一可柿、代碼注入

重簽名app后自己的殼工程的代碼就被替換掉了（替換了整個MachO），并不會執(zhí)行丙者。iOS系統(tǒng)是通過dyld加載可執(zhí)行文件复斥，最重要的是讀取MachO的Load Commands（其中包括_PAGEZERO、_TEXT械媒、_DATA目锭、_LINKEDIT等）。

對于一個App來說除了執(zhí)行自己的代碼還需要執(zhí)行UIKit以及自身Frameworks（本身也是一個MachO）中的代碼纷捞。分析MachO文件會發(fā)現(xiàn)Frameworks中的庫在Load Commands中以LC_LOAD_DYLIB存在痢虹，路徑是Frameworks下對應(yīng)庫:

image.png

如果自己的代碼放入動態(tài)庫中奖唯，并且讓目標(biāo)App的Load Commands中有對應(yīng)的LC_LOAD_DYLIB代碼就可以注入了。一般修改原始的程序糜值，是利用代碼注入的方式丰捷，選擇利用FrameWork或者Dylib等三方庫的方式注入。

1.1寂汇、FrameWork注入

1.給自己的殼工程添加一個HPHook Framework動態(tài)庫

image.png

2.HPHook 添加HPInject類病往，并且重寫+load方法

@implementation HPInject

+ (void)load {
    NSLog(@"HPInject Hook");
}

@end

如果HPHook被加載進(jìn)內(nèi)存，則會打印log骄瓣。

3.build運(yùn)行后查看Produces中.app

image.png

這個時候動態(tài)庫HPHook已經(jīng)在目標(biāo)App的Framewroks中了荣恐，運(yùn)行后HPInject的+ load方法并沒有執(zhí)行。

4.查看Macho文件

image.png

在Load Commands中并沒有發(fā)現(xiàn)HPHook的LC_LOAD_DYLIB累贤。

1.1.1叠穆、yololib手動注入

這個時候就需要使用yololib工具修改MachO文件，將HPHook加入到目標(biāo)App的Load Commands中臼膏。

1.拷貝yololib和目標(biāo)App可執(zhí)行文件到同一目錄執(zhí)行命令：
./yololib 目標(biāo)可執(zhí)行文件 要添加的Framework路徑名稱

./yololib WeChat Frameworks/HPHook.framework/HPHook

image.png

這個時候可執(zhí)行文件Load Commands中就已經(jīng)有HPHook了：

image.png

2.打包修改后的目標(biāo)App可執(zhí)行文件為.ipa包

zip -ry WeChat.ipa Payload/

使用新的ipa包替換APP目錄中的ipa包硼被。

3.編譯運(yùn)行
這個過程中可能會出現(xiàn)HPHook沒有被編譯進(jìn)入Frameworks的情況，刪除Products多試幾次（Xcode問題）渗磅。
如果沒有問題就注入成功了：

image.png

??運(yùn)行出現(xiàn)問題首先排查Frameworks和Load Commands中都存在HPHook嚷硫。

注入步驟

• 通過Xcode新建Framwork检访，將庫安裝進(jìn)入APP包
• 通過yololib注入Framwork庫路徑。命令：$yololib MachO文件路徑 庫路徑
  • 所有的Framwork加載都是由DYLD加載進(jìn)入內(nèi)存被執(zhí)行的
  • 注入成功的庫路徑會寫入到MachO文件的LC_LOAD_DYLIB字段中

1.2仔掸、Dylib注入

通過FrameWork可以注入脆贵，也可以通過dylib注入，原理和framework相同起暮。
1.創(chuàng)建dylib庫
這里選擇了macOS卖氨，為了是庫為動態(tài)庫：

image.png

修改Base SDK為iOS：

image.png

Code Signing Identity修改為iOS Developer：

image.png

build Phases中添加Copy Files增加libHPDylibHook.dylib：

image.png

2.HPDylibHook.m添加Hook日志

@implementation HPDylibHook

+ (void)load {
    NSLog(@"HPDylibHook Hook Success");
}

@end

這個時候仍然只是Frameworks中有libHPDylibHook.dylib庫，MachO中Load Commands仍然沒有LC_LOAD_DYLIB负懦。

1.2.1 yololib自動注入

1.直接在appResign.sh腳本中添加yololib修改MachO腳本：

#yololib修改MachO文件
#./yololib "$TARGET_APP_PATH/$APP_BINARY" "Frameworks/HPHook.framework/HPHook"
./yololib "$TARGET_APP_PATH/$APP_BINARY" "Frameworks/libHPDylibHook.dylib"

2. 直接運(yùn)行
   注意觀察libHPDylibHook.dylib是否在Frameworks中：
   
   image.png

MachO中Load Commands:

image.png

注入成功：

image.png

注入步驟

• 通過Xcode新建dylib庫（注意：dylib屬于MacOS所以需要修改屬性）
• 添加Target依賴筒捺，讓Xcode將自定義Dylib文件打包進(jìn)入APP包。
• 利用yololib進(jìn)行注入纸厉。

