKCS7Padding &nbsp;=&nbsp;0x0001,&nbsp;kCCOptionECBMode &nbsp; &nbsp;=&nbsp;0x0002&nbsp;/* stream ciphers currently have no options */};typedef&nbsp;uint32_t&nbsp;CCOptions;

const void *key

密钥：加密和解密的密钥必须一致。必须和选择的算法相匹配，不同的算法要求的秘钥长度不一样

size_t keyLength

密钥的大小，这里是真正决定密钥长度的地方

1个字节 = 8个比特；1个字节 = 2个16进制字符

enum&nbsp;{&nbsp;kCCKeySizeAES128 &nbsp;=&nbsp;16,&nbsp;kCCKeySizeAES192 &nbsp;=&nbsp;24,&nbsp;kCCKeySizeAES256 &nbsp;=&nbsp;32,&nbsp;kCCKeySizeDES &nbsp; &nbsp;=&nbsp;8,&nbsp;kCCKeySize3DES &nbsp; &nbsp;=&nbsp;24,&nbsp;kCCKeySizeMinCAST &nbsp;=&nbsp;5,&nbsp;kCCKeySizeMaxCAST &nbsp;=&nbsp;16,&nbsp;kCCKeySizeMinRC4 &nbsp;=&nbsp;1,&nbsp;kCCKeySizeMaxRC4 &nbsp;=&nbsp;512,&nbsp;kCCKeySizeMinRC2 &nbsp;=&nbsp;1,&nbsp;kCCKeySizeMaxRC2 &nbsp;=&nbsp;128};

const void *iv

偏移向量，CBC模式下需要；不传默认16位0，只有在ECB模式下不需要

const void *dataIn

要加解密的数据data.bytes

size_t dataInLength

要加解密的数据的大小

void *dataOut

输出的数据，加解密后的数据写在这里

size_t dataOutAvailable

输出数据时需要的可用空间大小。数据缓冲区的大小（字节）

size_t dataOutMoved

操作成功之后，被写入dataout的字节长度。如果由于提供的缓冲区空间不足而返回kCCBufferTooSmall，则在这里返回所需的缓冲区空间。

CC_MD2

函数定义

unsigned char *CC_MD4(const void *data, CC_LONG len, unsigned char *md);

参数说明

const void *data：加密明文
CC_LONG len：内容长度
unsigned char *md：加密结果

CC_MD5

函数定义

unsigned&nbsp;char&nbsp;*CC_MD5(const&nbsp;void&nbsp;*data, CC_LONG len,&nbsp;unsigned&nbsp;char&nbsp;*md);

参数说明

const void *data：加密明文
CC_LONG len：内容长度
unsigned char *md：加密结果

CC_MD4

函数定义

unsigned&nbsp;char&nbsp;*CC_MD4(const&nbsp;void&nbsp;*data, CC_LONG len,&nbsp;unsigned&nbsp;char&nbsp;*md);

参数说明

const void *data：加密明文
CC_LONG len：内容长度
unsigned char *md：加密结果

CC_SHA1

函数定义

unsigned&nbsp;char&nbsp;*CC_SHA1(const&nbsp;void&nbsp;*data, CC_LONG len,&nbsp;unsigned&nbsp;char&nbsp;*md);

参数说明

const void *data：加密明文
CC_LONG len：内容长度
unsigned char *md：加密结果

剩下的其他的SHA512 、SHA256、HMAC等算法相关的说明与之前的大同小异，此处就不再一一列举。

frida-trace基本使用方法

frida-trace是一个基于Frida框架的命令行工具，用于跟踪和拦截指定进程中的函数调用。它可以帮助安全研究人员和开发人员快速定位目标函数的调用位置和参数，方便后续的漏洞利用和代码调试工作。

frida-trace常用参数说明

-U →表示当前设备使用USB连接

-p →指定要附加的APP进程的pid

-i →对C函数进行追踪，可以进行模糊匹配

-m →对object-c方法进行追踪，可以进行模糊匹配

数据包解密案例

抓包

抓包发现APP数据包已加密

frida-trace hook

PC上usb连接iOS设备，设备上打开目标APP后，PC上执行命令如下：

#trace前台APP进程调用的CCCryptfrida-trace -UF -i&nbsp;"CCCrypt"

