代码注入过程
1、新建一个工程;
2、将微信Payload文件夹放入新建的工程中的APP文件夹里面;
$zip -ry WeChat.ipa Payload
3、在Build Phases里面添加New Run Script phase,将自动化脚本路径添加进去;
屏幕快照 2018-05-10 下午8.54.42.png
4、给自动化脚本权限;
$chmod +x XcodeApp.sh
5、编译下工程,能正常通过;
6、在工程中添加一个target framework并添加一个ColinHook类;
@implementation ColinHook
+ (void)load {
NSLog(@"🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺🍺");
}
@end
7、将工程target和framework target关联;
屏幕快照 2018-05-10 下午9.22.15.png
这时编译运行是没问题的,但是没有不会打印我们写的代码的。
8、将注入的framework库添加到MachO文件里面;
这时需要用到一个工具yololib,并将它放到Mac电脑的/usr/local/bin里面。
屏幕快照 2018-05-10 下午9.30.01.png
$yololib WeChat Frameworks/colinHookFrameWork.framework/colinHookFrameWork
9、用MachOView工具查看WeChat的MachO文件,查看加入的framework路径;
屏幕快照 2018-05-10 下午9.35.14.png
10、将第9步的WeChat的MachO文件放到工程根目录的APP文件夹/Payload/WeChat.app里面,执行第2步,并编译运行工程,到此代码就注入成功了;
屏幕快照 2018-05-10 下午9.39.50.png
Dylib库注入过程
1、新建一个工程;
2、将微信Payload文件夹放入新建的工程中的APP文件夹里面;
$zip -ry WeChat.ipa Payload
3、在Build Phases里面添加New Run Script phase,将自动化脚本路径添加进去;
自动化shell脚本.png
4、添加Dylib库
屏幕快照 2018-05-13 下午12.51.28.png
a、这个是在Mac里面使用的动态库
屏幕快照 2018-05-13 下午12.56.27.png
b、证书也是Mac Developer证书
1238204C-7356-4D2D-BAAB-099652E65609.png
c、在Debug模式下Build后,Dylib动态库的路径和App包放的路径不一样
屏幕快照 2018-05-13 下午1.00.09.png
5、新建的工程和Dylib库进行关联
关联的意义就是为了后续在工程Build的时候将Dylib库添加到app里面去。
屏幕快照 2018-05-13 下午1.29.31.png
6、修改Build Setting -> Per-configuration Intermediate Build Files Path
屏幕快照 2018-05-13 下午1.36.54.png
7、修改Dylib库的架构配置(Base SDK改成iOS配置即可)
屏幕快照 2018-05-13 下午1.16.35.png
屏幕快照 2018-05-13 下午1.39.34.png
8、将Dylib注入到MachO文件
# 7. 注入我们编写的动态库
echo "开始注入"
# 需要注入的动态库的路径 这个路径我就写死了!
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/libColinHook.dylib"
#
## 通过工具实现注入
yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"
屏幕快照 2018-05-13 下午1.54.02.png
9、在Dylib中写注入代码,并编译运行
屏幕快照 2018-05-13 下午2.05.04.png
Method Swizzle
MethodSwizzleManager.h
#import <Foundation/Foundation.h>
#import <objc/runtime.h>
@interface MethodSwizzleManager : NSObject
+(void)HookClass:(Class)class withOldMethod:(SEL)oldMethod withNewMethod:(SEL)newMethod;
@end
MethodSwizzleManager.m
#import "MethodSwizzleManager.h"
@implementation MethodSwizzleManager
+(void)HookClass:(Class)class withOldMethod:(SEL)oldMethod withNewMethod:(SEL)newMethod {
Method old = class_getInstanceMethod(class, oldMethod);
Method new = class_getInstanceMethod(class, newMethod);
method_exchangeImplementations(old, new);
}
@end
Hook自己工程中交换实例方法和类方法的实现
- (void)viewDidLoad {
[super viewDidLoad];
// Do any additional setup after loading the view, typically from a nib.
