前言
此文为逆向微信二进制文件,实现伪装定位,查看附近的人的教程,手把手教你玩转微信!学会之后再去逆向微信其他功能易如反掌。
在实践之前,需要准备好一部越狱的手机,涉及到的开发工具有cycript,LLDB与debugserver,OpenSSH,IDA,Reveal,theos,CydiaSubstrate,dumpdecrypted,class-dump等,具体安装过程请参考iOS应用逆向工程(第2版)书籍。
当前微信版本号为6.5.18。
git地址 https://github.com/zhaochengxiang/iOSWeChatFakeLocation
需求
自定义用户当前所在的位置,从而查看附近的人。
实现界面
对需求进行分析
1.查看附近的人。
我们在微信的附近的人界面,是怎么实现获取附近的人功能的呢?我想的话,大家一定很容易就知道,微信肯定是通过用户所在位置的经纬度来判断的,那我们如果能在附近的人界面,找到使用经纬度的函数,在里面使用我们之前保存在本地的经纬度等信息,我们的需求就能实现了。
2.自定义用户当前所在的位置。
我们在微信的聊天界面中有个发送位置的界面,可以从界面中的地图上选取地点,也可以搜索地点,点击右上角的发送,即可发送选中的位置,那如果发送的数据里面能获取到用户的经纬度等信息,再将这些信息保存在本地,我们的伪装定位功能就能实现了。
3.如何跳转到发送位置界面。
这里跳转,可以参考下从聊天界面跳转到发送位置界面的实现过程。
OK,需求分析到此结束,是时候来看看具体的操作了。
找到附近的人界面使用经纬度的函数
1.通过Reveal以及cycript,找到微信附近的人界面。
微信进入附近的人界面,连接Reveal,可以发现这个界面使用了一个名为MMTableView的控件。接下来我们通过这个控件,来一步一步找到附近的人界面的ViewController。
使用USB连接到iOS,具体操作请参考iOS应用逆向工程(第二版)中usbmuxd的介绍。
接下来使用cycript来找到这个ViewController。
我们在终端搜索MMTableView,找到这个类的地址。通过这个地址找到ViewController。
找到PeopleNearByListViewController,设置它的右侧导航控件为空,发现界面没反应,这个PeopleNearByListViewController可能不是我们要找的目标,通过PeopleNearByListViewController继续往上找。
找到SeePeopleNearbyViewController,设置它的右侧导航控件为空,发现界面右上角控件消失,可以肯定,这个SeePeopleNearbyViewController就是我们要找的。
我们打开SeePeopleNearbyViewController.h文件,大致浏览一下,发现该类未找到使用用户地址相关的接口,但是在里面发现了SeePeopleNearByLogicController类,微信通常将ViewController中使用的逻辑放在LogicController中进行处理,看一下SeePeopleNearByLogicController.h文件,能够看到很多与地址有关的数据以及接口,这个类并不复杂,我相信大家很快就能确定- (void)onRetrieveLocationOK:(id)arg1这个接口,可能就是我们需要的接口,arg1可能就是用户当前的经纬度等信息。如果真是我们分析的这样,让我们直接在这里使用我们伪装后的位置,就能达到我们的目的。
那怎么确定这个接口就是我们要找的呢?
有两种方法,第一种方法是通过LLDB与debugserver。首先在IDA中打开微信的二进制文件,找到上述接口。
符号所在模块的ASLR偏移为0x1016e8250
偏移前符号基地址为0x2c000
偏移后符号基地址为 0x1016e8250+ 0x2c000=0x101714250
设置断点,重新进入附近的人界面。
输出arg1的值。
可以看到,这是用户当前的经纬度信息。
第二种方法是通过Tweek,直接hook上述接口,打印arg1参数即可,这种比较简单,在这里就不做介绍了。
在发送位置界面截获经纬度等信息
1.通过Reveal以及cycript,找到发送位置的界面。这里就就具体介绍了,参考上面的过程。相信大家很快就能找到MMPickLocationViewController。那右上角的发送按钮是如何设置的呢?右上角的按钮一般是UIBarButtonItem通过initWithTitle:(NSString *)title style:(UIBarButtonItemStyle)style target:(id)target action:(SEL)action来初始化,如果我们找到了设置按钮的地方,也就找到了事件响应的地方,里面一定有我们所需要的位置的经纬度等信息。带着问题,我们看看MMPickLocationViewController.h,发现未找到与右上角相关的接口信息,但是我们发现了MMPickLocationViewControllerDelegate,我们看看代理中的方法,发现了- (UIBarButtonItem *)onGetRightBarButton,原来是在上层界面中进行的设置。在微信头文件搜索MMPickLocationViewControllerDelegate,能找到BaseMsgContentLogicController.h,该类是用来处理聊天界面中的逻辑,使用IDA看看BaseMsgContentLogicController中onGetRightBarButton的具体实现。
分析汇编,能判断出发送按钮的响应函数为onFinishSelectedLocation,使用IDA分析这个函数实现。
上面只截取了部分信息。分析汇编,首先[m_pickLocationViewController DismissMyselfAnimated:YES] 来返回聊天界面,接着使用[m_pickLocationViewController getCurrentPOIInfo]获取POIInfo信息,最后调用[m_pickLocationViewController reportOnDone]彻底释放发送位置界面。打开POIInfo.h,能很快发现@property(nonatomic) struct CLLocationCoordinate2D coordinate,这就是我们要找的位置信息,将它保存在本地即可。
如何跳转到发送位置界面
这里我们参考聊天界面跳转到发送位置界面的过程,如果能找到相关函数,分析里面的实现,那我们这个问题就能得到解决。
那我们打开聊天界面的逻辑控制器BaseMsgContentLogicController,观察该头文件,发现两个可疑的接口:
- (void)ViewLocation:(id)arg1;
- (void)SelectLocation:(_Bool)arg;
首先通过IDA来分析ViewLocation实现。
分析汇编,很容易知道,这是个弹出提示,用来提示是发送位置还是共享实时位置。
接着来分析SelectLocation实现。
分析汇编,首先MMPickLocationViewController通过- (id)initWithScene:(unsigned int)arg1 OnlyUseUserLocation:(_Bool)arg2来进行初始化,然后[[MMUINavigationController alloc] initWithRootViewController: m_pickLocationViewController]来初始化NavigationController,这里假设该NavigationController命名为nc,最后使用[self PresentModalViewController:nc animated:YES]来进行跳转。
(initWithScene:OnlyUseUserLocation:的参数请参考之前介绍的调适方法来获取值,这里就不重复介绍了)。
OK,分析完毕,开始写tweek吧。
后期我将继续微信的一些小插件开发,请关注一下我,谢谢!
如果觉得我的文章不错,请我喝杯热茶吧
