前言
在 微信抢红包(三) 中,我们已经成功实现手动抢红包了,那接下来,自动抢红包怎么弄呢?从哪里开始呢?
分析自动抢红包逻辑
我们之前分析过,接收到消息调用的方法:
lldb 调试:
通过调试可以看到相关的信息,如 参数 arg1 为 CMessageWrap 等。
接着点开红包,继续查看抢红包代码中 的 CMessageWrap
可以看出这两个中间的 CMessageWrap 为同一个(对象内存地址不为一个,但是数据一样,暂且认为为同一个,猜测是 retain 了。不是同一个的话,这条路就走不通了),而抢红包代码中主要需要的就是 CMessageWrap 这个对象,那接下来就好办了:
直接把抢红包的代码拷贝到 接收到消息调用的函数中不就 OK了???
通过 调试可以发现,真实的 type 字段为 m_uiMessageType,WeChat 重写了 对象的 Description 方法。
期间会遇到的几个问题:
CMessageWrap 的问题解决了,和接收到消息调用的方法中的参数是一样的。
简化问题:获取 sessionUserName 简化
NSString *nsUsrName = [m_contact m_nsUsrName];
if (nsUsrName)//
{
NSLog(@"%@",nsUsrName);
[mutableDic setObject:nsUsrName forKey:@"sessionUserName"];
}
可以看出 wxid_erhumb6yg9yu22 和 CMessageWrap 的 m_nsFromUsr 属性 和 m_nsRealChatUsr 属性都是一样的,可以直接用 CMessageWrap 来获取。
- 参数 timingIdentifier 和 agree_duty 的获取 是依赖于 m_data 的。
怎么办呢???
分析拆红包逻辑
从上面的过程中可以看到,红包的最终调用的方法:
WCRedEnvelopesLogicMgr 这个红包逻辑管理者对象是比较关键的,那我们直接 Hook 一下,看看一看拆红包时的调用情况:
- (void)ReceiverQueryRedEnvelopesRequest:(id)arg1 方法汇编:
汇编代码中可以看出,这个方法就调用了下面的方法- (void)GetHongbaoBusinessRequest:(id)arg1 CMDID:(unsigned int)arg2 OutputType:(unsigned int)arg3 ,传入两个参数 CMDID:3 OutputType:1。
第三个方法:- (void)OnWCToHongbaoCommonResponse:(id)arg1 Request:(id)arg2.
是不是就是前面两个方法的返回数数据呢?
接下来,我们可以大胆尝试一下,手动发送一个拆红包的请求试一下:
// 手动调用拆红包
// 拼接参数
NSMutableDictionary *paraDic = [NSMutableDictionary dictionary];
// 写死的
[paraDic setObject:@"0" forKey:@"agreeDuty"];
[paraDic setObject:@"1" forKey:@"inWay"];
[paraDic setObject:@"1" forKey:@"msgType"];
// 取上面的
[paraDic setObject:[url_dic objectForKey:@"channelid"] forKey:@"channelId"];
[paraDic setObject:c2cNativeUrl forKey:@"nativeUrl"];
[paraDic setObject:[url_dic objectForKey:@"sendid"] forKey:@"sendId"];
// 调用
// 红包逻辑管理者对象
WCRedEnvelopesLogicMgr * redEnveLogicMgr = [[%c(MMServiceCenter) defaultCenter] getService:[%c(WCRedEnvelopesLogicMgr) class]];
[redEnveLogicMgr ReceiverQueryRedEnvelopesRequest:paraDic];
经测试,手动拆红包成功了,在接收到消息时,自动拆成功,
找到抢红包关键参数
通过上面分析得知这是第三个方法的相关信息:
[<WCRedEnvelopesLogicMgr: 0x11a7abae0> OnWCToHongbaoCommonResponse:<HongBaoRes: 0x11a1c5030> Request:<HongBaoReq: 0x11a7aaa10> ]
查看 响应类 HongBaoRes 和 请求类 HongBaoReq:
- 响应类 HongBaoRes
#import <MMCommon/WXPBGeneratedMessage.h>
@class BaseResponse, NSString, SKBuiltinBuffer_t;
