IOS 逆向 微信抢红包+微信运动步数修改+UI界面新增控件

开篇

捣鼓几天搞出来的微信修改版,支持自动抢红包和修改微信运动步数,并且在设置里面可以开关功能。

需求&最终效果

image

image

环境要求与即将使用的工具

环境 版本
操作系统 MacOSX Catalina 10.15.4 版本太新了不太好用很多工具用不了,我后面打算降级
手机系统 Iphone7 IOS11
mac上面的 theos 最新版
xcode 11.5
MonkeyDev -

工具介绍

MonkeyDev集成在xcode上面,可以快速开发hook的代码,链接到Mach-O文件,支持修改ipa后的免越狱安装。配合lldb的调试效率高。

实现过程

页面UI新增控件

新建一个MonkeyDev项目,我的是WeChatDemo。
先把砸壳后的微信ipa拖拽进工程中的TargetApp目录。
真机调试执行run编译运行至手机,成功的话会看到手机多出一个微信,并且可以利用xcode来调试微信了!
首先完成设置页面UI新增“自动抢红包”和微信步数输入框的控件功能。
打开微信设置页面,xcode打开Debug View Hierarychy查看层级。


image

查找表格布局的数据源,发现Data Source是WCTableViewManager这个类,所以我们的新增控件功能要在这个类注入方法。
打开class-dump好之后的头文件WCTableViewManager.h
开发过ios的都知道,表格的实现需要实现UITableViewDelegate, UITableViewDataSource协议,用下面三个方法来控制cell

// 表格每一行的遍历
- (id)tableView:(id)arg1 cellForRowAtIndexPath:(NSIndexPath*)arg2;

// 每组有多少行
- (long long)tableView:(id)arg1 numberOfRowsInSection:(long long)arg2 ;

// 表格有多少组
- (long long)numberOfSectionsInTableView:(id)arg1 ;

注入这三个方法:
我新增了两个控件,所以numberOfSections加2

// 表格有多少组
- (long long)numberOfSectionsInTableView:(id)arg1 {
    NSLog(@"num2===%@", arg1);
    if ([[[[arg1 nextResponder] nextResponder] nextResponder] isKindOfClass:%c(MoreViewController)]) {
        NSLog(@"这是设置页面");
        return %orig+2;
    }
    return %orig;
}

我的每组是一行,所以第4个section和第5个section返回一行。


// 每组有多少行
- (long long)tableView:(id)arg1 numberOfRowsInSection:(long long)arg2 {
    NSLog(@"num===%lld", arg2);
    // 红包设置的行
    if ([[[[arg1 nextResponder] nextResponder] nextResponder] isKindOfClass:%c(MoreViewController)]) {
        NSLog(@"红包section的行数");
        if (arg2 == 4) {
            return 1;
        } else if (arg2 == 5) {
            // 微信运动的行数
            return 1;
        }

    }
    return %orig;
}

以下是具体每一个cell的实现。

// 表格每一行的遍历
- (id)tableView:(id)arg1 cellForRowAtIndexPath:(NSIndexPath*)arg2 {
    NSLog(@"indexPath===%@", arg2);
    if ([[[[arg1 nextResponder] nextResponder] nextResponder] isKindOfClass:%c(MoreViewController)]) {
        if (arg2.section == 4) {
            NSLog(@"红包的行cell");
            UITableViewCell *cell = [[UITableViewCell alloc] initWithStyle:UITableViewCellStyleSubtitle reuseIdentifier:@"mycell"];
            cell.textLabel.text=@"自动抢红包";
            cell.backgroundColor =[UIColor whiteColor];

            UISwitch *sw = [[UISwitch alloc] init];
            sw.on = [Comm confIsRedEnvelopeSwitchEnable];
            [sw addTarget:self action:@selector(redEnvelopeSwitchChange:) forControlEvents:UIControlEventValueChanged];
            cell.accessoryView = sw;

            return cell;
        } else if (arg2.section == 5) {
            [MyMoreViewController setTableViewObject:arg1];
            return [MyMoreViewController createWCSportTextField];
        }
       
    }
    return %orig;
}

其中
sw.on = [Comm confIsRedEnvelopeSwitchEnable];
是我新增的类方法,获取配置文件中的是否开启自动红包的配置。
[MyMoreViewController createWCSportTextField];
是指创建微信步数控件,具体代码这里我不列出来了。