//交换实例方法实现
// [MethodSwizzleManager HookClass:self.class withOldMethod:@selector(oldMethod) withNewMethod:@selector(newMethod)];
//交互类方法实现
[MethodSwizzleManager HookClass:object_getClass(self.class) withOldMethod:@selector(oldClassMethod) withNewMethod:@selector(newClassMethod)];
}
+ (void)newClassMethod {
NSLog(@"newClassMethod被调用");
}
+ (void)oldClassMethod {
NSLog(@"oldClassMethod被调用");
}
- (void)newMethod {
NSLog(@"newMethod被调用");
}
- (void)oldMethod {
NSLog(@"oldMethod被调用");
}
- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event {
// [self oldMethod];
[ViewController oldClassMethod];
}
Hook微信的注册方法
1、使用注入Framework库的工程来做这份案例
2、修改shell脚本,将Framework库添加到MachO文件
# ---------------------------------------------------
# 7. 注入我们编写的动态库
echo "开始注入"
# 需要注入的动态库的路径 这个路径我就写死了!
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/colinHookFrameWork.framework/colinHookFrameWork"
#INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/libColinHook.dylib"
#
## 通过工具实现注入
# yololib MachO名称
yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"
3、运行工程,查看微信注册按钮
Target <WCAccountLoginControlLogic: 0x104de6930>
Action onFirstViewRegester
微信注册按钮.png
4、将微信的头文件导出,查看WCAccountLoginControlLogic类
class-dump -H WeChat -o /Users/yaoqi/Desktop/Headers
将Headers文件夹拖到Sublime Text工具,使用快捷键Cmd+Shift+F查找WCAccountLoginControlLogic,双击进入WCAccountLoginControlLogic.h文件
微信注册按钮类.png
5、运行工程,Hook微信注册方法
Hook微信注册方法.png
自动化Shell注入脚本
# ${SRCROOT} 为工程文件所在的目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹,放三方APP的
ASSETS_PATH="${SRCROOT}/APP"
#ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"
#新建Temp文件夹
rm -rf "$TEMP_PATH"
mkdir -p "$TEMP_PATH"
# --------------------------------------
# 1. 解压IPA 到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解压的临时APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
# 这里显示打印一下 TEMP_APP_PATH变量
echo "TEMP_APP_PATH: $TEMP_APP_PATH"
# -------------------------------------
# 2. 把解压出来的.app拷贝进去
#BUILT_PRODUCTS_DIR 工程生成的APP包路径
#TARGET_NAME target名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "TARGET_APP_PATH: $TARGET_APP_PATH"
rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH/"
# -------------------------------------
# 3. 为了是重签过程简化,移走extension和watchAPP. 此外个人免费的证书没办法签extension
echo "Removing AppExtensions"
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"
# -------------------------------------
# 4. 更新 Info.plist 里的BundleId
# 设置 "Set :KEY Value" "目标文件路径.plist"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"
# 5.给可执行文件上权限
#添加ipa二进制的执行权限,否则xcode会告知无法运行
#这个操作是要找到第三方app包里的可执行文件名称,因为info.plist的 'Executable file' key对应的是可执行文件的名称
#我们grep 一下,然后取最后一行, 然后以cut 命令分割,取出想要的关键信息。存到APP_BINARY变量里
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
#这个为二进制文件加上可执行权限 +X
chmod +x "$TARGET_APP_PATH/$APP_BINARY"
# -------------------------------------
# 6. 重签第三方app Frameworks下已存在的动态库
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
#遍历出所有动态库的路径
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do
echo "🍺🍺🍺🍺🍺🍺FRAMEWORK : $FRAMEWORK"
#签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi
# ---------------------------------------------------
# 7. 注入我们编写的动态库
echo "开始注入"
# 需要注入的动态库的路径 这个路径我就写死了!
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/colinHookFrameWork.framework/colinHookFrameWork"
#INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/libColinHook.dylib"
#
## 通过工具实现注入
# yololib MachO名称
yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"
总结
- 利用动态库注入(Framework库、Dylib库)
- 注入进APP(工程和动态库有关联关系)
- 修改MachO文件的Load Commands
- 在注入的动态库中,写上自己想要注入的代码
