iOS逆向学习笔记 - 代码注入

代码注入过程

1、新建一个工程;
2、将微信Payload文件夹放入新建的工程中的APP文件夹里面;

$zip -ry WeChat.ipa Payload

3、在Build Phases里面添加New Run Script phase,将自动化脚本路径添加进去;


1373790-4fb87d482fbc5747.png

4、给自动化脚本权限;

$chmod +x XcodeApp.sh

5、编译下工程,能正常通过;

6、在工程中添加一个target framework并添加一个ColinHook类;

@implementation ColinHook

+ (void)load {
    NSLog(@"🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺");
}

@end

7、将工程target和framework target关联;

1373790-8ef43855f9bdbc09.png

这时编译运行是没问题的,但是没有不会打印我们写的代码的。

8、将注入的framework库添加到MachO文件里面;

这时需要用到一个工具yololib,并将它放到Mac电脑的/usr/local/bin里面。

1373790-892f31bef64c1d82.png
$yololib WeChat Frameworks/colinHookFrameWork.framework/colinHookFrameWork

9、用MachOView工具查看WeChat的MachO文件,查看加入的framework路径;

1373790-85a700eeaac2968c.png

10、将第9步的WeChat的MachO文件放到工程根目录的APP文件夹/Payload/WeChat.app里面,执行第2步,并编译运行工程,到此代码就注入成功了;

1373790-cd3791d587ee5c79.png

Dylib库注入过程

1、新建一个工程;
2、将微信Payload文件夹放入新建的工程中的APP文件夹里面;

$zip -ry WeChat.ipa Payload

3、在Build Phases里面添加New Run Script phase,将自动化脚本路径添加进去;

1373790-a322202306c0220a.png

4、添加Dylib库

1373790-190466a2c193f479.png

a、这个是在Mac里面使用的动态库

1373790-99177d2735b5c902.png

b、证书也是Mac Developer证书

1373790-88685024aaf3068f.png

c、在Debug模式下Build后,Dylib动态库的路径和App包放的路径不一样

1373790-3fc820932b33c3df.png

5、新建的工程和Dylib库进行关联

关联的意义就是为了后续在工程Build的时候将Dylib库添加到app里面去。

1373790-9b6ce7e680d20ebd.png

6、修改Build Setting -> Per-configuration Intermediate Build Files Path

1373790-c6a691906623bc9c.png

7、修改Dylib库的架构配置(Base SDK改成iOS配置即可)

1373790-61ca079b719b555a.png
1373790-fdec4262c8157474.png

8、将Dylib注入到MachO文件

# 7\. 注入我们编写的动态库
echo "开始注入"
# 需要注入的动态库的路径  这个路径我就写死了!
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/libColinHook.dylib"
#
## 通过工具实现注入
yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"

1373790-842f0a6142571012.png

9、在Dylib中写注入代码,并编译运行

[图片上传中...(1373790-69cc9df55b22e128.png-6787b2-152645511906

Method Swizzle

MethodSwizzleManager.h

#import <Foundation/Foundation.h>
#import <objc/runtime.h>

@interface MethodSwizzleManager : NSObject

+(void)HookClass:(Class)class withOldMethod:(SEL)oldMethod withNewMethod:(SEL)newMethod;

@end

MethodSwizzleManager.m

#import "MethodSwizzleManager.h"

@implementation MethodSwizzleManager

+(void)HookClass:(Class)class withOldMethod:(SEL)oldMethod withNewMethod:(SEL)newMethod {

    Method old = class_getInstanceMethod(class, oldMethod);
    Method new = class_getInstanceMethod(class, newMethod);

    method_exchangeImplementations(old, new);
}

@end

Hook自己工程中交换实例方法和类方法的实现

- (void)viewDidLoad {
    [super viewDidLoad];
    // Do any additional setup after loading the view, typically from a nib.

