一、代碼注入
重簽名app后自己的殼工程的代碼就被替換掉了(替換了整個(gè)MachO),并不會(huì)執(zhí)行。iOS系統(tǒng)是通過dyld加載可執(zhí)行文件,最重要的是讀取MachO的Load Commands(其中包括_PAGEZERO、_TEXT、_DATA、_LINKEDIT等)。
對于一個(gè)App來說除了執(zhí)行自己的代碼還需要執(zhí)行UIKit以及自身Frameworks(本身也是一個(gè)MachO)中的代碼。分析MachO文件會(huì)發(fā)現(xiàn)Frameworks中的庫在Load Commands中以LC_LOAD_DYLIB存在,路徑是Frameworks下對應(yīng)庫:
只要
Load Command中有對應(yīng)庫的LC_LOAD_DYLIB,dyld就會(huì)去對應(yīng)路徑下加載庫。
如果自己的代碼放入動(dòng)態(tài)庫中,并且讓目標(biāo)App的Load Commands中有對應(yīng)的LC_LOAD_DYLIB代碼就可以注入了。一般修改原始的程序,是利用代碼注入的方式,選擇利用FrameWork或者Dylib等三方庫的方式注入。
1.1、FrameWork注入
1.給自己的殼工程添加一個(gè)HPHook Framework動(dòng)態(tài)庫
2.HPHook 添加HPInject類,并且重寫+load方法
@implementation HPInject
+ (void)load {
NSLog(@"HPInject Hook");
}
@end
如果HPHook被加載進(jìn)內(nèi)存,則會(huì)打印log。
3.build運(yùn)行后查看Produces中.app
這個(gè)時(shí)候動(dòng)態(tài)庫HPHook已經(jīng)在目標(biāo)App的Framewroks中了,運(yùn)行后HPInject的+ load方法并沒有執(zhí)行。
4.查看Macho文件
在Load Commands中并沒有發(fā)現(xiàn)HPHook的LC_LOAD_DYLIB。
1.1.1、yololib手動(dòng)注入
這個(gè)時(shí)候就需要使用yololib工具修改MachO文件,將HPHook加入到目標(biāo)App的Load Commands中。
1.拷貝yololib和目標(biāo)App可執(zhí)行文件到同一目錄執(zhí)行命令:
./yololib 目標(biāo)可執(zhí)行文件 要添加的Framework路徑名稱
./yololib WeChat Frameworks/HPHook.framework/HPHook
這個(gè)時(shí)候可執(zhí)行文件Load Commands中就已經(jīng)有HPHook了:
2.打包修改后的目標(biāo)App可執(zhí)行文件為.ipa包
zip -ry WeChat.ipa Payload/
使用新的ipa包替換APP目錄中的ipa包。
3.編譯運(yùn)行
這個(gè)過程中可能會(huì)出現(xiàn)HPHook沒有被編譯進(jìn)入Frameworks的情況,刪除Products多試幾次(Xcode問題)。
如果沒有問題就注入成功了:
??運(yùn)行出現(xiàn)問題首先排查Frameworks和Load Commands中都存在HPHook。
注入步驟
- 通過
Xcode新建Framwork,將庫安裝進(jìn)入APP包 - 通過
yololib注入Framwork庫路徑。命令:$yololib MachO文件路徑 庫路徑- 所有的
Framwork加載都是由DYLD加載進(jìn)入內(nèi)存被執(zhí)行的 - 注入成功的庫路徑會(huì)寫入到
MachO文件的LC_LOAD_DYLIB字段中
- 所有的
1.2、Dylib注入
通過FrameWork可以注入,也可以通過dylib注入,原理和framework相同。
1.創(chuàng)建dylib庫
這里選擇了macOS,為了是庫為動(dòng)態(tài)庫:
修改Base SDK為iOS:
Code Signing Identity修改為iOS Developer:
build Phases中添加Copy Files增加libHPDylibHook.dylib:
2.HPDylibHook.m添加Hook日志
@implementation HPDylibHook
+ (void)load {
NSLog(@"HPDylibHook Hook Success");
}
@end
這個(gè)時(shí)候仍然只是Frameworks中有libHPDylibHook.dylib庫,MachO中Load Commands仍然沒有LC_LOAD_DYLIB。
1.2.1 yololib自動(dòng)注入
1.直接在appResign.sh腳本中添加yololib修改MachO腳本:
#yololib修改MachO文件
#./yololib "$TARGET_APP_PATH/$APP_BINARY" "Frameworks/HPHook.framework/HPHook"
./yololib "$TARGET_APP_PATH/$APP_BINARY" "Frameworks/libHPDylibHook.dylib"
- 直接運(yùn)行
注意觀察libHPDylibHook.dylib是否在Frameworks中:
image.png
MachO中Load Commands:
注入成功:
注入步驟
- 通過
Xcode新建dylib庫(注意:dylib屬于MacOS所以需要修改屬性) - 添加
Target依賴,讓Xcode將自定義Dylib文件打包進(jìn)入APP包。 - 利用
yololib進(jìn)行注入。
二、注冊分析
調(diào)試代碼可以發(fā)現(xiàn)注冊按鈕的Target是WCAccountLoginControlLogic,action是onFirstViewRegister。
直接hook這個(gè)這個(gè)方法就攔截了注冊事件:
#import "HPInject.h"
#import <objc/runtime.h>
@implementation HPInject
+ (void)load {
NSLog(@"HPInject Hook success");
//攔截微信注冊事件
Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountLoginControlLogic"), @selector(onFirstViewRegister));
Method newMethod = class_getInstanceMethod(self, @selector(hook_onFirstViewRegister));