二系吭、注冊分析

image.png

調(diào)試代碼可以發(fā)現(xiàn)注冊按鈕的Target是WCAccountLoginControlLogic,action是onFirstViewRegister。
直接hook這個這個方法就攔截了注冊事件：

#import "HPInject.h"
#import <objc/runtime.h>

@implementation HPInject

+ (void)load {
    NSLog(@"HPInject Hook success");
    //攔截微信注冊事件
    Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountLoginControlLogic"), @selector(onFirstViewRegister));
    Method newMethod = class_getInstanceMethod(self, @selector(hook_onFirstViewRegister));
    method_exchangeImplementations(oldMethod, newMethod);
}

- (void)hook_onFirstViewRegister {
    NSLog(@"WeChat click login");
}

@end

image.png

這個時候注冊事件就攔截到了颗品。

Method Swizzle
在OC中肯尺，SEL 和 IMP 之間的關(guān)系，就好像一本書的目錄躯枢。SEL 是方法編號则吟，就像標(biāo)題一樣。IMP是方法實(shí)現(xiàn)的真實(shí)地址闺金，就像頁碼一樣逾滥。
他們是一一對應(yīng)的關(guān)系
Runtime提供了交換兩個SEL和IMP對應(yīng)關(guān)系的函數(shù)。

image.png

OBJC_EXPORT void
method_exchangeImplementations(Method _Nonnull m1, Method _Nonnull m2) 
   OBJC_AVAILABLE(10.5, 2.0, 9.0, 1.0, 2.0);

通過這個函數(shù)交換兩個SEL和IMP對應(yīng)關(guān)系的技術(shù)稱之為Method Swizzle（方法欺騙）

三败匹、登錄調(diào)試分析

image.png

view debug分析可以得到Target是WCAccountMainLoginViewController,action是onNext寨昙。同理登錄事件可以攔截拿到，那么pwd怎么獲取呢掀亩？

image.png

view debug可以看到pwd控件是WCUITextField并且能看到對應(yīng)的text舔哪。要做的就是拿到WCUITextField。

(lldb) po [(WCUITextField *)0x158ad6cb0 text]
987654321

3.1動態(tài)分析

可以通過響應(yīng)鏈一步步分析控件層級和響應(yīng)關(guān)系槽棍。

image.png

3.2靜態(tài)分析

使用class-dump工具導(dǎo)出頭文件(swift文件不行)炼七。

./class-dump -H WeChat -o ./Headers

image.png

導(dǎo)出頭文件后用Sublime打開Headers文件夾（文件過多22335個缆巧，不推薦Xcode）。

1.搜索WCAccountMainLoginViewController

image.png

找到onNext方法豌拙，發(fā)現(xiàn)沒有參數(shù)陕悬。但是找到了_textFieldUserPwdItem，看著和密碼相關(guān)：

image.png

2.搜索WCAccountTextFieldItem

image.png

3.繼續(xù)搜索WCAccountTextFieldItem的父類WCBaseTextFieldItem

image.png

4.調(diào)試驗(yàn)證

(lldb) po [(WCAccountMainLoginViewController *)0x112054a00 valueForKey:@"_textFieldUserPwdItem"]
<WCAccountTextFieldItem: 0x281382a00>

(lldb) po [(WCAccountTextFieldItem *)0x281382a00 valueForKey:@"m_textField"]
<WCUITextField: 0x1112c1050; baseClass = UITextField; frame = (20 0; 345 44); text = '654321'; opaque = NO; autoresize = W+H; tintColor = UIExtendedSRGBColorSpace 0.027451 0.756863 0.376471 1; gestureRecognizers = <NSArray: 0x283bce0a0>; placeholder = 請?zhí)顚懨艽a; borderStyle = None; background = <_UITextFieldNoBackgroundProvider: 0x2835904c0: textfield=<WCUITextField 0x1112c1050>>; layer = <CALayer: 0x283774b80>>

(lldb) po [(WCUITextField *)0x1112c1050 text]
654321

驗(yàn)證找到了對應(yīng)的類和想要的內(nèi)容。

四拼岳、登錄代碼注入

+ (void)load {
    NSLog(@"HPInject Hook success");
    //攔截微信登錄事件
    Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext));
    Method newMethod = class_getInstanceMethod(self, @selector(hook_onNext));
    method_exchangeImplementations(oldMethod, newMethod);
}

- (void)hook_onNext {
    NSLog(@"WeChat click login");
    //獲取密碼
    UITextField *textField = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
    NSString *pwd = [textField text];
    NSLog(@"password: %@",pwd);
}

這個時候就能拿到密碼了：

 WeChat[8322:4143129] WeChat click login
 WeChat[8322:4143129] password: 654321
 WeChat[8322:4143129] WeChat click login
 WeChat[8322:4143129] password: 654321

