系統環境

• macOS 10.12.2
• Xcode 8.2
• iOS 10.2

工具&軟件：

• class-dump
• PP助手
• MachOView
• iOSOpenDev
• insert_dylib
• iOS App Signer
• 微信(越獄版) 6.5.3

分析微信

工欲善其事必先利其器，我們先將工具和軟件都準備好，過程中會遇到很多問題，但我相信你能成功的。阻擾大家的主要是一些環境的搭建以及相關配置沒設置好，結果導致dylib編譯過程各種錯誤，重簽名不成功，各種閃退等。所以本文里的每一步操作都會很詳細的交代，確保大家都能操作成功。

我們先拿到用PP助手下載好的越獄版微信iOS客戶端，因為從AppStore下載的微信是經過加密的，還需要砸殼.

Paste_Image.png

下載后解壓，我把他放在了桌面上，然后又創建了一個空文件夾準備用來放dump出來的頭文件

Paste_Image.png

打開終端，輸入class-dump，可以看到class-dump的指令（我是10.12的系統，之前安裝class-dump還費了點事，要更改下系統的權限，不然class-dump不允許安裝）

Paste_Image.png

現在我們就可以輸入命令dump出微信的頭文件啦

$ class-dump -H /Users/zhangtaoran/Desktop/WeChat/Payload/WeChat.app -o /Users/zhangtaoran/Desktop/WeChatHeaders

但是過程肯定不會這么順利，當我打開文件夾后只看到了一個CDStructures.h，里面什么都沒有

Paste_Image.png

我一臉懵逼，可能我們從PP助手下載的越獄版微信仍然有殼？但我覺得這個可能性應該比較小，但是我們有了CDStructures.h這個線索，去Google和百度了一番，得知出現這種情況有兩種可能：

1. 還需要砸殼，砸殼工具有：AppCrackr、Clutch、dumpcrypted 等；由于 AppCrackr 、Clutch 暴力砸殼、操作簡單，招致公憤，因此一些核心功能，已經下架，在高級系統中，已不能使用；因此，推薦： dumpcrypted 砸殼工具。工具獲取及使用方法，參考：https://github.com/stefanesser/dumpdecrypted

2. 當砸殼完畢后，使用 class-dump 仍然只導出 CDStructures.h一個文件，則可能架構選擇錯誤，armv7對應的是iPhone5及以下的設備，arm64則是5s及以上的設備，所以微信也包含兩個架構，armv7和arm64。關于架構與設備之間的對應關系可以從iOS Support Matrix上查看。理論上只要把最老的架構解密就可以了，因為新的cpu會兼容老的架構。我們這里加上armv7再輸入命令。

class-dump --arch armv7 /Users/zhangtaoran/Desktop/WeChat/Payload/WeChat.app -H -o /Users/zhangtaoran/Desktop/WeChatHeaders

然后就看到文件開始跑了，非常多，有點小激動，算是成功了一小步，可以看到微信一共8393個頭文件

Paste_Image.png

定位與步數相關的文件

微信這種項目的命名應該是很規范的，我們想要修改步數就先嘗試查找一下step相關的頭文件，search出來的結果有很多，最后我定位到這個文件

Paste_Image.png

打開過后可以看到，這兩個應該就是記錄步數的屬性

Paste_Image.png

這里的屬性get方法應該就是判斷HealthKit是否可用然后去里面取數據，我們就把他們兩個的get方法都替換掉就好了

利用iOSOpenDev替換方法

利用 iOSOpenDev 創建一個 hook 的模板，就連手動調用 method-swizzling 的代碼也省了。

Paste_Image.png

然后開始寫代碼修改掉那兩個方法的實現，直接返回想要的數值

Paste_Image.png

build 一下生成 .dylib

Paste_Image.png

再用 dylib_insert 把動態庫的地址注入 Mach-O

$ insert_dylib @executable_path/ModifyStepCount.dylib /Users/zhangtaoran/Desktop/WeChat/Payload/WeChat.app/WeChat 

然后就會在相同位置生成一個新的 Mach-O 文件。

Paste_Image.png

我們用 MachOView 就能看到新的動態庫已經被注入了：
在Fat Binary -> Executable -> Load Commands -> LC_LOAD_DYLIB

Paste_Image.png

最后把這個文件改名重新改回 WeChat替換原來的文件，再和動態庫一起放入原 WeChat.app

因為微信中還有watch app，我怕他還是加密的，我也將WeChat.app里面的Watch文件夾，連同PlugIns文件夾一起刪去，怕它影響我們重簽名

重簽名并打包

現在工作已經完成一大半了，現在只需要對剛才修改好的微信重新簽名并打包，我是用的免費證書，要注意的是，由于中國的開發者利用免費的證書大量對應用進行重簽名，所以目前蘋果加上了許多限制，免費開發者的provisioning證書有效時間從之前的30天改為7天，過期后需要重新簽名。另外就是一個星期內最多只能申請到10個證書。我就用Xcode新建了一個工程，讓蘋果給我生成一個新的有效期為7天的描述文件，然后用這個描述文件來簽名我們自己修改的微信。

簡單的來說就是創建一個APP，讓蘋果給我們這個APP發了一個可以免費在真機上測試的證書，然后用我們修改后的微信偽裝成為這個APP，就達成了非越獄環境下iOS App Hook

Paste_Image.png

成功生成描述文件

Paste_Image.png

然后我們就可以用iOS App Signer重新簽名了,其實iOS App Signer是幫我們獲取到本地上的開發者簽名證書和所有的Provisioning文件，然后對結果做了一個篩選，去掉了那些過期的證書，然后用描述文件對APP進行簽名，再對簽好名的應用打包。

我們就選擇好剛才生成的那個證書，簡單地點一下開始，就等著他幫我們重簽名并打包好吧

Paste_Image.png

最后就將重新打包好的ipa安裝到手機上，搞定！

Paste_Image.png

由于 Objective-C 動態的特性，我們可以不用對二進制文件進行反編譯，然后再對匯編指令進行修改，只需要直接添加一個動態庫就能實現功能的更改了。

參考資料

聽說你想撤回信息？：http://www.lxweimin.com/p/ac7eddd644c3
iOSAppHook：https://github.com/Urinx/iOSAppHook
class-dump 和 iOSOpenDev 的使用：http://blog.csdn.net/chaoyuan899/article/details/39271197
Objective-C的hook方案（一）: Method Swizzling：http://blog.csdn.net/yiyaaixuexi/article/details/9374411