@interface HongBaoRes : WXPBGeneratedMessage
{
}
+ (void)initialize;
// Remaining properties
@property(retain, nonatomic) BaseResponse *baseResponse; // @dynamic baseResponse;
@property(nonatomic) int cgiCmdid; // @dynamic cgiCmdid;
@property(retain, nonatomic) NSString *errorMsg; // @dynamic errorMsg;
@property(nonatomic) int errorType; // @dynamic errorType;
@property(retain, nonatomic) NSString *platMsg; // @dynamic platMsg;
@property(nonatomic) int platRet; // @dynamic platRet;
@property(retain, nonatomic) SKBuiltinBuffer_t *retText; // @dynamic retText;
@end
- 请求类 HongBaoReq
#import <MMCommon/WXPBGeneratedMessage.h>
@class BaseRequest, SKBuiltinBuffer_t;
@interface HongBaoReq : WXPBGeneratedMessage
{
}
+ (void)initialize;
// Remaining properties
@property(retain, nonatomic) BaseRequest *baseRequest; // @dynamic baseRequest;
@property(nonatomic) unsigned int cgiCmd; // @dynamic cgiCmd;
@property(nonatomic) unsigned int outPutType; // @dynamic outPutType;
@property(retain, nonatomic) SKBuiltinBuffer_t *reqText; // @dynamic reqText;
@end
通过这些信息,我们 Hook - (void)OnWCToHongbaoCommonResponse:(HongBaoRes *)arg1 Request:(HongBaoReq *)arg2 这个方法:
可以看到一个关键性的参数 timingIdentifier 又近了一步了。
可以看到拆红包的 timingIdentifier 和 开红包的 timingIdentifier 为同一个,这就好多了。
至此我们已经获取了抢红包所必备的所有参数,除了
id subscript = [m_dicBaseInfo objectForKey:@"agree_duty"];
其实这参数就不用去管了,外面抢红包用不到这个,调试结果也是 nil,暂时不用去理会。
但是不要高兴得太早,还有一些参数的变化:
receiveStatus:0 自己没有抢的未拆开
receiveStatus:2 自己抢过的已拆开
hbStatus:2 未拆开
hbStatus:4 已拆开的
HongBaoRes 类中 的 cgiCmdid 是不停变化的
拆开没被抢过的红包时 cgiCmdid 字段是 3
isSender 判断是不是自己发的红包吧??
自己发的红包 isSender : 1
别人发的红包 isSender : 0
补充:破解对称加密算法思路!!
MD5, RSA 等这些公开加密算法的函数是不是系统函数??
苹果的加密函数库
<CommonCrypto/CommonCrypto.h>
既然是的,fishHook能够HOOK吗? 肯定能了。
如:
CCCrypt(<#CCOperation op#>, <#CCAlgorithm alg#>, <#CCOptions options#>, <#const void *key#>, <#size_t keyLength#>, <#const void *iv#>, <#const void *dataIn#>, <#size_t dataInLength#>, <#void *dataOut#>, <#size_t dataOutAvailable#>, <#size_t *dataOutMoved#>)
RSA公钥非常重要--钥匙串访问(是否安全??)
调用的方法?? ?
调用的依然是苹果苹果的加密函数库中的方法,依然可以 Hook,所以 明文直接调用系统的方法加密,经过 Hook 之后就可以很容易得到原文。
所以:核心的数据一定不要直接调用系统的方法加密,
进行封装!! 自定函数!加密!
A -- > 异或盐(一个账号一个盐) --> B
....
B -- > 系统加密算法 --> C
这样即使HOOK了系统的加密函数,也很难猜测到你在加密前的处理算法,越复杂越安全。
