關(guān)于逆向的例子網(wǎng)上很多牛人都有分享负溪,包括微信消息禁止撤回恨狈、自動(dòng)搶紅包卢肃、蝦米音樂(lè)VIP等等吹由。為了滿足一下自己的好奇心更為了能夠深入的了解iOS內(nèi)部原理若未,于是“站在巨人的肩膀上”利用周末簡(jiǎn)單學(xué)習(xí)一下,在此做個(gè)學(xué)習(xí)筆記倾鲫,梳理一下基本知識(shí)粗合、整理一下基本步驟(大神請(qǐng)忽略此文)萍嬉。
1.要做什么
在手機(jī)不越獄的情況下,可以修改微信運(yùn)動(dòng)步數(shù)舌劳。當(dāng)然網(wǎng)上也有很多教程(包括越獄的和非越獄的)帚湘,可以直接拿來(lái)用。但為了知其所以然甚淡,所以打算自己動(dòng)手一步步實(shí)現(xiàn)大诸。
2.準(zhǔn)備工作
需要用到的工具:已砸殼的ipa文件、iOSOpenDev贯卦、yololib资柔、CaptainHook、iReSign(很好用的簽名工具)撵割。由于直接從AppStore里下載的App都是經(jīng)過(guò)加密的贿堰,所以需要解密(即砸殼,需要有一部越獄設(shè)備)啡彬,沒(méi)有越獄設(shè)備直接去網(wǎng)上下載即可羹与。
3.開(kāi)始實(shí)現(xiàn)
(1)下載ipa完成后要確認(rèn)下是否真的已被解密。先通過(guò)命令unzip weChat.ipa解壓得到weChat.app文件庶灿,再通過(guò)
命令otool -l WeChat.app/WeChat | grep -B 2 crypt來(lái)查看是否已解密纵搁。結(jié)果如下:
cmd LC_ENCRYPTION_INFO // armv7架構(gòu)
cmdsize 20
cryptoff 16384
cryptsize 49463296
cryptic 0 // 0代表解密、1代表加密
--
cmd LC_ENCRYPTION_INFO_64 // arm64架構(gòu)
cmdsize 24
cryptoff 16384
cryptsize 53149696
cryptic 0 // 0代表解密往踢、1代表加密
(2)安裝iOSOpenDev來(lái)編寫(xiě)Hook代碼實(shí)現(xiàn)你想要的功能腾誉。安裝iOSOpenDev會(huì)遇到失敗的情況,具體安裝步驟以及失敗的解決辦法請(qǐng)參考這篇博客峻呕。(教程中的第五步的下載文件已失效利职,可以跳過(guò)該步驟)。安裝成功后瘦癌,新建工程選擇CaptainHook Tweak猪贪,并將CaptainHook.h文件導(dǎo)入工程中。
至于如何用class-dump提取接口文件以及編寫(xiě)Hook代碼讯私,這里暫不介紹哮伟,網(wǎng)上教程很多。代碼寫(xiě)完后妄帘,選擇真機(jī)編譯程序,成功后生成的動(dòng)態(tài)庫(kù)(xxx.dylib)便是我們需要注入到二進(jìn)制文件中的程序池凄。
÷胀铡(3)新建一正常項(xiàng)目,bundle Id可以自由設(shè)置肿仑,這樣不會(huì)覆蓋掉手機(jī)里已安裝的原版微信致盟。build一下碎税,保存好生成的描述文件embedded.mobileprovision(名字貌似不可自定義)又谋。
“馈(4)下載yololib其兴,將yololib纯赎、xxx.dylib瘟檩、embedded.mobileprovision垛膝、解壓后的wechat.app放在同一目錄中稽揭,執(zhí)行命令
./yololib WeChat.app/WeChat xxx.dylib將動(dòng)態(tài)庫(kù)注入到微信的二進(jìn)制文件中裆悄。成功后結(jié)果如下:
2017-03-21 01:28:00.199 yololib[39045:1159498] FAT binary!
2017-03-21 01:28:00.199 yololib[39045:1159498] Injecting to arch 9
2017-03-21 01:28:00.200 yololib[39045:1159498] Patching mach_header..
2017-03-21 01:28:00.203 yololib[39045:1159498] Attaching dylib..
2017-03-21 01:28:00.203 yololib[39045:1159498] Injecting to arch 0
2017-03-21 01:28:00.203 yololib[39045:1159498] 64bit arch wow
2017-03-21 01:28:00.206 yololib[39045:1159498] dylib size wow 72
2017-03-21 01:28:00.207 yololib[39045:1159498] mach.ncmds 76
2017-03-21 01:28:00.207 yololib[39045:1159498] mach.ncmds 77
2017-03-21 01:28:00.207 yololib[39045:1159498] Patching mach_header..
2017-03-21 01:28:00.210 yololib[39045:1159498] Attaching dylib..
2017-03-21 01:28:00.210 yololib[39045:1159498] size 66
2017-03-21 01:28:00.210 yololib[39045:1159498] complete!
注入成功后党巾,再將xxx.dylib和embedded.mobileprovision拷貝到weChat.app目錄下即可萎庭。
(5)新建目錄Payload齿拂,將weChat.app放入該目錄下執(zhí)行命令zip -qry weChat.ipa Payload/生成ipa文件驳规,接下里對(duì)ipa進(jìn)行重簽名、打包即可安裝到手機(jī)署海。
÷鸸骸(6)對(duì)ipa簽名和打包為了方便,可以選擇用這個(gè)開(kāi)源工具iReSign砸狞,很實(shí)用(entitlements.plist可以不用選擇捻勉,會(huì)自動(dòng)生成)。
≈捍(7)額外說(shuō)明:如果想查看App原來(lái)的bundle Id贯底,可通過(guò)系統(tǒng)自帶命令行工具Plutil(property list utitlity)plutil -p ~/Desktop/xxx.app/Info.plist | grep CFBundleIdentifier,更多信息請(qǐng)看這里撒强。
4.遇到的坑
如果自定義enlitiments.plist禽捆,記得Team ID一定要填寫(xiě)生產(chǎn)證書(shū)ID,也可在開(kāi)發(fā)者官網(wǎng)查看飘哨;
如果安裝失敗胚想,試著刪除weChat.app中的Watch、Plugins文件芽隆。
這僅僅是個(gè)開(kāi)始浊服、還有很多很多東西需要去學(xué)習(xí)和探索……
參考資料:
http://bbs.iosre.com/
https://www.ianisme.com/ios/2319.html
http://www.tuicool.com/articles/FF3QFjE
http://blog.csdn.net/chsadin/article/details/51613197
