iOS逆向之 framework 注入

声明:此文章仅是学术探讨类文章,仅仅用于学习研究,也请读者不要用于商业或其他非法途径上,否则一律与笔者无关。

准备工作

1.非越狱iPhone手机
2.用PP助手下载:越狱应用
3.MachOView

MachOView源码地址:https://github.com/gdbinit/MachOView

MachOView无法运行解决方法:https://blog.csdn.net/lcg910978041/article/details/80220485

4.yololib

yololib下载地址:https://github.com/KJCracks/yololib?spm=a2c4e.11153940.blogcont63256.9.5126420eAJpqBD

操作思路:

-创建Framework
-通过MachOView
-使用yololib注入代码
-使用注入来实现功能

1. Framework

在我们的日常开发中,经常会用到各种已经封装好的库,比如支付宝、微信SDK等等中的库,这些库可以给我们的开发带来很大的便利。有的时候,由于工作的需要,我们需要对自己的项目进行封装,生成库,方便别人的使用。

“库”是共享程序代码的一种方式!iOS中一般的分为“静态库”和“动态库”。

“静态库”和“动态库”有什么区别?

“静态库” 链接时候完整的拷贝至可执行文件中,被多次使用就会有多次拷贝。

“动态库” 链接时候不复制,程序运行时由系统动态加载到内存,供程序调用,系统只加载一次,多个程序共用,节省内存!

iOS里静态和动态库形式

静态库形式: .a和.framework

动态库形式: .dylib和.framework

.a与.framework有什么区别

.a是一个纯二进制文件,.framework中除了有二进制文件之外还有资源文件。

.a文件不能直接使用,至少要有.h文件配合,.framework文件可以直接使用。

1.接下来我们创建一个framework

Xcode 新建工程Demo

创建framework如图,命名为DemoHook


WechatIMG2.jpeg

在新创建的DemoHook文件下
command+n 创建 injectCode 类,继承于NSObject


31560160682_.pic_hd.jpg

在injectCode.m 中添加如下代码,运行可是否添加成功

@implementation injectCode

+ (void)load{
    NSLog(@"成功了m,来杯🍺");
}

@end

运行Xcode 看到控制台输出了,说明创建成功。
image.png

程序启动后DYLIB 会加载被写入MatchO(可执行文件)中的每个framework。

可以通过MatchOView来查看加载情况。如图可以看到在Load Commands 模块中成功加载了DemoHook,从看到相对路径中可以看到加载的是DemoHook. framework文件中的DemoHook MatchO(可执行)文件。
WechatIMG3.png

如果将我们的DemoHook. framework 直接导入想重签名的APP会不会被直接加载执行呢?
这里我们用微信尝试一下。

利用重签名中的脚本重签名,使用重签名中的工程或者新建按照脚本重签名中步骤新建工程。
这里我们用已有工程进行测试。

WechatIMG4.jpeg

-首先在未导入DemoHook. framework 之前先,通过MatchOView查看一下微信MatchO 文件中加载的framework情况
WechatIMG5.jpeg
WechatIMG6.png

可以看到微信的framework 文件中的. framework已全部被加载。

那么接下来将我们的DemoHook. framework 复制到微信的framework 文件中,压缩重新生产.ipa包后倒入工程APP内,运行看是否能输出 >成功了m,来杯🍺

运行成功后发现,控制台并未输出“成功了m,来杯🍺” ,且通过MatchOView查看微信MatchO 文件是发现Load Commands 中并未加载我们的DemoHook。这说明我们直接导入的DemoHook. framework 没能和微信MatchO 关联或者说没能被写入。

所以我们使用工具yololib来对微信的的MatchO文件进行写入。

将下载下来的yololib.zip解压后得到的yololib放在‎⁨目录/usr⁩/local⁩/bin⁩下,这样我们在终端中就可以使用yololib命令了

如下命令

// yololib 「要写入的MachO路径」 「framework中的可执行文件路径」
yololib WeChat Frameworks/DemoHook.framework/DemoHook

插入成功会有如下提示


image.png

用MatchOView 查看Load Commands 中是否加载DemoHook,如图成功加载


image.png

重新压缩生成.ipa 包,替换原工程APP下的包文件,运行


image.png

可以看到插入成功了。

那我思考一下,既然可以插入.framework,那我们是不是可以通过iOS 的runtime 特性,结合逆向分析,在某些APP的功能模块来插入自己的方法呢。

比如:点击登录时,插入的.framework执行弹窗,显示账号密码等。

ViewDebug

我们通过Xcode 自带ViewDebug 来查找类名和方法名
登录按钮所在类WCAccountMainLoginViewController,所调用函数方法为onNext。


WechatIMG7.jpeg

class-dump

class-dump,是可以把Objective-C运行时的声明的信息导出来的工具。其实就是可以导出.h文件。用class-dump可以把未经加密的app的头文件导出来。
下载地址:http://stevenygard.com/projects/class-dump/。打开链接后,选择class-dump-3.5.dmg,进行下载。下载完成之后,将dmg文件中的class-dump复制到/usr/local⁩/bin目录,可以直接调用

class-dump -H WeChat -o Heads/

【说明】:
WeChat:想要到处头文件的MatchO 文件;
Heads/:存放dump结果的头文件文件夹路径。

image.png

在Heads中找到ViewDebug 定位到的类和方法,在WCAccountMainLoginViewController中看到有关用户名:WCAccountTextFieldItem *_textFieldUserNameItem 和 密码 :WCAccountTextFieldItem *_textFieldUserPwdItem 属性对象。
WechatIMG49.png

通过ViewDebug,可以看到输入用户名和密码的文本框为WCUITextField,利用LLDB来调用查看其内容是否为输入内容。


WechatIMG11.jpeg

通过上图可知WCUITextField为我们所需要的类。

接下来就是要上代码来实现自定义功能了,利用runtime机制来动态调用获取。

#import "injectCode.h"
//runtim 引入
#import <objc/runtime.h>

@implementation injectCode

+ (void)load{
    NSLog(@"成功了m,来杯🍺");
   //获取Method
    Method * onNext = class_getInstanceMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(onNext));
    //IMP
    oldIMP = method_getImplementation(onNext);
    //重新赋值IMP方法
    method_setImplementation(onNext, (IMP)my_next);
    
}
//原方法
IMP (* oldIMP)(id self,SEL cmd);

void my_next(id self,SEL sel) {
    NSString * name = [[[self valueForKey:@"_textFieldUserNameItem"] valueForKey:@"m_textField"] performSelector:@selector(text)];
    NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"] performSelector:@selector(text)];
    
    NSLog(@"用户名:%@; 密码:%@",name,pwd);
    //执行原方法
    oldIMP(self,sel);
 
}

@end

重新将DemoHook.framework 导入微信的.framework文件中,并利用yololib写入可执行文件,写入成功后重新压缩成新的.ipa文件放入工程中重新运行,输入账号密码查看控制台。
运行时可以看到注入成功,输入账号密码后,点击登录可以看到截取到账号密码。


image.png

runtime的MethodSwizzle方法有class_addMethod,class_replaceMethod,method_setImplementation三种,我们用的是method_setImplementation重新赋值的方式作为例子。

总结

·对APP重签名
·利用yololib注入Framework
·利用ViewDebug,class-dump分析代码
·利用Runtime的MethodSwizzle实现方法

温馨提示:微信重签名不要真用常用微信登录,有被警告和封号的风险!!
温馨提示:微信重签名不要真用常用微信登录,有被警告和封号的风险!!