“8小時內拼工作，8小時外拼成長”這是大家共同的理想。除了每天忙於工作外，我們都希望能更多地區吸收領域內的新知識與新技能，從而走向人生巅峰。

Dev Club 是一個交流移動開發技術，結交朋友，擴展人脈的社群，成員都是經過審核的移動開發工程師。每周都會舉行嘉賓分享，話題討論等活動。

上一期我們邀請了騰訊 WXG iOS 開發工程師“姚海波”分享了《微信讀書 iOS性能優化》。

本期，我們邀請了騰訊 CDG iOS 開發工程師“何兆林”為大家分享《iOS黑客技術大揭秘》。

---

分享內容簡介：

在黑客的世界裡，沒有堅不可破的防護系統，也沒有無往不勝、所向披靡的入侵利器，有時候看似簡單的問題，破解起來也許花上好幾天、好幾個月，有時候看似很 low 的工具往往能解決大問題；我們以實現微信自動搶紅包為引子，逐步展開 iOS 黑客入侵常用的幾種武器，並簡單的講解一些常用的反入侵策略，以及如何破解反入侵策略，雖然搶紅包的破解代碼網上有很多，但是我們要講的是這些代碼是用什麼工具分析出的，為什麼要這樣寫？

內容大體框架:
1. 讓目標程序破繭而出 －－ dumpdecrypted
2. 運行時分析 －－ cycript
3. 追蹤神器 －－ logify
4. 反匯編工具 －－ hopper
5. 斷點調試工具 －－ lldb+debugserver
6. 注入工具 －－ insert_dylib + install_name_tool

分享人介紹： 何兆林 通訊充值與彩票業務部 iOS開發工程師。

負責過的產品：QQ彩票、QQ電影票 iOS客戶端，目前主要負責 QQ彩票 iOS客戶端的開發。

---

下面是本期分享內容整理

---

大家晚上好，我是來自 CDG的 jolinhe，目前在做qq彩票項目，負責 iOS側的插件化和整體架構。

越獄和入侵是我的業余愛好，正好08和09年的時候，在網龍積累了一些越獄開發經驗，所以今天跟大家分享一下 iOS入侵方面的工具和手段。

為了避免紙上談兵：
- 第一部分我們就拿微信來開刀，講解一下如何運用這些工具來找到和實現自動搶紅包功能的；
- 第二部分我們再總結一下常用的入侵原理和反入侵方法。

開始之前，我們需要把環境搞起，硬件方面，需要：
1. 一台越獄手機
2. 一台裝了開發環境的 Mac電腦

軟件方面內容提綱已經列出來了，需要注意的是它們有一些是手機端的，一些是 PC端的，用到的時候我會細講。

群裡不乏老司機，這裡我假設大家對於 ssh、theos、class_dump、hook這些工具和技術都已經有所涉獵了，如果有不清楚的，歡迎私下交流。

一、微信實現自動搶紅包功能

言歸正傳，要實現自動化搶紅包，首先我們需要理清思路：

第一步：需要攔截微信的消息流，在哪裡攔截？ 第二步：在這些信息流中分辨出哪些消息是紅包？ 第三步：在合適的地方插入自己的“搶”紅包代碼。

1、讓目標程序破繭而出——dumpdecrypted

因為直接從 AppStore下載下來的二進制文件都是加了殼的，所以為了讓它的內核破繭而出，我們需要砸殼操作。

所以第一個工具就是 dumpdecrypted，這個工具是手機端的，可以通過 cydia安裝，安裝後文件路徑是：

/usr/lib/dumpdecrypted.dylib

在實際使用時，可以通過 pp助手把這個文件 copy到目標程序的 documents目錄，然後ssh進手機終端，cd到 documents目錄，執行：

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib WeChatPath

執行完後會再 documents目錄生成一個砸完殼後的二進制文件

2、運行時分析——cycript

砸完殼之後，我們再 dump出頭文件，但是微信的類太多了，頭文件有幾百個，如此多的頭文件，讓人眼花缭亂，所以要找到突破口，我們得縮小范圍，我喜歡用的思路是從 ui入手，先找到微信對話界面的 controller，然後再追蹤 controller中對應的消息處理函數。

這樣第二個工具 cycript 隆重出場了，它也是個手機端的工具，用於查看 app運行時數據，大伙兒可以通過 cydia安裝，安裝完之後，ssh到越獄手機的終端。