当frida-trace工具命中APP调用的名为CCCrypt的函数后，会在控制台打印命中函数的名称，并且会在本地自动生成一个js文件

{&nbsp;/**&nbsp; * Called synchronously when about to call CCCrypt.&nbsp; *&nbsp; *&nbsp;@this&nbsp;{object} - Object allowing you to store state for use in onLeave.&nbsp; *&nbsp;@param&nbsp;{function}&nbsp;log&nbsp;- Call this function with a string to be presented to the user.&nbsp; *&nbsp;@param&nbsp;{array}&nbsp;args&nbsp;- Function arguments represented as an array of NativePointer objects.&nbsp; *&nbsp;@param&nbsp;{object}&nbsp;state&nbsp;- Object allowing you to keep state across function calls.&nbsp; */&nbsp;onEnter(log, args, state) {&nbsp; &nbsp;log('CCCrypt()');&nbsp;},&nbsp;/**&nbsp; * Called synchronously when about to return from CCCrypt.&nbsp; *&nbsp; * See onEnter for details.&nbsp; *&nbsp; *&nbsp;@this&nbsp;{object} - Object allowing you to access state stored in onEnter.&nbsp; *&nbsp;@param&nbsp;{function}&nbsp;log&nbsp;- Call this function with a string to be presented to the user.&nbsp; *&nbsp;@param&nbsp;{NativePointer}&nbsp;retval&nbsp;- Return value represented as a NativePointer object.&nbsp; *&nbsp;@param&nbsp;{object}&nbsp;state&nbsp;- Object allowing you to keep state across function calls.&nbsp; */&nbsp;onLeave(log, retval, state) {&nbsp;}}

我们想要通过frida-trace获取到APP调用的加密方法的更多有用信息，就需要基于此js文件进行修改。通过前面对CCCrypt方法的基本了解，我们主要获取一下此方法传入以下内容：

加密操作/解密操作
加密算法类型
加密算法填充模式
加密算法密钥
加密算法密钥长度
加密算法iv
待加密内容/待解密内容
加密结果/解密结果

编写Hook脚本

第一次修改Hook脚本，主要是输出一下CCCrypt函数调用时传入的参数信息

{&nbsp;/**&nbsp; * Called synchronously when about to call CCCrypt.&nbsp; *&nbsp; *&nbsp;@this&nbsp;{object} - Object allowing you to store state for use in onLeave.&nbsp; *&nbsp;@param&nbsp;{function}&nbsp;log&nbsp;- Call this function with a string to be presented to the user.&nbsp; *&nbsp;@param&nbsp;{array}&nbsp;args&nbsp;- Function arguments represented as an array of NativePointer objects.&nbsp; *&nbsp;@param&nbsp;{object}&nbsp;state&nbsp;- Object allowing you to keep state across function calls.&nbsp; */&nbsp;onEnter(log, args, state) {&nbsp; &nbsp;log('CCCrypt() → 操作类型→', args[0]);&nbsp; &nbsp;log('CCCrypt() → 算法类型→', args[1]);&nbsp; &nbsp;log('CCCrypt() → 填充模式→', args[2]);&nbsp; &nbsp;log('CCCrypt() → 算法密钥→', args[3]);&nbsp; &nbsp;log('CCCrypt() → 密钥长度→', args[4]);&nbsp; &nbsp;log('CCCrypt() → 算法 IV→', args[5]);&nbsp; &nbsp;log('CCCrypt() → 加密/解密内容→', args[6]);&nbsp; &nbsp;log('CCCrypt() → 加密/解密结果→', args[8]);&nbsp;},&nbsp;/**&nbsp; * Called synchronously when about to return from CCCrypt.&nbsp; *&nbsp; * See onEnter for details.&nbsp; *&nbsp; *&nbsp;@this&nbsp;{object} - Object allowing you to access state stored in onEnter.&nbsp; *&nbsp;@param&nbsp;{function}&nbsp;log&nbsp;- Call this function with a string to be presented to the user.&nbsp; *&nbsp;@param&nbsp;{NativePointer}&nbsp;retval&nbsp;- Return value represented as a NativePointer object.&nbsp; *&nbsp;@param&nbsp;{object}&nbsp;state&nbsp;- Object allowing you to keep state across function calls.&nbsp; */&nbsp;onLeave(log, retval, state) {&nbsp;}}

