一、使用Xcode创建自己的一个用于测试的App。

目的：拦截一个自己写的方法，然后进行重写。
APP大家可以自己创建，我这边已经创建好了。

Bundle identifier：com.dasen.HOOK-APP
APP Name : HOOK_APP
拦截一个按钮的点击方法：

     - (void)buttonClick {    UIAlertController *alerView =[UIAlertController alertControllerWithTitle:@"提示" message:@"未被HOOK" preferredStyle:UIAlertControllerStyleAlert];   
      UIAlertAction *cancelAction =[UIAlertAction actionWithTitle:@"取消"
style:UIAlertActionStyleCancel   handler:nil];
[alerView addAction:cancelAction];
[self presentViewController:alerView animated:YES completion:nil];
    }

二、下载和配置theos

大家可自己手动下载官方theos然后放入ldid、CydiaSubstrate、dpkg-deb等等到目录中，或者使用脚本下载我这边已经放入好的theos。
脚本下载地址：https://github.com/DaSens/Theos-Script

三、创建theos项目

1，首先我们配置和准备好theos后，我们进入终端，然后cd进入你要放工程的文件夹目录比如桌面上我新建好的一个文件夹iosDev,然后执行启动 NIC(New Instance Creator)，如下：

屏幕快照 2017-11-01 10.32.47.png

屏幕快照 2017-11-01 10.33.43.png

然后你再测试下
我选择了这个：在终端提前执行export THEOS=/opt/theos
然后顺利通过
我们可以看到iphone/tweak
,所以我们输入 11 选择一个tweak工程，然后回车确定后，会让我们输入一些名字 id 等等信息，上一篇文章已经讲解过了。下面我用一张GIF图来演示下：
注意：在写Packag Name:时，后面不要有大写字母或特殊字符，最好都用小写字母

1, Makefile(这里的IP是手机设备的IP,不加IP可安装在任意设备上，加上IP是可以快速自己安装)

THEOS_DEVICE_IP = 10.10.243.124  
ARCHS = armv7 arm64
TARGET = iphone:latest:8.0

include $(THEOS)/makefiles/common.mkTWEAK_NAME = HOOKAPP
HOOKAPP_FILES = Tweak.xmHOOKAPP_FRAMEWORKS = UIKit
 include $(THEOS_MAKE_PATH)/tweak.mkafter-install::
install.exec "killall -9 SpringBoard"

2, Tweak.xm

%hook ViewController

- (void)buttonClick
{   
 UIAlertController *alerView = [UIAlertController alertControllerWithTitle:@"提示"  message:@"已经被HOOK了" preferredStyle:UIAlertControllerStyleAlert];   
 UIAlertAction *cancelAction =[UIAlertAction actionWithTitle:@"取消"
 style:UIAlertActionStyleCancel handler:nil];
[alerView addAction:cancelAction];
[self presentViewController:alerView animated:YES completion:nil];
 }
 %end

其它这两个文件 control 和 iosproject.plist 可以保持原样。

三、打包并安装dylib到设备中.
走到这一步需要注意几点
iOS设备一定要已经安装了Open ssh （默认密码alpine,如果忘记密码可自行查找如何修改密码）

设备和电脑保持在同一局域网下。

保证你的theos配置文件没有问题。

1，这个时候我们差不多都配置好了，可以把自己写的APP，然后运行到设备上了，运行之后点击测试下未HOOK之前的按钮点击方法:

或者重新更新下我上传的theos git pull 一下，还有环境变量记得设置下：export THEOS=/opt/theos
下面gif图演示操作下：

这个时候输入成功后这个时候SpringBoard已经开始重启了。
这这个过程中可能会出现一个 DVTPlugInCompatibilityUUIDs 问题，说DVTPlugInCompatibilityUUIDs里不包含一个值，
解决办法：
拷贝路径，让后将值添加到DVTPlugInCompatibilityUUIDs中，即可

（由于上传图片大小限制5M，我分了两个GIF来演示，下面演示HOOK成功后）

到这一步很多人一定会好奇，怎么这么就成功了，下面说说原理。其实原理不敢说，只能说是一些自己的理解吧。讲到这里就不得不需要提到一些关键词。
Cydia Substrate、Mobile Substrate

MSHookMessageEx

MSHookFunction

MobileHooker

MobileLoader

Safe Mode

Logos

下面进行一一说明
四、基本原理说明
1，Cydia Substrate 和 Mobile Substrate

• Cydia Substrate 原名为 Mobile Substrate 已经正式更名为 Cydia Substrate。* 它是越狱后cydia插件/软件运行的一个基础依赖包。提供软件运行的公共库，可以用来动态替换 内存中的代码、数据等所以iOS系统越狱环境下安装绝大部分插件，必须首先安装Cydia Substrate。* Cydia Substrate主要由3部分组成：MobileHooker，MobileLoader 和 safe mode。

2，MobileHooker、Logos

• MobileHooker用于替换覆盖系统的方法，这个过程被称为Hooking(挂钩)* 它主要包含两个函数：void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP result);void MSHookFunction(voidfunction,void* replacement,void** p_original);MSHookMessageEx 主要作用于Objective-C函数MSHookFunction 主要作用于C和C++函数Logos语法就是对此函数做了一层封装，让编写hook代码变的更直观，上面的例子用的就是logos语法。MSHookMessageEx 和MSHookFunction 使用方法这里就不介绍了，大家可去看书籍或者查询相关资料。

3，MobileLoader

• MobileLoader用于加载第三方dylib在运行的应用程序中。* 启动时MobileLoader会根据dylib的同名plist文件指定的作用范围，有选择的在不同进程里通过dlopen函数打开目录/Library/MobileSubstrate/DynamicLibraries/ 下的所有dylib。

4，safe mode

• 因为APP程序质量参差不齐崩溃再所难免，tweak本质是dylib，寄生在别人进程里，如果注入Springboard等。 系统进程一旦出错，可能导致整个进程崩溃,崩溃后就会造成iOS瘫痪。* 所以CydiaSubstrate引入了安全模式,在安全模 式下所有基于CydiaSubstratede 的三方dylib都会被禁用，便于查错与修复。* 本人建议自己测试的时候如果HOOK Springboard的时候一定要注意！如果出错，进入安全模式删除插件即可。

总结：在我的理解就是：我们在Tweak.xm文件里用封装后的logos语法编写代码（底层利用了MSHookMessageEx，MSHookFunction函数，使用 Object-C 的runtime特性发送了method_setImplementation消息）然后theos自动打包成dylib，上传到/Library/MobileSubstrate/DynamicLibraries/里面后，重启Springboard, 利用MobileLoader寻找目录并根据dylib的同名plist文件加载里面的dylib动态库，这时候当我们再打开APP后执行方法时，方法就被替换了。
下面我们可以来验证一下，我用PP助手连接pad, 进入/Library/MobileSubstrate/DynamicLibraries/目录，发现了我们编译后的dylib如图：