在這個過程中我們應(yīng)該調(diào)用回原來的方法枝誊，讓登錄進(jìn)行下去:

- (void)hook_onNext {
    NSLog(@"WeChat click login");
    //獲取密碼
    UITextField *textField = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
    NSString *pwd = [textField text];
    NSLog(@"password: %@",pwd);
    [self hook_onNext];
}

直接在hook_onNext調(diào)用[self hook_onNext]，這個時候運(yùn)行會直接崩潰惜纸，方法不存在叶撒。一般情況下我們進(jìn)行方法交換在分類中進(jìn)行，現(xiàn)在由于不是在分類中堪簿，所以在WCAccountMainLoginViewController中并不存在hook_onNext方法：

image.png

有3種方式調(diào)用回原方法痊乾。

4.1 class_addMethod方式

利用AddMethod方式皮壁，讓原始方法可以被調(diào)用椭更，不至于因?yàn)檎也坏?code>SEL而崩潰：

//1.class_addMethod 方式
+ (void)load {
    //攔截微信登錄事件
    Class cls = objc_getClass("WCAccountMainLoginViewController");
    Method onNext = class_getInstanceMethod(cls, @selector(onNext));
    //給WC添加新方法
    class_addMethod(cls, @selector(new_onNext), new_onNext, "v@:");
    //交換
    method_exchangeImplementations(onNext, class_getInstanceMethod(cls, @selector(new_onNext)));
}

//相當(dāng)于imp
void new_onNext(id self, SEL _cmd) {
    //獲取密碼
    UITextField *textField = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
    NSString *pwd = [textField text];
    NSLog(@"password: %@",pwd);
    [self performSelector:@selector(new_onNext)];
}

4.2 class_replaceMethod方式

利用class_replaceMethod，直接給原始的方法替換IMP:

//2.class_replaceMethod 方式
+ (void)load {
    //攔截微信登錄事件
    Class cls = objc_getClass("WCAccountMainLoginViewController");
    //替換
    origin_onNext = class_replaceMethod(cls, @selector(onNext), new_onNext, "v@:");
}

//原始imp
IMP (*origin_onNext)(id self, SEL _cmd);

//相當(dāng)于imp
void new_onNext(id self, SEL _cmd) {
    //獲取密碼
    UITextField *textField = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
    NSString *pwd = [textField text];
    NSLog(@"password: %@",pwd);
    origin_onNext(self,_cmd);
}

4.3 method_setImplementation方式

利用method_setImplementation蛾魄，直接重新賦值原始的IMP:

//3.method_setImplementation 方式
+ (void)load {
    //攔截微信登錄事件
    Class cls = objc_getClass("WCAccountMainLoginViewController");
    //獲取method
    Method onNext = class_getInstanceMethod(cls,@selector(onNext));
    //get
    origin_onNext = method_getImplementation(onNext);
    //set
    method_setImplementation(onNext, new_onNext);
}

//原始imp
IMP (*origin_onNext)(id self, SEL _cmd);

//相當(dāng)于imp
void new_onNext(id self, SEL _cmd) {
    //獲取密碼
    UITextField *textField = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
    NSString *pwd = [textField text];
    NSLog(@"password: %@",pwd);
    origin_onNext(self,_cmd);
}

至此能夠攔截到密碼虑瀑，并且能調(diào)用原來的登錄方法了。

??：別用自己的常用賬號去嘗試滴须，有可能被封號舌狗。
Demo

總結(jié)

• 代碼注入
  • Framework（推薦）/ dylib注入
    • Xcode自動打包進(jìn)入App包
    • MachO中Load Command需要LC_LOAD_DYLIB字段（
    • dyld加載動態(tài)庫
    • yololib修改Macho Load Commands：./yololib 要修改的可執(zhí)行文件 要添加的Framework/dylib路徑&名稱
• 調(diào)試分析
  • 動態(tài)調(diào)試：view debug調(diào)試控件層級結(jié)合presponder和pviews
  • 靜態(tài)分析：通過class-dump導(dǎo)出頭文件（OC類和方法列表）分析代碼邏輯
• 代碼Hook
  • + load方法中hook對應(yīng)類的對應(yīng)方法
  • exchange函數(shù)交換SEL與IMP的對應(yīng)關(guān)系(類似書的目錄和頁碼)
    • 隱患：沒法調(diào)用原來的實(shí)現(xiàn)
    • hook方法中調(diào)用回原來的方法
      1.添加方法解決class_addMethod
      2.replace替換class_replaceMethod
      3.getIMP和setIMP配合method_setImplementation（推薦，大部分HOOK框架使用這個）

yololib
class-dump官網(wǎng)
class-dump github
class-dump 兼容Swift版本

Error: Cannot find offset for address xxx in stringAtAddress
如果MachO中有Swift代碼則會報這個錯誤扔水，需要兼容swift的class-dump下載地址:class-dump痛侍，MonkeyDev bin目錄下class-dump。