QEMU에서 iPhone 에뮬레이션 하기

iOS 14 QEMU 에뮬레이션 여정의 시작

• 기존 오픈소스 프로젝트인 alephsecurity/xnu-qemu-arm64를 사용했지만 읽기 전용(read-only)이라 확장성 부족 문제 있었음
• 이후 TrungNguyen1909/qemu-t8030 프로젝트를 사용하며 다음 기능들 활용 가능했음:
  • iOS 복원 기능 (USB 연결용 QEMU 동반)
  • iOS 14 실행
  • 최신 QEMU 버전 기반
  • 상세 위키 문서 제공
• launchd.plist 수정으로 쉘 및 SSH 접근 성공하며 좋은 출발점으로 삼음
• 목표는 UI와 앱 실행 가능한 완전한 iOS 에뮬레이션 환경 구축임

커널 패치 및 PongoOS 도입

• t8030 프로젝트는 QEMU 내부에서 커널 패치하는 구조였음 → 유지보수 및 확장성 문제 발생
• 탈옥 경험 바탕으로 PongoOS를 통해 checkra1n 패치를 적용하는 구조로 전환
• QEMU에서 SRAM 크기 증가시켜 PongoOS 실행하고, checkra1n-KPF 모듈 주입
• 부트 시 부트롬/iboot 기능 누락으로 FPU 미설정 이슈 발생 → ARM 문서 참고해 해결
• A13 이후 PAC(Pointer Authentication) 도입으로 일부 패치 무효화됨
• task_for_pid0 (tfp0) 예시로 PAC 도입 전후의 바이너리 비교

커널 패치 자동화 도구 개발

• 기존 checkra1n 동적 패치 방식은 읽기 어렵고 수정 불편 → 선언적 텍스트 기반 패치 방식 도입
• 두 개의 Mach-O 바이너리 비교하여 어셈블리 차이점 추출 후 텍스트 패치 생성
• Pongo로 부팅 후 메모리 덤프하여 커널 재조립 → 전체 패치를 텍스트 파일로 정리 및 주석화

그래픽 렌더링: Metal vs 소프트웨어 렌더링

• iOS는 모든 UI 렌더링을 Metal API를 통해 수행 → GPU 필요
• GPU 에뮬레이션 복잡함으로 대안 고려:
  • 소프트웨어 렌더링
  • Metal 호출을 실기기로 프록시 전달
• iOS 14에서는 gpu=0 bootarg 제거됨 → QuartzCore 분석해 fallback 동작 확인
• 탈옥폰에서 QuartzCore 패치하여 소프트웨어 렌더링 작동 확인 (느리지만 가능)
• Metal 프록시 방안도 실험하였으나 Objective-C 및 API 복잡성으로 중단

프레임버퍼 및 IOSurface 디버깅

• t8030 QEMU에는 프레임버퍼 구현 없음 → ChefKissInc/QEMUAppleSilicon 포크 사용
• 초기 부팅 시 Apple 로고와 진행 표시 보였지만 이후 검은 화면 → 디버깅 시작
• IOMFB kext 분석 결과, 두 가지 모드 존재:
  • 고정 주소 프레임버퍼 (초기 표시용)
  • DMA 기반 다중 평면 구성
• 시스템 부팅 중 DMA 기반 모드 사용 → QEMU의 트레이스로 커널 레지스터 설정 확인
• 하지만 여전히 화면에 출력 없음

주소 랜덤화 비활성화

• 커널 주소 랜덤화는 보드 초기화 코드에서 해제 가능
• 사용자 영역의 랜덤화는 _load_machfile 패치하여 비활성화
• dyld 캐시는 모든 동적 라이브러리 포함한 큰 바이너리 → 부팅 시 고정 주소에 로드됨
• C 도구를 만들어 dlopen 후 _dyld_* 함수로 주소 확인
• GDB로 dyld 라이브러리 디버깅 가능하게 함 → 특히 IOMFB, SpringBoard, QuartzCore 관심 가짐

USB 로그 접근 및 lockdownd 우회

• 실기기에서는 idevicesyslog로 시스템 로그 수집 가능 → USB 인증 필요
• lockdownd는 키 저장에 SEP가 필요한 keybag 사용 → 에뮬레이터에 없음
• 기존 함수 자리에 쉘코드 삽입하여 키 파일에서 직접 로딩하게 함
• USB 연결된 QEMU 간 키 인증 우회 성공 → 로그 수집 가능
• QuartzCore 정상 초기화 및 소프트웨어 렌더링 사용 확인됨

PAC(Pointer Authentication) 우회

• backboardd 수정 중 PAC 오류 발생 → ARMv8.3에서 도입된 보안 기능
• PAC 명령어를 NOP 대체하는 방식은 지나치게 침습적
• PAC 명령어는 호환 방식으로 컴파일 가능 → QEMU에서 PAC 무시하면 실행 가능
• QEMU 7은 PAC 우회 불가 → QEMU 8.2.1로 마이그레이션
• Apple 전용 명령어 및 GL 예외 레벨 등 수많은 QEMU 커스텀 코드 이식 필요
• 결과적으로 QEMU 8에서 iOS 부팅 성공 및 PAC 무력화 가능해짐

backboardd와 그래픽 출력 확인

• backboardd 동작하나 화면 표시 없음 → 여러 원인 가능성 존재
• DMA 메모리 덤프해도 유의미한 출력 없음
• iosurface_lock에서 주소 확인하고 프레임 덤프했으나 압축된 형태로 GPU에 전달되는 듯
• iPhone X (t8015)에서는 비압축 출력 확인됨 → QEMU의 DTB를 수정하여 chip-id를 t8030 → t8015로 변경
• 결과적으로 부팅 후 Apple 로고 표시됨

진행 표시줄과 시스템 오류 추적

• 로고 이후 하얀색 진행 표시줄 출력 → 90%에서 정지
• 로그 분석 통해 mobileactivationd와 SpringBoardFoundation 문제 발견 → 패치 후 UI 변경됨
• 진행 막힘 문제 해결을 위해 다수의 시스템 로그 분석 필요

dyld 캐시 및 사용자 공간 패치 자동화

• 커널과 동일한 방식으로 사용자 공간도 텍스트 기반 패치 방식 사용
• dyld 캐시는 2GB 크기로 수정에 비효율적 → 내부 도구 개선하여:
  • dyld 내 오프셋 추적
  • dd 명령어로 특정 위치 직접 패치
• 커널 서명 검사 우회 패치 병행 필요

PreBoard 실행 및 UI 확인

• PreBoard 앱은 오류 시 표시되는 시스템 앱 → 직접 실행 가능
• VNC 서버 추가하여 키보드로 화면 잠금 해제 시도
• unlock 이후 vImage 프레임워크에서 AMX(Apple Matrix Coprocessor) 명령어 사용 → QEMU 미지원
• vImage의 소프트웨어 fallback 경로로 패치하여 문제 해결
• 패치 후 텍스트 입력 가능한 화면까지 표시 성공

결론

• SpringBoard 실행 직전까지 도달 → 이제 완전한 UI 실행은 시간 문제
• 커널, 사용자 공간, 그래픽, 보안 기능(PAC 등) 다각적 분석 및 패치 수행
• QEMU 기반의 실질적인 iOS 앱 디버깅 및 테스트 환경 가능성 확인