提示: 这仅仅只是逆向的一次尝试,如果你仅仅只是想单纯的修改步数,建议使用Healthkit的API修改步数,将会更简单。
为了纪念我失去的已越狱iPad, 不得不写点什么。
所以...以下内容 不需要越狱。
6万步是什么概念,我不知道,因为我没走过,不过有朋友是这么跟我形容的。
破解
首先,这是一个简单的不能再简单逆向实验,也仅仅只是针对于逆向比较简单的验证,这里不会讨论如何砸壳、classdump、hook、dylib 这些东西,因为简单的不需要,也没有详细的逆向分析过程,因为简单的不需要,这里只需要的两个软件 :
- PP 助手 (用来下载iOS 版本已经破壳的App)
- Hopper Disassembler
并且只需三步来完成破解。
PP助手,只用它来下载破壳的iOS 越狱App,不做说明。
Hopper Disassembler v3 下面是官网的原话:
Hopper is a reverse engineering tool for OS X and Linux, that lets you disassemble, and decompile your 32/64bits Intel Mac, Linux, Windows and iOS executables!Take a look at the feature list!
简单的说就是 Hopper 是一个反编译工具。
可能还有一些类似的工具比如说IDA。因为免费版功能不全,完整版太贵,这里毫不犹豫选择了Hopper。
在2015年,各大音乐平台联合起来打击盗版音频网站,各大音乐平台相互攻击,只能下架未授权的音乐。一些音乐平台也从起初的高品质歌曲收费服务,变成了交钱你才能听,让广大人民群众听歌困难。
下面我们要做的就是重新找回原来的自由。
虾米音乐 for mac
没有会员的虾米就只是只虾米。
如果要使用虾米Mac版播放器听高品质的歌曲是需要VIP 会员的。
下面我们就给自己一个“会员”。
先打开Hopper。
找到虾米音乐的安装目录 /Applications/Xiami.app/Contents/MacOS/ 下的Xiami 二进制文件给拖出来直接扔进 Hopper 窗口中,点OK 然后就会开始分析,虾米音乐 for mac 做的很简单,马上就会反汇编完成,我们可以在左边看到很亲切 的Objective-C 语法的方法调用,我们可以搜索想要了解的方法名,这里很明确,我们就是要给自己一个VIP,直接搜索“vip”。
不难发现,函数已经找到了,
[XMUser isVIP]
我们可以通过右上角按钮查看方法的伪代码.
然后用Hopper静态patch 这个方法,把光标放在[XMUser isVIP] 的第一行汇编代码上,然后选择菜单栏的Modify -> Assemble Instruction,并在弹出的文本框里输入mov rax, 0x1,如图所示:
再点击 "Assemble and Go Next",然后输入 ret,在点击按钮完成输入,修改后的代码块会变成白色,最后会变成这个样子:
这里是什么意思呢?我们在方法的伪代码中不难发现最终返回的是一个rax 的寄存器,其实在x86汇编里,函数的返回值存放在rax寄存器里,0x1对应BOOL类型的YES,这句汇编的意思就是 将0x1 送入eax 寄存器,因此我们让[XMUser isVIP] 永远返回YES,告诉虾米你永远都是VIP。
然后操作就基本已经完成了,点击菜单
File-> Produce New Executable 生成出新的二进制文件,替代原目录(/Applications/Xiami.app/Contents/MacOS/ ) 中的二进制文件(Xiami)。
重新打开虾米音乐播放器,接下来就让320kbps 高品质音乐轰炸你的耳朵。
这种是一种比较简单的逆向方式,当然逆向的局限性很大,如果想实现更大范围的hook 还是得使用openDev 等工具来做。
虾米音乐 for iOS
现在虾米音乐周杰伦的歌都没法听了...不得不说高晓松这个花钱请来的董事长,还真的是做了些事...
不过接下来不准备逆向虾米了,因为不想去用,不过你也可以用以上类似的方法去跳过虾米的验证,试听不能听得歌曲。
微信运动
你想每天都受到微信好友的关注么?
想每天霸占你女神/男神微信运动的封面么?
那么接下来我们只需要5分钟 三步 就能实现。
1. 下载破壳应用(越狱应用)
2. 通过Hopper 修改 微信步数
首先我们要找到WeChat.app ,我们可以通过解压工具在WeChat.ipa/Payload/找到并解压出来。
右键点击WeChat.app 显示包内容 ,找到WeChat 二进制文件然后拖到Hopper窗口中进行反汇编,因为微信应用比较大,反汇编时间可能会有点长,不过我们可以先把提供步数的方法找到,等待方法反汇编完成后就可以Patch了,使用上面的提到的老方法即可,下面是替换后的结果。
movw r0, #0xffff
bx lr
这里的0xffff 是16进制,也就是返回的步数,你想要多少步直接改这个数就可以了。
修改完成,Shift+command+E 生成新的二进制文件WeChat。
通过Xcode创建一个作为壳子的项目,要使用有开发权限的bundle Id
任意取名,选好你的证书描述文件,然后编译。会生成一个Mytest1.app。
我们需要这个Mytest1.app文件中的embedded.mobileprovision
然后还需要新建Entitlements.plist, 这里需要用到证书的Team-id,不知道可以在钥匙串中的证书中找到,注意这里的Team-id 一定要是distribution证书的。
如: iPhone Distribution: Tian Xiao (ABCDEFGHIB) 中的 ABCDEFGHIB
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>application-identifier</key>
<string>ABCDEFGHIB.dimsky.MyTest1</string>
<key>com.apple.developer.team-identifier</key>
<string>ABCDEFGHIB</string>
<key>get-task-allow</key>
<true/>
<key>keychain-access-groups</key>
<array>
<string>ABCDEFGHIB.dimsky.MyTest1</string>
</array>
</dict>
</plist>
所有需要的文件都已经生成,然后把embedded.mobileprovision 和修改后的WeChat二进制文件拷贝至WeChat.app中替换。
3. 重新签名,安装
接下来我们把WeChat.app 重新签名,
codesign -f -s 证书名字 目标文件
下面是需要重新签名的文件,证书名字在钥匙串中可以找到,注意在这一步需要前面创建的 Entitlements.plist 文件。
codesign -f -s "iPhone Developer: Tian Xiao (XXXXXXXX)" WeChat.app/Watch/WeChatWatchNative.app/PlugIns/WeChatWatchNativeExtension.appex
codesign -f -s "iPhone Developer: Tian Xiao (XXXXXXXX)" WeChat.app/Watch/WeChatWatchNative.app
codesign -f -s "iPhone Developer: Tian Xiao (XXXXXXXX)" WeChat.app/PlugIns/WeChatShareExtensionNew.appex
codesign -f -s "iPhone Developer: Tian Xiao (XXXXXXXX)" --entitlements Entitlements.plist WeChat.app
打包生成ipa
xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa
然后就可以通过PP助手安装了。
友情提示: 切勿开启暴走模式,让步数更真实为好,不然被删好友了,可别怪我。
长期霸榜的坏处可想而知,还请各位斟酌。
注:
本文仅供学习交流,请勿用于商业用途。
参考: iOS冰与火之歌番外篇