frida-trace输出结果

以上输出结果，主要是讲CCCrypt传入的参数值打印了出来，但是参数值分别代表什么意思呢？

操作类型 → 对应的参数：CCOperation op → 输出的值：0x0 → 表示加密
算法类型 → 对应的参数：CCAlgorithm alg → 输出的值：0x0 → 表示调用的加密算法是：kCCAlgorithmAES128
填充模式 → 对应的参数：CCOptions options → 输出的值：0x1 → 表示填充模式是：kCCOptionPKCS7Padding
算法密钥 → 对应的参数：CCOptions options → 输出的值：0x16de325a0 → 表示密钥存储的内存地址，需要调用hexdump()方法获取具体的值
密钥长度 → 对应的参数：size_t keyLength → 输出的值：0x20 → 表示密钥长度，16进制表示，0x20转换成十进制就是32
后面的以此类推

继续修改hook脚本，输出我们需要的必要算法信息，实现数据包加解密

{&nbsp;/**&nbsp; * Called synchronously when about to call CCCrypt.&nbsp; *&nbsp; *&nbsp;@this&nbsp;{object} - Object allowing you to store state for use in onLeave.&nbsp; *&nbsp;@param&nbsp;{function}&nbsp;log&nbsp;- Call this function with a string to be presented to the user.&nbsp; *&nbsp;@param&nbsp;{array}&nbsp;args&nbsp;- Function arguments represented as an array of NativePointer objects.&nbsp; *&nbsp;@param&nbsp;{object}&nbsp;state&nbsp;- Object allowing you to keep state across function calls.&nbsp; */&nbsp;onEnter(log, args, state) {&nbsp; &nbsp;log('CCCrypt() → 操作类型→', args[0]);&nbsp; &nbsp;log('CCCrypt() → 算法类型→', args[1]);&nbsp; &nbsp;log('CCCrypt() → 填充模式→', args[2]);&nbsp; &nbsp;log('CCCrypt() → 算法密钥→',&nbsp;hexdump(args[3]));&nbsp; &nbsp;log('CCCrypt() → 密钥长度→', args[4]);&nbsp; &nbsp;log('CCCrypt() → 算法 IV→',&nbsp;hexdump(args[5]));&nbsp; &nbsp;log('CCCrypt() → 加密/解密内容→',&nbsp;hexdump(args[6]));&nbsp; &nbsp;log('CCCrypt() → 加密/解密结果→',&nbsp;hexdump(args[8]));&nbsp;},&nbsp;/**&nbsp; * Called synchronously when about to return from CCCrypt.&nbsp; *&nbsp; * See onEnter for details.&nbsp; *&nbsp; *&nbsp;@this&nbsp;{object} - Object allowing you to access state stored in onEnter.&nbsp; *&nbsp;@param&nbsp;{function}&nbsp;log&nbsp;- Call this function with a string to be presented to the user.&nbsp; *&nbsp;@param&nbsp;{NativePointer}&nbsp;retval&nbsp;- Return value represented as a NativePointer object.&nbsp; *&nbsp;@param&nbsp;{object}&nbsp;state&nbsp;- Object allowing you to keep state across function calls.&nbsp; */&nbsp;onLeave(log, retval, state) {&nbsp;}}

加解密验证

使用frida-trace输出的加密算法等信息，进行模拟加密，看是否和抓包的加密结果相同

抓包结果和使用frida-trace输出的加密算法信息进行模拟加密的结果相同

以上就是使用frida-trace对iOS调用的系统加密库进行hook的基本使用方法，使用frida-trace 对CC_MD5等其他消息摘要算法进行追踪的操作类似。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 null《【APP专题】使用Frida-trace进行解密初体验》