准备工作
新建一个 MonkeyDev 项目,重签名 WeChat。
需求
修改 WeChat的设置界面,添加自定义的数据。
通过界面分析找到注入点
- 找到代理对象,如图:
Xcode 调试
image.png
从图中可以看出,设置页面为一个 封装的 MMTableView;一般来说代理为当前的试图控制器 NewSettingViewController,但通过上图控制台的查看结果看出并不是,而是 MMTableViewInfo 这个类。
- NewSettingViewController 头文件
#import "MMUIViewController.h"
#import "MMTipsViewControllerDelegate-Protocol.h"
#import "WCAccountLogoutLogicDelegate-Protocol.h"
#import "WCAccountSwitchLogicDelegate-Protocol.h"
@class MMTableViewInfo, MMTipsViewController, NSString, WCAccountLogoutLogic, WCAccountSwitchLogic;
@interface NewSettingViewController : MMUIViewController <WCAccountSwitchLogicDelegate, WCAccountLogoutLogicDelegate, MMTipsViewControllerDelegate>
{
MMTableViewInfo *m_tableViewInfo;
_Bool m_bFromSetting;
WCAccountSwitchLogic *m_switchLogic;
WCAccountLogoutLogic *m_logoutLogic;
MMTipsViewController *m_introView;
}
- MMTableViewInfo 头文件
#import "MMTableViewUserInfo.h"
#import "UITableViewDataSource-Protocol.h"
#import "UITableViewDelegate-Protocol.h"
#import "tableViewDelegate-Protocol.h"
@class MMTableView, NSMutableArray, NSString;
@protocol MMTableViewInfoDelegate;
@interface MMTableViewInfo : MMTableViewUserInfo <UITableViewDelegate, UITableViewDataSource, tableViewDelegate>
{
MMTableView *_tableView;
NSMutableArray *_arrSections;
id <MMTableViewInfoDelegate> _delegate;
_Bool _disableAutoDeselectRows;
}
Cycript 调试
连接 OK 后,用终端访问 WeChat。
y# UIApp
#"<UIApplication: 0x12d082d00>"
cy# choose(MMTableView)
[#"<MMMainTableView: 0x12e0af800; baseClass = UITableView; frame = (0 0; 375 667); clipsToBounds = YES; autoresize = W+H; gestureRecognizers = <NSArray: 0x12d46e580>; layer = <CALayer: 0x12d46cfa0>; contentOffset: {0, -8}; contentSize: {375, 610}; adjustedContentInset: {64, 0, 49, 0}>",#"<MMTableView: 0x12e162a00; baseClass = UITableView; frame = (0 0; 375 667); clipsToBounds = YES; gestureRecognizers = <NSArray: 0x12f2a46c0>; layer = <CALayer: 0x12d7ee1c0>; contentOffset: {0, -64}; contentSize: {375, 541}; adjustedContentInset: {64, 0, 0, 0}>",#"<MMTableView: 0x12e1c6600; baseClass = UITableView; frame = (0 0; 375 667); clipsToBounds = YES; autoresize = W+H; gestureRecognizers = <NSArray: 0x12d7c86c0>; layer = <CALayer: 0x12d1e6180>; contentOffset: {0, -64}; contentSize: {375, 457}; adjustedContentInset: {64, 0, 49, 0}>"]
cy# #0x12e0af800.dataSource
#"delegate[0x12e03c200], class[NewMainFrameViewController]"
cy# #0x12e1c6600.dataSource
#"delegate[0x12d7dca10], class[MMTableViewInfo]"
cy# #0x12e1c6600.dataSource->tableView
cy# #0x12e1c6600.dataSource->tableView
cy# #0x12e1c6600.dataSource
#"delegate[0x12d7dca10], class[MMTableViewInfo]"
cy# #0x12e1c6600.tableView
cy# #0x12e1c6600._tableView
cy# #0x12d7dca10.tableView
cy# #0x12d7dca10._tableView
cy# #0x12d7dca10->_tableView
#"<MMTableView: 0x12e1c6600; baseClass = UITableView; frame = (0 0; 375 667); clipsToBounds = YES; autoresize = W+H; gestureRecognizers = <NSArray: 0x12d7c86c0>; layer = <CALayer: 0x12d1e6180>; contentOffset: {0, -64}; contentSize: {375, 457}; adjustedContentInset: {64, 0, 49, 0}>"
cy# #0x12d7dca10->_arrSections
@[#"<MMTableViewSectionInfo: 0x12f2c15f0>",#"<MMTableViewSectionInfo: 0x12f28fe20>",#"<MMTableViewSectionInfo: 0x12d0ebd40>",#"<MMTableViewSectionInfo: 0x12d5c3b30>"]
cy# #0x12d7dca10->_arrSections
@[#"<MMTableViewSectionInfo: 0x12f2c15f0>",#"<MMTableViewSectionInfo: 0x12f28fe20>",#"<MMTableViewSectionInfo: 0x12d0ebd40>",#"<MMTableViewSectionInfo: 0x12d5c3b30>"]
cy# #0x12d7dca10->_tableView.backgoundColor=[UIColor orangeColor]
#"UIExtendedSRGBColorSpace 1 0.5 0 1"
瞎胡搞,_tableView.backgoundColor 写错了,没效果。
Superman ~ sh login.sh
cy# choose(MMTableView)