method_exchangeImplementations(oldMethod, newMethod);
}
- (void)hook_onFirstViewRegister {
NSLog(@"WeChat click login");
}
@end
這個(gè)時(shí)候注冊事件就攔截到了。
Method Swizzle
在OC中,SEL和IMP之間的關(guān)系,就好像一本書的目錄。SEL是方法編號,就像標(biāo)題一樣。IMP是方法實(shí)現(xiàn)的真實(shí)地址,就像頁碼一樣。
他們是一一對應(yīng)的關(guān)系
Runtime提供了交換兩個(gè)SEL和IMP對應(yīng)關(guān)系的函數(shù)。
image.pngOBJC_EXPORT void method_exchangeImplementations(Method _Nonnull m1, Method _Nonnull m2) OBJC_AVAILABLE(10.5, 2.0, 9.0, 1.0, 2.0);通過這個(gè)函數(shù)交換兩個(gè)
SEL和IMP對應(yīng)關(guān)系的技術(shù)稱之為Method Swizzle(方法欺騙)
三、登錄調(diào)試分析
view debug分析可以得到Target是WCAccountMainLoginViewController,action是onNext。同理登錄事件可以攔截拿到,那么pwd怎么獲取呢?
view debug可以看到pwd控件是WCUITextField并且能看到對應(yīng)的text。要做的就是拿到WCUITextField。
(lldb) po [(WCUITextField *)0x158ad6cb0 text]
987654321
3.1動(dòng)態(tài)分析
可以通過響應(yīng)鏈一步步分析控件層級和響應(yīng)關(guān)系。
結(jié)合
presponder和pviews分析。不過這種方式一般比較麻煩。
3.2靜態(tài)分析
使用class-dump工具導(dǎo)出頭文件(swift文件不行)。
./class-dump -H WeChat -o ./Headers
導(dǎo)出頭文件后用Sublime打開Headers文件夾(文件過多22335個(gè),不推薦Xcode)。
1.搜索WCAccountMainLoginViewController
找到onNext方法,發(fā)現(xiàn)沒有參數(shù)。但是找到了_textFieldUserPwdItem,看著和密碼相關(guān):
2.搜索WCAccountTextFieldItem
沒有找到
WCUITextField相關(guān)的內(nèi)容。
3.繼續(xù)搜索WCAccountTextFieldItem的父類WCBaseTextFieldItem
找到了
WCUITextField類型的m_textField成員變量。這個(gè)時(shí)候感覺找到了輸入賬號密碼的控件。
4.調(diào)試驗(yàn)證
(lldb) po [(WCAccountMainLoginViewController *)0x112054a00 valueForKey:@"_textFieldUserPwdItem"]
<WCAccountTextFieldItem: 0x281382a00>
(lldb) po [(WCAccountTextFieldItem *)0x281382a00 valueForKey:@"m_textField"]
<WCUITextField: 0x1112c1050; baseClass = UITextField; frame = (20 0; 345 44); text = '654321'; opaque = NO; autoresize = W+H; tintColor = UIExtendedSRGBColorSpace 0.027451 0.756863 0.376471 1; gestureRecognizers = <NSArray: 0x283bce0a0>; placeholder = 請?zhí)顚懨艽a; borderStyle = None; background = <_UITextFieldNoBackgroundProvider: 0x2835904c0: textfield=<WCUITextField 0x1112c1050>>; layer = <CALayer: 0x283774b80>>
(lldb) po [(WCUITextField *)0x1112c1050 text]
654321
驗(yàn)證找到了對應(yīng)的類和想要的內(nèi)容。
四、登錄代碼注入
+ (void)load {
NSLog(@"HPInject Hook success");
//攔截微信登錄事件
Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext));
Method newMethod = class_getInstanceMethod(self, @selector(hook_onNext));
method_exchangeImplementations(oldMethod, newMethod);
}
- (void)hook_onNext {
NSLog(@"WeChat click login");
//獲取密碼
UITextField *textField = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
NSString *pwd = [textField text];
NSLog(@"password: %@",pwd);
}
這個(gè)時(shí)候就能拿到密碼了:
WeChat[8322:4143129] WeChat click login
WeChat[8322:4143129] password: 654321
WeChat[8322:4143129] WeChat click login
WeChat[8322:4143129] password: 654321
在這個(gè)過程中我們應(yīng)該調(diào)用回原來的方法,讓登錄進(jìn)行下去:
- (void)hook_onNext {
NSLog(@"WeChat click login");
//獲取密碼
UITextField *textField = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
NSString *pwd = [textField text];
NSLog(@"password: %@",pwd);
[self hook_onNext];
}