    //交换实例方法实现
//    [MethodSwizzleManager HookClass:self.class withOldMethod:@selector(oldMethod) withNewMethod:@selector(newMethod)];

    //交互类方法实现
    [MethodSwizzleManager HookClass:object_getClass(self.class) withOldMethod:@selector(oldClassMethod) withNewMethod:@selector(newClassMethod)];
}

+ (void)newClassMethod {
    NSLog(@"newClassMethod被调用");
}

+ (void)oldClassMethod {
    NSLog(@"oldClassMethod被调用");
}

- (void)newMethod {
    NSLog(@"newMethod被调用");
}

- (void)oldMethod {
    NSLog(@"oldMethod被调用");
}

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event {
//    [self oldMethod];
    [ViewController oldClassMethod];
}

Hook微信的注册方法

1、使用注入Framework库的工程来做这份案例

2、修改shell脚本,将Framework库添加到MachO文件

# ---------------------------------------------------
# 7\. 注入我们编写的动态库
echo "开始注入"
# 需要注入的动态库的路径  这个路径我就写死了!
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/colinHookFrameWork.framework/colinHookFrameWork"
#INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/libColinHook.dylib"
#
## 通过工具实现注入
# yololib MachO名称
yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"

3、运行工程,查看微信注册按钮

Target <WCAccountLoginControlLogic: 0x104de6930>
Action onFirstViewRegester

4、将微信的头文件导出,查看WCAccountLoginControlLogic类

class-dump -H WeChat -o /Users/yaoqi/Desktop/Headers

将Headers文件夹拖到Sublime Text工具,使用快捷键Cmd+Shift+F查找WCAccountLoginControlLogic,双击进入WCAccountLoginControlLogic.h文件

5、运行工程,Hook微信注册方法

自动化Shell注入脚本


# ${SRCROOT} 为工程文件所在的目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹,放三方APP的
ASSETS_PATH="${SRCROOT}/APP"
#ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"

#新建Temp文件夹
rm -rf "$TEMP_PATH"
mkdir -p "$TEMP_PATH"

# --------------------------------------
# 1\. 解压IPA 到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解压的临时APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
# 这里显示打印一下 TEMP_APP_PATH变量
echo "TEMP_APP_PATH: $TEMP_APP_PATH"

# -------------------------------------
# 2\. 把解压出来的.app拷贝进去
#BUILT_PRODUCTS_DIR 工程生成的APP包路径
#TARGET_NAME target名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "TARGET_APP_PATH: $TARGET_APP_PATH"

rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH/"

# -------------------------------------
# 3\. 为了是重签过程简化,移走extension和watchAPP. 此外个人免费的证书没办法签extension

echo "Removing AppExtensions"
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"

# -------------------------------------
# 4\. 更新 Info.plist 里的BundleId
#  设置 "Set :KEY Value" "目标文件路径.plist"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

# 5.给可执行文件上权限
#添加ipa二进制的执行权限,否则xcode会告知无法运行
#这个操作是要找到第三方app包里的可执行文件名称,因为info.plist的 'Executable file' key对应的是可执行文件的名称
#我们grep 一下,然后取最后一行, 然后以cut 命令分割,取出想要的关键信息。存到APP_BINARY变量里
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`

#这个为二进制文件加上可执行权限 +X
chmod +x "$TARGET_APP_PATH/$APP_BINARY"

# -------------------------------------
# 6\. 重签第三方app Frameworks下已存在的动态库
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
#遍历出所有动态库的路径
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do
echo "🍺🍺🍺🍺🍺🍺FRAMEWORK : $FRAMEWORK"
#签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

# ---------------------------------------------------
# 7\. 注入我们编写的动态库
echo "开始注入"
# 需要注入的动态库的路径  这个路径我就写死了!
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/colinHookFrameWork.framework/colinHookFrameWork"
#INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/libColinHook.dylib"
#
## 通过工具实现注入
# yololib MachO名称
yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"

总结

  • 利用动态库注入(Framework库、Dylib库)
  • 注入进APP(工程和动态库有关联关系)
  • 修改MachO文件的Load Commands
  • 在注入的动态库中,写上自己想要注入的代码
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,681评论 5 474
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,710评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,623评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,202评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,232评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,368评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,795评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,461评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,647评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,476评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,525评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,226评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,785评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,857评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,090评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,647评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,215评论 2 341

推荐阅读更多精彩内容