工具准备
class-dump (获取逆向APP头文件工具)
下载地址: http://stevenygard.com/projects/class-dump
下载dmg文件, 将dmg文件中的class-dump复制到/usr/bin目录,并在Terminal中执行sudo chmod 777 /usr/bin/class-dump 命令赋予其执行权限
iOSOpenDev (构造越狱环境)
安装具体操作及问题解决参考: http://www.jianshu.com/p/29580725707a
yololib (注入dylib库)
PP助手
用来下载越狱APP(已经破壳过的APP)
文件准备
开发者证书 (个人证书 企业证书均可)
钥匙串内有存储, 随便取一个即可
证书对应的.mobileprovision文件
用对应证书生成.mobileprovision, 可在/Users/XXX/Library/MobileDevice/Provisioning Profiles获取
Entitlements.plist文件
用来给注入后的APP签名, 否则无法安装
步骤
PP助手下载越狱版本的微信, 获取IPA包, 解压获取WeChat文件
安装如图方式获取WeChat二进制文件
素材2.png
素材3.png
素材4.png
dump可执行文件 (获取头文件)
安装class-dump后, cd文件所在的目录 终端输入
class-dump -H WeChat -o WeChat.h
获取微信项目的头文件如图所示
素材5.png
新建dylib工程
Xcode默认不支持生成dylib,所以我们需要下载iOSOpenDev,安装完成后(Xcode7环境会提示安装iOSOpenDev失败,参考上文安装指南),重新打开Xcode,在新建项目的选项中即可看到iOSOpenDev选项了。
素材1.png
- 项目命名为WeChatHook, 创建完成后生成WeChatHook.h/.m文件, 删除.h文件, 并修改.m文件类型为.mm文件
- 引入CaptainHook.h文件 (CaptainHook 是使用的Runtime 机制实现,利用宏命令封装类定义、方法替换等功能)
素材6.png
- hook对应功能, 并修改 git地址
- 选择对应开发者, 设备选择Generic iOS Device对项目进行build, 生成对应的dylib文件
生成的lib文件可在git中编译生成, 工具类及方法均给出git地址
素材7.png
利用yololib注入WeChat.app内生成dylib文件
- 将yololib可执行文件与生成的dylib文件放在同一目录下
- 终端输入
./yololib WeChat libWeChatHook.dylib
素材8.png
生成Entitlements.plist文件
- 在钥匙串中获取开发者对应的id 如: iPhone Developer: XXXX (xxxx)
素材9.png
- 进入上文所述embedded.mobileprovision目录
- 终端输入
security cms -D -i "embedded.mobileprovision" > t_entitlements_full.plist - 终端输入
/usr/libexec/PlistBuddy -x -c 'Print:Entitlements' t_entitlements_full.plist > Entitlements.plist - 此时即生成了对应的Entitlements.plist文件
对微信签名
- 移动上文生成的libWeChatHook.dylib, 注入后的WeChat二进制文件, embedded.mobileprovision到WeChat.app中
- 利用
codesign -f -s 证书名字 目标文件对如图以下文件进行签名
素材10.jpeg
打包安装
- 终端输入
zip -qry ../extracted.ipa * - 利用PP助手 或者
mobiledevice install_app extracted.ipa安装至手机
测试结果
素材11.png
素材12.png
素材13.png
素材14.png
