系統環境
- macOS 10.12.2
- Xcode 8.2
- iOS 10.2
工具&軟件:
- class-dump
- PP助手
- MachOView
- iOSOpenDev
- insert_dylib
- iOS App Signer
- 微信(越獄版) 6.5.3
分析微信
工欲善其事必先利其器,我們先將工具和軟件都準備好,過程中會遇到很多問題,但我相信你能成功的。阻擾大家的主要是一些環境的搭建以及相關配置沒設置好,結果導致dylib編譯過程各種錯誤,重簽名不成功,各種閃退等。所以本文里的每一步操作都會很詳細的交代,確保大家都能操作成功。
我們先拿到用PP助手下載好的越獄版微信iOS客戶端,因為從AppStore下載的微信是經過加密的,還需要砸殼.
下載后解壓,我把他放在了桌面上,然后又創建了一個空文件夾準備用來放dump出來的頭文件
打開終端,輸入class-dump,可以看到class-dump的指令(我是10.12的系統,之前安裝class-dump還費了點事,要更改下系統的權限,不然class-dump不允許安裝)
現在我們就可以輸入命令dump出微信的頭文件啦
$ class-dump -H /Users/zhangtaoran/Desktop/WeChat/Payload/WeChat.app -o /Users/zhangtaoran/Desktop/WeChatHeaders
但是過程肯定不會這么順利,當我打開文件夾后只看到了一個CDStructures.h,里面什么都沒有
我一臉懵逼,可能我們從PP助手下載的越獄版微信仍然有殼?但我覺得這個可能性應該比較小,但是我們有了CDStructures.h這個線索,去Google和百度了一番,得知出現這種情況有兩種可能:
還需要砸殼,砸殼工具有:AppCrackr、Clutch、dumpcrypted 等;由于 AppCrackr 、Clutch 暴力砸殼、操作簡單,招致公憤,因此一些核心功能,已經下架,在高級系統中,已不能使用;因此,推薦: dumpcrypted 砸殼工具。工具獲取及使用方法,參考:https://github.com/stefanesser/dumpdecrypted
當砸殼完畢后,使用 class-dump 仍然只導出 CDStructures.h一個文件,則可能架構選擇錯誤,armv7對應的是iPhone5及以下的設備,arm64則是5s及以上的設備,所以微信也包含兩個架構,armv7和arm64。關于架構與設備之間的對應關系可以從iOS Support Matrix上查看。理論上只要把最老的架構解密就可以了,因為新的cpu會兼容老的架構。我們這里加上armv7再輸入命令。
class-dump --arch armv7 /Users/zhangtaoran/Desktop/WeChat/Payload/WeChat.app -H -o /Users/zhangtaoran/Desktop/WeChatHeaders
然后就看到文件開始跑了,非常多,有點小激動,算是成功了一小步,可以看到微信一共8393個頭文件
定位與步數相關的文件
微信這種項目的命名應該是很規范的,我們想要修改步數就先嘗試查找一下step相關的頭文件,search出來的結果有很多,最后我定位到這個文件
打開過后可以看到,這兩個應該就是記錄步數的屬性
這里的屬性get方法應該就是判斷HealthKit是否可用然后去里面取數據,我們就把他們兩個的get方法都替換掉就好了
利用iOSOpenDev替換方法
利用 iOSOpenDev 創建一個 hook 的模板,就連手動調用 method-swizzling 的代碼也省了。
然后開始寫代碼修改掉那兩個方法的實現,直接返回想要的數值
build 一下生成 .dylib
再用 dylib_insert 把動態庫的地址注入 Mach-O
$ insert_dylib @executable_path/ModifyStepCount.dylib /Users/zhangtaoran/Desktop/WeChat/Payload/WeChat.app/WeChat
然后就會在相同位置生成一個新的 Mach-O 文件。
我們用 MachOView 就能看到新的動態庫已經被注入了:
在Fat Binary -> Executable -> Load Commands -> LC_LOAD_DYLIB
最后把這個文件改名重新改回 WeChat替換原來的文件,再和動態庫一起放入原 WeChat.app
因為微信中還有watch app,我怕他還是加密的,我也將WeChat.app里面的Watch文件夾,連同PlugIns文件夾一起刪去,怕它影響我們重簽名
重簽名并打包
現在工作已經完成一大半了,現在只需要對剛才修改好的微信重新簽名并打包,我是用的免費證書,要注意的是,由于中國的開發者利用免費的證書大量對應用進行重簽名,所以目前蘋果加上了許多限制,免費開發者的provisioning證書有效時間從之前的30天改為7天,過期后需要重新簽名。另外就是一個星期內最多只能申請到10個證書。我就用Xcode新建了一個工程,讓蘋果給我生成一個新的有效期為7天的描述文件,然后用這個描述文件來簽名我們自己修改的微信。
簡單的來說就是創建一個APP,讓蘋果給我們這個APP發了一個可以免費在真機上測試的證書,然后用我們修改后的微信偽裝成為這個APP,就達成了非越獄環境下iOS App Hook
成功生成描述文件
然后我們就可以用iOS App Signer重新簽名了,其實iOS App Signer是幫我們獲取到本地上的開發者簽名證書和所有的Provisioning文件,然后對結果做了一個篩選,去掉了那些過期的證書,然后用描述文件對APP進行簽名,再對簽好名的應用打包。
我們就選擇好剛才生成的那個證書,簡單地點一下開始,就等著他幫我們重簽名并打包好吧
最后就將重新打包好的ipa安裝到手機上,搞定!
由于 Objective-C 動態的特性,我們可以不用對二進制文件進行反編譯,然后再對匯編指令進行修改,只需要直接添加一個動態庫就能實現功能的更改了。
參考資料
聽說你想撤回信息?:http://www.lxweimin.com/p/ac7eddd644c3
iOSAppHook:https://github.com/Urinx/iOSAppHook
class-dump 和 iOSOpenDev 的使用:http://blog.csdn.net/chaoyuan899/article/details/39271197
Objective-C的hook方案(一): Method Swizzling:http://blog.csdn.net/yiyaaixuexi/article/details/9374411