[#"<MMMainTableView: 0x10f919a00; baseClass = UITableView; frame = (0 0; 375 667); clipsToBounds = YES; autoresize = W+H; gestureRecognizers = <NSArray: 0x10ed361e0>; layer = <CALayer: 0x10bef1a10>; contentOffset: {0, -8}; contentSize: {375, 610}; adjustedContentInset: {64, 0, 49, 0}>",#"<MMTableView: 0x10fa03a00; baseClass = UITableView; frame = (0 0; 375 667); clipsToBounds = YES; gestureRecognizers = <NSArray: 0x119d76d80>; layer = <CALayer: 0x119d58020>; contentOffset: {0, -64}; contentSize: {375, 541}; adjustedContentInset: {64, 0, 0, 0}>",#"<MMTableView: 0x10f034600; baseClass = UITableView; frame = (0 0; 375 667); clipsToBounds = YES; autoresize = W+H; gestureRecognizers = <NSArray: 0x117ac4ee0>; layer = <CALayer: 0x117aa12a0>; contentOffset: {0, -64}; contentSize: {375, 457}; adjustedContentInset: {64, 0, 49, 0}>"]
cy# #0x10f919a00.dataSource
null
cy# #0x10fa03a00.dataSource
#"delegate[0x119d56f20], class[MMTableViewInfo]"
cy# #0x10f034600.dataSource
#"delegate[0x117ad91e0], class[MMTableViewInfo]"
cy# #0x117ad91e0->_arrSections
@[#"<MMTableViewSectionInfo: 0x117af3590>",#"<MMTableViewSectionInfo: 0x117af4c00>",#"<MMTableViewSectionInfo: 0x117af3980>",#"<MMTableViewSectionInfo: 0x117af5750>"]
cy# #0x119d56f20->_arrSections
@[#"<MMTableViewSectionInfo: 0x117a430b0>",#"<MMTableViewSectionInfo: 0x117aa7540>",#"<MMTableViewSectionInfo: 0x117af6320>",#"<MMTableViewSectionInfo: 0x117ab66b0>",#"<MMTableViewSectionInfo: 0x117aa1510>",#"<MMTableViewSectionInfo: 0x117ae6ed0>"]
cy# #0x119d56f20->_tableView.backgoundColor=[UIColor orangeColor]
#"UIExtendedSRGBColorSpace 1 0.5 0 1"
cy# #0x119d56f20->_tableView.backgroundColor=[UIColor orangeColor]
#"UIExtendedSRGBColorSpace 1 0.5 0 1"
image.png
在很多地方都用了 MMTableView;
效果如下:
IMG_45D31832432C-1.jpeg
从上面可以找到设置页面 TableView 的封装类 MMTableViewInfo,接下来就开始着手修改页面。
- 修改页面
通过上面的调试,可以选择注入数据,修改数据源等等方法,但是都很麻烦,接下来使用一种简便一点的办法:
- 进入 Cycript 调试,进入设置页面,查看 MMTableViewInfo 的响应者链条。
image.png
cy# choose(MMTableViewInfo)
[#"<MMTableViewInfo: 0x115da5ca0>",#"<MMTableViewInfo: 0x1144a8380>"]
cy# #0x1144a8380.tableView
cy# #0x1144a8380._tableView
cy# #0x1144a8380->tableView
cy# #0x1144a8380->_tableView
#"<MMTableView: 0x10b0c0a00; baseClass = UITableView; frame = (0 0; 375 667); clipsToBounds = YES; autoresize = W+H; gestureRecognizers = <NSArray: 0x1144a1df0>; layer = <CALayer: 0x1144a1ca0>; contentOffset: {0, -64}; contentSize: {375, 457}; adjustedContentInset: {64, 0, 49, 0}>"
cy# #0x1144a8380->_tableView.nextResponder
#"<MMUIHookView: 0x1144dfb50; frame = (0 0; 375 667); layer = <CALayer: 0x1144a6c00>>"
cy# #0x1144a8380->_tableView.nextResponder.nextResponder
#"<MoreViewController: 0x10b08ba00>"
cy# #0x1144a8380->_tableView.nextResponder.nextResponder.nextResponder
null
cy# #0x115da5ca0->_tableView
#"<MMTableView: 0x10b89b800; baseClass = UITableView; frame = (0 0; 375 667); clipsToBounds = YES; gestureRecognizers = <NSArray: 0x11388aa50>; layer = <CALayer: 0x115d98500>; contentOffset: {0, -64}; contentSize: {375, 541}; adjustedContentInset: {64, 0, 0, 0}>"
cy# #0x115da5ca0->_tableView.nextResponder
#"<UIView: 0x115daeaa0; frame = (0 0; 375 667); autoresize = W+H; layer = <CALayer: 0x113884f90>>"
cy# #0x115da5ca0->_tableView.nextResponder.nextResponder
#"<NewSettingViewController: 0x10b194200>"
- Xcode LLDB 调试
image.png
MSHookIvar 获取某个对象的成员变量
如:MSHookIvar<NSMutableArray *>(self, "_arrSections");
修改代码:
image.png
这就找到了代码的注入点了,接下来就是调试修改注入代码的过程。
注入代码,修改界面,细节调整后的效果
IMG_8E6067047591-1.jpeg
添加了弹出键盘后的处理及消失之后的处理。
- 本地数据&本地资源
添加 本地数据&本地资源,图片资源直接导入,签名的目标APP 包中即可使用。
如下:
IMG_B36E750BF8A3-1.jpeg
后记
微信抢红包案例:
越狱--最好 iPhone 5s iOS9.0 以下,(5c 32 位,从5s 开始 64 位的,便宜经济实惠,iOS 10以上可能会不完美越狱)。
PP 助手可以一键越狱,查看可以越狱的版本。
砸壳/ Tweak 等。-
针对越狱的防护:
- 代码防护:
- 反调试,反反调试。
- 反 hook,反反 Hook。
- 代码混淆(手动混淆)。
- 代码防护:
