iOS 底層原理 + 逆向 文章匯總

本文主要是以WeChat為例闪幽，講解如何破壞WeChat注冊燎潮、以及如何獲取登錄密碼

引子

在進(jìn)行WeChat實踐操作時，首先需要了解一個概念：Method Swizzing（即方法交換）

Method Swizzing（即方法交換）是利用OC的Runtime特性，動態(tài)改變SEL（方法編號）和IMP（方法實現(xiàn)）的對應(yīng)關(guān)系偷卧，達(dá)到OC方法調(diào)用流程改變的目的骤素，主要用于OC方法侠鳄。

在OC中，SEL和IMP之間的關(guān)系送讲，類似與一本書的目錄奸笤，是一一對應(yīng)的

• SEL：方法編號，類似于目錄中的標(biāo)題

• IMP：方法實現(xiàn)的真實地址指針哼鬓，類似于目錄中的頁碼

同時监右，Runtime中也提供了用于交換兩個SEL和IMP的方法，method_exchangeIMP异希，我們可以通過這個函數(shù)交換兩個SEL和IMP的對應(yīng)關(guān)系

更為具體的講解請參考這篇文章：iOS-底層原理 21：Method-Swizzling 方法交換

破壞微信注冊

準(zhǔn)備工作：需要新建一個工程健盒，并重簽名，且采用Framework注入的方式

• 重簽名參考文章：iOS逆向 10：應(yīng)用重簽名（下）
• Framework注入方式參考文章：iOS逆向 11：代碼注入（上）

這里破壞的微信的注冊称簿，主要是通過runtime方法進(jìn)行注冊方法的hook

1扣癣、獲取注冊的相關(guān)信息

• 1父虑、通過lldb調(diào)試獲取WeChat的注冊
  

  獲取注冊的相關(guān)信息-01

• 2悔叽、獲取注冊的target笨蚁、action

  
  
  獲取注冊的相關(guān)信息-02

  • target：WCAccountLoginControlLogic

  • action：onFirstViewRegister

2岔激、簡單hook演示

• 1虑鼎、通過class_getInstanceMethod +method_exchangeImplementations方法絮短，hook注冊的點擊事件

@implementation inject

+ (void)load{
//    改變微信的注冊
    Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountLoginControlLogic"), @selector(onFirstViewRegister));
    Method newMethod = class_getInstanceMethod(self, @selector(my_method));
    
    method_exchangeImplementations(oldMethod, newMethod);
    
}

- (void)my_method{
    NSLog(@"CJLHook --- 注冊不了了！");
}

@end

• 2席里、重新運行奖磁，點擊注冊按鈕，發(fā)現(xiàn)執(zhí)行的是我們自己的方法

  
  
  簡單hook演示

3麻养、點擊登錄時，獲取用戶的密碼

準(zhǔn)備工作

• 1、點擊登錄糕档，輸入密碼

• 2、點擊Debug View Hierarchy動態(tài)調(diào)試登錄界面

• 3端仰、獲取登錄按鈕信息

  
  
  準(zhǔn)備工作-01
  • target：WCAccountMainLoginViewController
  • action：onNext

• 4吱七、獲取密碼的類：WCUITextField

  
  
  準(zhǔn)備工作-02

方式1：通過lldb獲取密碼

• llfb獲取密碼的調(diào)試如下

  
  
  通過lldb獲取密碼-01

此時問題來了吝岭，如果我們想通過hook登錄方法，在點擊登錄按鈕時微峰，如何獲取密碼呢？有以下幾種方式

• 1仗扬、通過響應(yīng)鏈诅蝶，一層一層查找，缺點是很繁瑣
  

  響應(yīng)鏈方式

• 2缠借、靜態(tài)分析：可以通過class-dump獲取類宜猜、方法的列表泼返，其本質(zhì)也是從Mach-O文件讀取出來的

hook登錄按鈕 - 動態(tài)調(diào)試獲取

• 1、- 在CJLHook的inject類中hook登錄按鈕的方法

@implementation inject

+ (void)load{
//    改變微信的注冊
    Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext));
    Method newMethod = class_getInstanceMethod(self, @selector(my_onNext));
    
    method_exchangeImplementations(oldMethod, newMethod);
    
}

- (void)my_onNext{
    
}

@end

• 2宝恶、通過class_dump工具會dump出OC中類列表（包括成員變量）符隙、方法列表趴捅，具體操作如下：

  • 1）將class-dump、wechat可執(zhí)行文件拷貝至同一個文件夾

    
    
    動態(tài)調(diào)試獲取-01
  • 2）在終端執(zhí)行以下命令：./class-dump -H WeChat -o ./headers/霹疫，其本質(zhì)是通過讀取Mach-O文件獲取
    
    動態(tài)調(diào)試獲取-02

• 3拱绑、通過sublime Text打開headers文件夾，在其中查找WCAccountMainLoginViewController類丽蝎，找到密碼的成員變量_textFieldUserPwdItem
  

  動態(tài)調(diào)試獲取-03
  • 查找類文件順序為：WCAccountTextFieldItem -> WCBaseTextFieldItem -> WCUITextField
    
    動態(tài)調(diào)試獲取-04

• 4猎拨、通過獲取的成員變量，利用lldb動態(tài)調(diào)試獲取密碼

  
  
  動態(tài)調(diào)試獲取-05

  • po [(WCAccountMainLoginViewController *)0x10a84e800 valueForKey:@"_textFieldUserPwdItem"]

  • po [(WCAccountTextFieldItem *)0x281768360 valueForKey:@"m_textField"]

  • po ((WCUITextField *)0x10a1566e0).text

hook登錄按鈕 - hook代碼注入方式獲取

• 1屠阻、修改 my_onNext 方法

@implementation inject

+ (void)load{
//    改變微信的注冊
    Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext));
    Method newMethod = class_getInstanceMethod(self, @selector(my_onNext));
    
    method_exchangeImplementations(oldMethod, newMethod);
    
}

- (void)my_onNext{
    UITextField *pwd = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
    NSLog(@"密碼是：%@", pwd.text);
}

@end

運行結(jié)果如下所示

hook代碼注入方式獲取-01

• 2红省、然后此時需要在my_onNext中調(diào)用原來的方法，走回原來的登錄流程国觉，此時的my_onNext方法修改如下

- (void)my_onNext{
    UITextField *pwd = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
    NSLog(@"密碼是：%@", pwd.text);
    
    //調(diào)回原來的方法objc_msgSend(WCAccountMainLoginViewController,onNext的IMP)
    [self my_onNext];
}

• 3吧恃、在[self my_onNext];處加斷點，驗證此時的my_onNext中的self麻诀、_cmd
  

  hook代碼注入方式獲取-02

• 4痕寓、然后繼續(xù)執(zhí)行，發(fā)現(xiàn)程序會崩潰蝇闭，即在執(zhí)行objc_msgSend后會直接崩潰呻率，原因是找不到my_onNext
  

  hook代碼注入方式獲取-03

解決崩潰的方案：添加一個method

• 修改inject中的代碼，此時是通過class_addMethod在WCAccountMainLoginViewController中新增一個方法呻引，然后在和原來的onNext交換新增后的方法

@implementation inject

+ (void)load{
    //原始的method
    Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext));
    //給WCAccountMainLoginViewController添加新方法
    class_addMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(new_onNext), new_onNext, "v@:");
    //獲取添加后的方法
    Method newMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(new_onNext));
    //交換
    method_exchangeImplementations(oldMethod, newMethod);
    
}

//新的IMP
void new_onNext(id self, SEL _cmd){
    UITextField *pwd = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
    NSLog(@"密碼是：%@", pwd.text);
    
    //調(diào)回原來的方法
objc_msgSend(WCAccountMainLoginViewController,onNext的IMP)
    [self performSelector:@selector(new_onNext)];
}
@end

重新運行后查看可以走到原來的登錄流程礼仗，且同時可以獲取用戶密碼

代碼注入優(yōu)化：通過替換的方式

但是上面的代碼看上不并不簡潔，所以我們來對其一些優(yōu)化逻悠，采用class_replaceMethod函數(shù)進(jìn)行替換原來的onNext方法元践，修改后的代碼如下

+ (void)load{
    //原始的method
    Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext));
    //替換
    old_onNext = class_replaceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext), new_onNext, "v@:");
    
}

//原來的IMP
IMP (*old_onNext)(id self, SEL _cmd);

//新的IMP
void new_onNext(id self, SEL _cmd){
    UITextField *pwd = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
    NSLog(@"密碼是：%@", pwd.text);
    
    //調(diào)回原來的方法
objc_msgSend(WCAccountMainLoginViewController,onNext的IMP)
    old_onNext(self, _cmd);
}

更好的方式

• 通過method_getImplementation、method_setImplementation方法進(jìn)行覆蓋原來onNext方法的IMP

+ (void)load{
    //原始的method
    old_onNext = method_getImplementation(class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext)));
    //通過set覆蓋原始的IMP
    method_setImplementation(class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext)), new_onNext);
    
}

//原來的IMP
IMP (*old_onNext)(id self, SEL _cmd);

//新的IMP
void new_onNext(id self, SEL _cmd){
    UITextField *pwd = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
    NSLog(@"密碼是：%@", pwd.text);
    
    //調(diào)回原來的方法objc_msgSend(WCAccountMainLoginViewController,onNext的IMP)
    old_onNext(self, _cmd);
}

總結(jié)

• Method Swizzing（即方法交換）:是利用OC的Runtime特性蹂风，動態(tài)改變SEL（方法編號）和IMP（方法實現(xiàn)）的對應(yīng)關(guān)系卢厂，達(dá)到OC方法調(diào)用流程改變的目的

• 多種hook方式：

  • 1、 class_addMethod方式： 利用AddMethod方式惠啄，讓原始方法可以被調(diào)用，不至于因為找不到SEL而崩潰

  • 2任内、class_replaceMethod方式：利用class_replaceMethod撵渡，直接給原始的方法替換IMP

  • 3、method_setImplementation方式：利用method_setImplementation死嗦，直接重新賦值原始的新的IMP