抢红包功能实现

网络上有很多分析拆红包代码流程,这里简述流程。
首先需要找到微信消息接收入口,就是CMessageMgr这个类的onNewSyncAddMessage方法,普通消息、表情、红包...等等大部分消息都走这个方法。
然后判断消息类型(m_uiMessageType),为49时确定为微信红包消息。
调用下面这个方法告诉微信服务器将要拆红包的请求。[redEnvelopesLogicMgr ReceiverQueryRedEnvelopesRequest:mutableDict];
mutableDict里面的字典数据就是我们要拼装的数据。
ReceiverQueryRedEnvelopesRequest调用成功后,微信会回调触发 [WCRedEnvelopesLogicMgr OnWCToHongbaoCommonResponse]这个方法,这个方法能获取到timingIdentifier这个参数,然后我们再调用[redEnvelopesLogicMgr OpenRedEnvelopesRequest:redParameter.params];
最终实现收获红包的调用。redParameter.params就是请求的参数。
下面代码实现:

%hook CMessageMgr
// 收到微信消息
- (void)onNewSyncAddMessage:(id)arg1{
    %orig;
    [MyRedEnvelopesProcc onNewSyncAddMessageProcc:arg1];
}
%end

[MyRedEnvelopesProcc onNewSyncAddMessageProcc:arg1];是我写的类方法。

// 红包处理类
@implementation MyRedEnvelopesProcc
+(void) onNewSyncAddMessageProcc:(id)arg1 {
    //arg1 = (NSObject)arg1;
    CMessageWrap * wrap = arg1;

    NSLog(@"红包==========%@\n%@",arg1,[arg1 class]);
    NSLog(@"类型==========%d\n",wrap.m_uiMessageType);
    if (wrap.m_uiMessageType != 49) {
        NSLog(@"不是红包消息");
        return;
    }
    if (![Comm confIsRedEnvelopeSwitchEnable]) {
        NSLog(@"不启用抢红包功能");
        return;
    }
    //收到红包消息
    NSString *nsFromUsr = [wrap m_nsFromUsr];
    // 只有是红包消息类型才会有m_oWCPayInfoItem
    WCPayInfoItem *payInfoItem = [wrap m_oWCPayInfoItem];
    NSLog(@"payInfoItem==========%@\n",payInfoItem);
    if (payInfoItem == nil){
        return;
    }
    NSString * m_c2cNativeUrl = [payInfoItem m_c2cNativeUrl];
    if (m_c2cNativeUrl == nil){
        NSLog(@"m_c2cNativeUrl是nil !!!!!!!!!");
        return;
    }
    NSInteger length = [@"wxpay://c2cbizmessagehandler/hongbao/receivehongbao?" length];
    NSString *subString = [m_c2cNativeUrl substringFromIndex: length];
    NSDictionary *dict =  [objc_getClass("WCBizUtil") dictionaryWithDecodedComponets:subString separator:@"&"];
    NSMutableDictionary *mutableDict =  [NSMutableDictionary dictionary];
    [mutableDict setObject:@"1" forKey:@"msgType"];
    NSString *sendId = dict[@"sendid"];
    [mutableDict safeSetObject:sendId forKey:@"sendId"];
    NSString *channelId = dict[@"channelid"];
    [mutableDict safeSetObject:channelId forKey:@"channelId"];
    
    CContactMgr *service =  [[objc_getClass("MMServiceCenter") defaultCenter] getService:[objc_getClass("CContactMgr") class]];
    CContact *contact =  [service getSelfContact];
    NSString *displayName = [contact getContactDisplayName];
    [mutableDict safeSetObject:displayName forKey:@"nickName"];
    NSString *headerImg =  [contact m_nsHeadImgUrl];
    [mutableDict safeSetObject:headerImg forKey:@"headImg"];
    id nativeUrl = [payInfoItem m_c2cNativeUrl];
    [mutableDict safeSetObject:nativeUrl forKey:@"nativeUrl"];
    
    // 之前获取m_nsUsrName的方式只有在聊天窗口才有能获得变量,不人性的做法,改
    /*MMMsgLogicManager *logicManager =  [[objc_getClass("MMServiceCenter") defaultCenter] getService:[objc_getClass("MMMsgLogicManager") class]];
    BaseMsgContentLogicController *logicController = [logicManager GetCurrentLogicController];
    id m_contact = [logicController m_contact];
    id sessionUserName = [m_contact m_nsUsrName];
    //wxid_wps5gzsp30an32
     */
    NSString *sessionUserName = [wrap m_nsFromUsr];
    [mutableDict safeSetObject:sessionUserName forKey:@"sessionUserName"];
    
    if ([nsFromUsr hasSuffix:@"@chatroom"]){
        //群红包
        [mutableDict safeSetObject:@"0" forKey:@"inWay"]; //0:群聊,1:单聊
    }else {
        //个人红包
        [mutableDict safeSetObject:@"1" forKey:@"inWay"]; //0:群聊,1:单聊
    }
    
