iOS逆向 - 反编译app实现xx功能

先看看最终把app改成了什么样子

设置页

目前是实现了不限人数的消息群发,自动验证,自动回复好友,清理删掉我的人。

安装各种工具

搞反编译之前,首先安装各种工具,有的是在 mac 上安装的,有的是在手机上的,工具的安装网上很多教程了,百度一下你就知道怎么装了。

工具 作用
class_dump 提取可执行文件所有头文件的工具
Theos hook代码开发工具
Hopper Disassembler 反汇编工具
xcode 安装IPA到手机上
Clutch 砸壳
dumpdecrypted 砸壳2
insert_dylib 注入动态库工具
install_name_tool 改动态库路径
optool 查看动态库注入成功否
CydiaSubstrate 越狱手机上的一个动态库
debugserver 手机调试工具
lldb mac调试工具
iOS App Signer 重签名打包
ldid 重签名工具2
openSSH 手机上远程登录
cydia 手机越狱后的工具
syslogd 打log的,iOS8 才可用
cycript 动态调试工具
logify.pl 生成初始的hook代码

可以看出工具非常多,得自己一个一个安装,比较烦,当时我安装了2天,网上教程非常详细了我就不写怎么安装的了,有些在越狱手机的 cydia 中才能安装的,有些在 mac 上就能直接安装的,能在 mac 上直接的安装的工具我全部打包起来了,在这里可以下载 反编译工具合集

一些逆向的方法

先花几天时间熟悉上面那些工具,下面的内容就假设已经掌握了这些工具的使用。

通过 UI 元素找到对应的 Controller,并查看内部方法

openSSH连接手机:ssh root@手机IP
注入进程:ps -e | grep -i wechat // 找到进程的 pid
cycript -p pid
通过这句话就可以打印出UI结构图了:UIApp.keyWindow.recursiveDescription().toString()
如下图:

根据 iOS View的树结构,找个 NavigationController 下面的 UIView,根据iOS view的响应链机制,不断打印一个 view 的 nextResponder
[#0x14e0c09a0 nextResponder];
一直往上找,就能找出聊天界面的 controller 是 NewMainFrameViewController。

class_dump 能提取出所有头文件
那么就可以看到 NewMainFrameViewController.h 头文件里面的内容了
cat NewMainFrameViewController.h 即可

分析一个动作

先给要观察的对象的所有方法加上 log

logify.pl 能自动生成打印 log 的 hook 代码
logify.pl NewMainFrameViewController.h > test.xm
如下图:

(id)arg1:id 是 类型 可以通过 [arg1 class] 打印出来,arg1 参数直接打,打印出 id 类型,找出他对应的头文件,修改他 - (NSString *)description; 方法,再注入,可以打印出这个对象中所有属性的值,参数值你就可以找出来了。

%orig; 是原始方法的代码,可以在后面加自己的代码,向下图一样

%log 是调 unix 的系统日志打印服务。

但是 syslogd 在 ios9 以上用不了了,只有 ios8 才能用,我当初想恢复 ios9 上的 syslogd 服务,比较麻烦,ios9 的系统删掉太多东西了,于是我就写了下面代码打印 log,虽然会当挡住界面,但是能实时看到。

// 加入显示 log 的 textView
dispatch_async(dispatch_get_main_queue(), ^{
    NSArray *array = [UIApplication sharedApplication].keyWindow.subviews;
    for (UIView *v in array) {
        if ([v isMemberOfClass:[UITextView class]] && v.tag == 1234) {
            [v removeFromSuperview];
        }
    }
    UITextView *tv = [[UITextView alloc] init];
    tv.tag = 1234;
    tv.frame = CGRectMake(0, 100, 200, 240);
    tv.font = [UIFont systemFontOfSize:15];
    [[UIApplication sharedApplication].keyWindow addSubview:tv];
});

///////////////

// 向 textView 写入一条 log 的函数
- (void)ck_log:(NSString *)str {
    dispatch_async(dispatch_get_main_queue(), ^{
        NSArray *array = [UIApplication sharedApplication].keyWindow.subviews;
        for (UIView *v in array) {
            if ([v isMemberOfClass:[UITextView class]] && v.tag == 1234) {
                UITextView *tv = (UITextView *)v;
                tv.text = [NSString stringWithFormat:@"%@\n---%@\n", tv.text, str];
            }
        }
    });
}

分析一个对象的动作

比如我要分析聊天界面点击一个好友时发生了什么
首先找出聊天界面的controller 是 NewMainFrameViewController

第一遍 hook:把他里面的方法全部打上 log
找到一个好友的头像点击,观察方法调用的顺序。
然后你就能知道调用方法的顺序。

第二遍 hook:把出现过的方法,把他 id 类型的参数打出来 [arg1 class]
就能还原参数类型。

第三遍 hook:找到重点想了解的参数类型,注入 description 方法,你就能够拿到发生动作时候的所有参数值。
然后你可以自己构造这些参数值,实现自动点击功能。

分析函数调用栈

有时候有个函数 func() 突然被调用了,你想知道是谁调用它的。

首先在 hopper 中找到这个函数地址,假设是 0x2222

再用 lldb + debugserver 启动手机中的 wechat
用 image list -o -f 打印 wechat 模块,找到 wechat 的偏移地址,假设是 0x1111

那么这个函数的实际运行地址为:基址 + 偏移
即 0x2222 + 0x1111 = 0x3333
因为操作系统加载一个可执行文件会分配一段内存地址给他,不一定是从0开始,所以就有了个偏移。

然后 br s -a '0x3333' 设个断点

去APP上重新出发 func() 函数的调用,lldb 会停在这里。
lldb 中用 bt 命令,打印函数调用栈

如下图

你会发现函数栈里有三个 WeChat 的函数
假设他前面的地址是 0x4444,这个是实际地址,要减去 0x1111,才是 hopper 中的地址,即 0x4444-0x1111 = 0x3333
然后去 hopper 中找 0x3333 的地址,你就可以知道函数名了。

还有打印 x20, x29 寄存器可以获得两个参数的内容。

写 hook 代码

分析完了一个动作的函数调用顺序,参数值,你就可以 hook 特定的函数,写相应的 tweak 代码,实现自动 XXX 的功能了。


最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,884评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,347评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,435评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,509评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,611评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,837评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,987评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,730评论 0 267
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,194评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,525评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,664评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,334评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,944评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,764评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,997评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,389评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,554评论 2 349

推荐阅读更多精彩内容