声明:此文章仅是学术探讨类文章,仅仅用于学习研究,也请读者不要用于商业或其他非法途径上,否则一律与笔者无关。
准备工作
1.非越狱iPhone手机
2.用PP助手下载:越狱应用
3.MachOView
MachOView源码地址:https://github.com/gdbinit/MachOView
MachOView无法运行解决方法:https://blog.csdn.net/lcg910978041/article/details/80220485
4.yololib
yololib下载地址:https://github.com/KJCracks/yololib?spm=a2c4e.11153940.blogcont63256.9.5126420eAJpqBD
操作思路:
-创建Framework
-通过MachOView
-使用yololib注入代码
-使用注入来实现功能
1. Framework
在我们的日常开发中,经常会用到各种已经封装好的库,比如支付宝、微信SDK等等中的库,这些库可以给我们的开发带来很大的便利。有的时候,由于工作的需要,我们需要对自己的项目进行封装,生成库,方便别人的使用。
“库”是共享程序代码的一种方式!iOS中一般的分为“静态库”和“动态库”。
“静态库”和“动态库”有什么区别?
“静态库” 链接时候完整的拷贝至可执行文件中,被多次使用就会有多次拷贝。
“动态库” 链接时候不复制,程序运行时由系统动态加载到内存,供程序调用,系统只加载一次,多个程序共用,节省内存!
iOS里静态和动态库形式
静态库形式: .a和.framework
动态库形式: .dylib和.framework
.a与.framework有什么区别
.a是一个纯二进制文件,.framework中除了有二进制文件之外还有资源文件。
.a文件不能直接使用,至少要有.h文件配合,.framework文件可以直接使用。
1.接下来我们创建一个framework
Xcode 新建工程Demo
创建framework如图,命名为DemoHook
在新创建的DemoHook文件下
command+n 创建 injectCode 类,继承于NSObject
在injectCode.m 中添加如下代码,运行可是否添加成功
@implementation injectCode
+ (void)load{
NSLog(@"成功了m,来杯🍺");
}
@end
程序启动后DYLIB 会加载被写入MatchO(可执行文件)中的每个framework。
如果将我们的DemoHook. framework 直接导入想重签名的APP会不会被直接加载执行呢?
这里我们用微信尝试一下。
利用重签名中的脚本重签名,使用重签名中的工程或者新建按照脚本重签名中步骤新建工程。
这里我们用已有工程进行测试。
可以看到微信的framework 文件中的. framework已全部被加载。
那么接下来将我们的DemoHook. framework 复制到微信的framework 文件中,压缩重新生产.ipa包后倒入工程APP内,运行看是否能输出 >成功了m,来杯🍺
运行成功后发现,控制台并未输出“成功了m,来杯🍺” ,且通过MatchOView查看微信MatchO 文件是发现Load Commands 中并未加载我们的DemoHook。这说明我们直接导入的DemoHook. framework 没能和微信MatchO 关联或者说没能被写入。
所以我们使用工具yololib来对微信的的MatchO文件进行写入。
将下载下来的yololib.zip解压后得到的yololib放在目录/usr/local/bin下,这样我们在终端中就可以使用yololib命令了
如下命令
// yololib 「要写入的MachO路径」 「framework中的可执行文件路径」
yololib WeChat Frameworks/DemoHook.framework/DemoHook
插入成功会有如下提示
用MatchOView 查看Load Commands 中是否加载DemoHook,如图成功加载
重新压缩生成.ipa 包,替换原工程APP下的包文件,运行
可以看到插入成功了。
那我思考一下,既然可以插入.framework,那我们是不是可以通过iOS 的runtime 特性,结合逆向分析,在某些APP的功能模块来插入自己的方法呢。
比如:点击登录时,插入的.framework执行弹窗,显示账号密码等。
ViewDebug
我们通过Xcode 自带ViewDebug 来查找类名和方法名
登录按钮所在类WCAccountMainLoginViewController,所调用函数方法为onNext。
class-dump
class-dump,是可以把Objective-C运行时的声明的信息导出来的工具。其实就是可以导出.h文件。用class-dump可以把未经加密的app的头文件导出来。
下载地址:http://stevenygard.com/projects/class-dump/。打开链接后,选择class-dump-3.5.dmg,进行下载。下载完成之后,将dmg文件中的class-dump复制到/usr/local/bin目录,可以直接调用
class-dump -H WeChat -o Heads/
【说明】:
WeChat:想要到处头文件的MatchO 文件;
Heads/:存放dump结果的头文件文件夹路径。
通过ViewDebug,可以看到输入用户名和密码的文本框为WCUITextField,利用LLDB来调用查看其内容是否为输入内容。
通过上图可知WCUITextField为我们所需要的类。
接下来就是要上代码来实现自定义功能了,利用runtime机制来动态调用获取。
#import "injectCode.h"
//runtim 引入
#import <objc/runtime.h>
@implementation injectCode
+ (void)load{
NSLog(@"成功了m,来杯🍺");
//获取Method
Method * onNext = class_getInstanceMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(onNext));
//IMP
oldIMP = method_getImplementation(onNext);
//重新赋值IMP方法
method_setImplementation(onNext, (IMP)my_next);
}
//原方法
IMP (* oldIMP)(id self,SEL cmd);
void my_next(id self,SEL sel) {
NSString * name = [[[self valueForKey:@"_textFieldUserNameItem"] valueForKey:@"m_textField"] performSelector:@selector(text)];
NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"] performSelector:@selector(text)];
NSLog(@"用户名:%@; 密码:%@",name,pwd);
//执行原方法
oldIMP(self,sel);
}
@end
重新将DemoHook.framework 导入微信的.framework文件中,并利用yololib写入可执行文件,写入成功后重新压缩成新的.ipa文件放入工程中重新运行,输入账号密码查看控制台。
运行时可以看到注入成功,输入账号密码后,点击登录可以看到截取到账号密码。
runtime的MethodSwizzle方法有class_addMethod,class_replaceMethod,method_setImplementation三种,我们用的是method_setImplementation重新赋值的方式作为例子。
总结
·对APP重签名
·利用yololib注入Framework
·利用ViewDebug,class-dump分析代码
·利用Runtime的MethodSwizzle实现方法
