请教下macos下frida无法注入的问题

iamok

我的环境如下：
1.机器为macmini m2，os版本13.3.1
2.frida是通过miniconda环境用pip命令安装的
3.frida去远程hook手机没有问题
4.当用frida去注入本地的应用时，始终出现如下错误提示：

[Bash shell] 纯文本查看 复制代码

 410  访达                                                                                                     
(base) ➜  ~ sudo frida -p 410 
     ____
    / _  |   Frida 16.0.13 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at [url=https://frida.re/docs/home/]https://frida.re/docs/home/[/url]
   . . . .
   . . . .   Connected to Local System (id=local)
Failed to attach: the connection is closed 

我试过注入系统的进程，安装的app都是这个错误提示，百度了一下也没查到原因。


问题产生原因及解决方法见7#

飘云

sip

iamok

飘云 发表于 2023-5-7 10:58
sip

sip已关闭
试过注入系统进程，appsotre安装的应用进程，直接dmg安装的应用进程均注入失败。。。。。。
不加sudo提示权限不够，加了就是如一楼这样的提示。

iamok

在intel的黑苹果上用同样的方式安装的frida注入正常

飘云

iamok 发表于 2023-5-8 11:29
sip已关闭
试过注入系统进程，appsotre安装的应用进程，直接dmg安装的应用进程均注入失败。。。 ...

那就奇怪了，我也是M2，关闭SIP就正常注入了

iamok

飘云 发表于 2023-5-10 14:50
那就奇怪了，我也是M2，关闭SIP就正常注入了

我今天把miniconda卸载了，用了brew安装的python来安装frida现象依旧。

但是我在控制台里抓到了报错日志：

[Bash shell] 纯文本查看 复制代码

错误        06:25:08.919177+0800        kernel        Sandbox: logd_helper(187) deny(1) file-read-data /opt/homebrew/lib/python3.11/site-packages/_frida.abi3.so
错误        06:25:08.973659+0800        cfprefsd        Couldn't open parent path due to [2: No such file or directory]
错误        06:25:08.973762+0800        cfprefsd        Couldn't open parent path due to [2: No such file or directory]
错误        06:25:08.973943+0800        cfprefsd        Couldn't open parent path due to [2: No such file or directory]
错误        06:25:09.001754+0800        cfprefsd        Couldn't open parent path due to [2: No such file or directory]
错误        06:25:09.001816+0800        cfprefsd        Couldn't open parent path due to [2: No such file or directory]
错误        06:25:09.004722+0800        usbmuxd        HandleUSBMuxConnect Client 61-Xcode[3463] requesting connect while in the wrong state (4)
错误        06:25:09.312122+0800        SubmitDiagInfo        Error querying cloud docs root URL: <private>
错误        06:25:09.312767+0800        SubmitDiagInfo        Error querying cloud docs root URL: <private>
错误        06:25:09.510214+0800        Python        No error handler for XPC error: <private>
错误        06:25:09.510581+0800        WindowServer        CGLayerKit called back with no connection

暂时不知道如何下一步排查。

iamok

解决问题了。

原因是我在网上看到一篇文章说，说的是arm的mac在使用frida时执行一条命令后后可以对一些系统app进行hook，大概就是

[Bash shell] 纯文本查看 复制代码

sudo nvram boot-args=arm64e

我就想起曾经安装某个app时好像也自动修改了nvram的启动参数，于是我开了个macos虚拟机看到原始系统的这个参数确实为空的
查看命令为：

[Bash shell] 纯文本查看 复制代码

nvram -p

删除参数后重启frida就可以成功注入了。
影响frida的参数如下，我也不记得是哪个app添加的了

[Bash shell] 纯文本查看 复制代码

boot-args	amfi_get_out_of_my_way=0x1 ipc_control_port_options=0