    [mutableDict safeSetObject:@"0" forKey:@"agreeDuty"];
    
    if (sendId.length > 0)   {
        SPRedParameter *redParameter = [[SPRedParameter alloc] init];
        redParameter.params = mutableDict;
        [[SPRedManager sharedInstance] addParams:redParameter];
    }
    NSLog(@"SPRedManager------mutableDict=%@",mutableDict);
    WCRedEnvelopesLogicMgr *redEnvelopesLogicMgr = [[objc_getClass("MMServiceCenter") defaultCenter] getService:[objc_getClass("WCRedEnvelopesLogicMgr") class]];
    [redEnvelopesLogicMgr ReceiverQueryRedEnvelopesRequest:mutableDict];
    
}

主要功能是调用下面这个方法告诉微信将要拆红包的请求:[redEnvelopesLogicMgr ReceiverQueryRedEnvelopesRequest:mutableDict];

然后再注入这个方法


%hook WCRedEnvelopesLogicMgr
// [redEnvelopesLogicMgr ReceiverQueryRedEnvelopesRequest:mutableDict] 请求后的响应,拆红包请求的回调
- (void)OnWCToHongbaoCommonResponse:(id)hongBaoRes Request:(id)hongBaoReq {
    %orig;
    [MyRedEnvelopesProcc OnWCToHongbaoCommonResponseProcc:hongBaoRes Request:hongBaoReq];
}
%end

[MyRedEnvelopesProcc OnWCToHongbaoCommonResponseProcc:hongBaoRes Request:hongBaoReq];是我自己写的方法。最终实现抢红包的调用。


+(void) OnWCToHongbaoCommonResponseProcc:(id)hongBaoRes Request:(id)hongBaoReq {
    HongBaoRes * response = hongBaoRes;
    HongBaoReq * request = hongBaoReq;
    NSLog(@"request------=%@",request);

    NSLog(@"response------=%@",response);


    NSError *err;
    NSDictionary *bufferDic = [NSJSONSerialization JSONObjectWithData:response.retText.buffer options:NSJSONReadingMutableContainers error:&err];
    NSLog(@"bufferDic------=%@",bufferDic);
    

    if (response == nil || bufferDic == nil){
        return;
    }
    if (request == nil){
        return;
    }
    if (request.cgiCmd == 3){
        int receiveStatus = [bufferDic[@"receiveStatus"] intValue];
        int hbStatus = [bufferDic[@"hbStatus"] intValue];
        /*
        可抢状态:cgiCmdid = 3 自己可抢 , cgiCmdid = 5 自己已抢过
        红包状态:hbStatus = 2 可抢红包, hbStatus = 4 自己抢过 ,hbStatus=5 过期红包
        是否自己发的:“isSender”:0 别人发的,“isSender”:1 自己发的
        是否群红包:“hbType”:1 群红包,“hbType”:0 个人红包
        自己是否抢过:“receiveStatus”:0 未抢过 , “receiveStatus”:2 已抢过
         */
        if (receiveStatus == 0 && hbStatus == 2){
            // 没有timingIdentifier字段会被判定为使用外挂
            NSString *timingIdentifier = bufferDic[@"timingIdentifier"];
            NSString *sendId = bufferDic[@"sendId"];
            if (sendId.length > 0 && timingIdentifier.length > 0){
                SPRedParameter *redParameter = [[SPRedManager sharedInstance] getParams:sendId];
                if (redParameter != nil){
                    redParameter.timingIdentifier = timingIdentifier;
                    // 抢的太快也会被判定为使用外挂
                    sleep(1);
                    WCRedEnvelopesLogicMgr *redEnvelopesLogicMgr = [[objc_getClass("MMServiceCenter") defaultCenter] getService:[objc_getClass("WCRedEnvelopesLogicMgr") class]];
                    if (nil != redEnvelopesLogicMgr){
                        // 真正抢红包的请求
                        NSLog(@"redParameter------=%@",redParameter.params);

                        [redEnvelopesLogicMgr OpenRedEnvelopesRequest:redParameter.params];
                    }

                }
            }
        }
    }
}

微信运动步数实现


// 微信步数
%hook WCDeviceStepObject

- (unsigned int)m7StepCount
{
    int count = [[Comm confWcWalkNumberString] intValue];
    NSLog(@"步数:%d", count);
    if (count) {
        return count;
    }
    return %orig;
}

- (unsigned int)hkStepCount
{
    int count = [[Comm confWcWalkNumberString] intValue];
    NSLog(@"步数:%d", count);
    if (count) {
       return count;
    }
    return %orig;
}
%end

[Comm confWcWalkNumberString]是读取我配置文件中的步数。
具体其他代码我上传到github吧。

博文主索引目录入口

我会把这系列的文章更新到这个入口里面,分享我的心得,大家互相学习。
2020年 IOS 逆向 反编译 注入修改游戏或APP的调用参数新手系列教程主目录入口

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,294评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,493评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,790评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,595评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,718评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,906评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,053评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,797评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,250评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,570评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,711评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,388评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,018评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,796评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,023评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,461评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,595评论 2 350