直接在hook_onNext調(diào)用[self hook_onNext],這個(gè)時(shí)候運(yùn)行會(huì)直接崩潰,方法不存在。一般情況下我們進(jìn)行方法交換在分類中進(jìn)行,現(xiàn)在由于不是在分類中,所以在WCAccountMainLoginViewController中并不存在hook_onNext方法:
有3種方式調(diào)用回原方法。
4.1 class_addMethod方式
利用AddMethod方式,讓原始方法可以被調(diào)用,不至于因?yàn)檎也坏?code>SEL而崩潰:
//1.class_addMethod 方式
+ (void)load {
//攔截微信登錄事件
Class cls = objc_getClass("WCAccountMainLoginViewController");
Method onNext = class_getInstanceMethod(cls, @selector(onNext));
//給WC添加新方法
class_addMethod(cls, @selector(new_onNext), new_onNext, "v@:");
//交換
method_exchangeImplementations(onNext, class_getInstanceMethod(cls, @selector(new_onNext)));
}
//相當(dāng)于imp
void new_onNext(id self, SEL _cmd) {
//獲取密碼
UITextField *textField = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
NSString *pwd = [textField text];
NSLog(@"password: %@",pwd);
[self performSelector:@selector(new_onNext)];
}
4.2 class_replaceMethod方式
利用class_replaceMethod,直接給原始的方法替換IMP:
//2.class_replaceMethod 方式
+ (void)load {
//攔截微信登錄事件
Class cls = objc_getClass("WCAccountMainLoginViewController");
//替換
origin_onNext = class_replaceMethod(cls, @selector(onNext), new_onNext, "v@:");
}
//原始imp
IMP (*origin_onNext)(id self, SEL _cmd);
//相當(dāng)于imp
void new_onNext(id self, SEL _cmd) {
//獲取密碼
UITextField *textField = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
NSString *pwd = [textField text];
NSLog(@"password: %@",pwd);
origin_onNext(self,_cmd);
}
4.3 method_setImplementation方式
利用method_setImplementation,直接重新賦值原始的IMP:
//3.method_setImplementation 方式
+ (void)load {
//攔截微信登錄事件
Class cls = objc_getClass("WCAccountMainLoginViewController");
//獲取method
Method onNext = class_getInstanceMethod(cls,@selector(onNext));
//get
origin_onNext = method_getImplementation(onNext);
//set
method_setImplementation(onNext, new_onNext);
}
//原始imp
IMP (*origin_onNext)(id self, SEL _cmd);
//相當(dāng)于imp
void new_onNext(id self, SEL _cmd) {
//獲取密碼
UITextField *textField = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"];
NSString *pwd = [textField text];
NSLog(@"password: %@",pwd);
origin_onNext(self,_cmd);
}
至此能夠攔截到密碼,并且能調(diào)用原來的登錄方法了。
??:別用自己的常用賬號去嘗試,有可能被封號。
Demo
總結(jié)
- 代碼注入
-
Framework(推薦)/dylib注入-
Xcode自動(dòng)打包進(jìn)入App包 -
MachO中Load Command需要LC_LOAD_DYLIB字段( -
dyld加載動(dòng)態(tài)庫 -
yololib修改Macho Load Commands:./yololib 要修改的可執(zhí)行文件 要添加的Framework/dylib路徑&名稱
-
-
- 調(diào)試分析
- 動(dòng)態(tài)調(diào)試:
view debug調(diào)試控件層級結(jié)合presponder和pviews - 靜態(tài)分析:通過
class-dump導(dǎo)出頭文件(OC類和方法列表)分析代碼邏輯
- 動(dòng)態(tài)調(diào)試:
- 代碼
Hook-
+ load方法中hook對應(yīng)類的對應(yīng)方法 -
exchange函數(shù)交換SEL與IMP的對應(yīng)關(guān)系(類似書的目錄和頁碼)- 隱患:沒法調(diào)用原來的實(shí)現(xiàn)
-
hook方法中調(diào)用回原來的方法
1.添加方法解決class_addMethod
2.replace替換class_replaceMethod
3.getIMP和setIMP配合method_setImplementation(推薦,大部分HOOK框架使用這個(gè))
-
yololib
class-dump官網(wǎng)
class-dump github
class-dump 兼容Swift版本
Error: Cannot find offset for address xxx in stringAtAddress
如果MachO中有Swift代碼則會(huì)報(bào)這個(gè)錯(cuò)誤,需要兼容swift的class-dump下載地址:class-dump,MonkeyDev bin目錄下class-dump。