先找到微信的進程id：ps aux | grep WeChat
再執行：cycript -p 微信的pid

完成了注入，進入到 cycript提供的終端。

這時候進入在手機上進入微信的聊天窗口，例如：

然後在 cycript的終端輸入：<喎?/kf/ware/vc/" target="_blank" class="keylink">vcD4NCjxwcmUgY2xhc3M9"brush:java;"> UIApp.keyWindow.recursiveDescription().toString()

結果如下：

打印的是當前的ui樹，隨便找一個節點（樹的中間，為什麼要在中間，大家可以思考下），copy它的內存地址，例如 0x14da3f000

執行:[#0x14da3f000 nextResponder]

會輸出當前節點的下一級事件響應鏈，然後對輸出節點再次調用 nextResponder，直到找到它的視圖控制器 xxxcontroller：

看到了吧，微信的聊天頁對應的類名是 BaseMsgContentViewController。

3、追蹤神器 －－ logify

目前為止我們已經鎖定了大致的突破口，下面還需繼續追蹤，找到這個類裡面的消息處理函數，這裡的思路就是通過向群裡發送一個消息，然後觀察 controller中哪些方法被調用了。

第三個工具 Logify就是干這個事情的，它是 theos的一個組件，和 theos一起安裝在 pc端的，在 pc的終端輸入：

logify.pl /path/to/BaseMsgContentViewController.h > /out/path/to/Tweak.xm

打開生成的 tweak.xm文件，可以看到它其實就是 hook了這個類所有的方法，在方法中注入了 nslog，打印方法的入參和返回值，最後把這個文件用 theos打包並安裝到手機中，再次向群裡發消息，手機連上 xcode觀察手機控制台輸出。

輸出內容很多，需要仔細過濾一下，例如我們發的消息是一個文本“test”，在控制台搜索它，你會在它附近找到下面這個函數調用：

addMessageNode:layout:addMoreMsg

從函數名字來看，這個應該就是用來處理消息數據的，從表面來看我們已經找到消息的攔截點了，但是大家想一下，如果我們hook這個方法，在裡面自動搶紅包，會有什麼致命的缺陷？

老司機們已經看出來了吧，這個方法是 BaseMsgContentViewController類裡面的，而這個類進入聊天頁面才會被創建。

hook這裡會有兩個缺陷：

第一，必須進特定的群的聊天頁面才能生效； 第二，兩個群同時有紅包來，沒法並發的搶。

為了追求更加上流的功能，我們需要再向上追溯消息的源頭，最好 hook那種微信啟動後就存在的對象，怎麼追溯呢？

我的思路是通過在這個方法中設置斷點，通過調用棧，來找到上層的調用者。

4、反匯編工具——hopper & 斷點調試工具——lldb + debugserver

第五個工具 lldb + debugserver顧名思義，debugserver是手機端的(只要你的手機有連過 xcode進行 debug，這個玩意就自動有了)，用於監聽 pc端 lldb的連接，來實現遠程調試。

這個工具要和第四個 hooper(反匯編工具)結合起來用。

首先 ssh進手機的終端，輸入：

debugserver *:19999 -a WeChat

監聽 lldb的連接

然後打開pc的終端，啟動 lldb並連接：

lldb
process connect connect://deviceIP:19999

如果連接成功，我們就正式進入 debug狀態了。

那麼問題來了，要精確的設置斷點，必須知道這個函數的內存地址，這個內存地址怎麼搞出來呢？

有個公式：

內存地址＝進程內存基地址＋函數在二進制中的偏移量

上面我們已經連上了 lldb調試環境，獲取基地址在 lldb中輸入下面的命令：

image list -o -f

這時會輸出很多行數據，找到文件名為 WeChat的模塊地址，這裡第一行就是了：

偏移量需要借助 hooper，pc端的反匯編利器，用 hooper打開微信的二進制文件，等幾分鐘，反匯編完成後，在搜索框輸入剛找到的函數名： addMessageNode，定位到相應的匯編代碼，第一列就是偏移量了：

兩個參數都找到後，在lldb中輸入：

br s -a ‘基地址+偏移量’

然後用 “br l” 確認一下斷點是否設置成功

進入聊天界面，再次向群發送一個消息，會發現 ui卡住了，觀察 lldb控制台，會提示進程被斷住了，在 lldb中繼續輸入 bt指令，重點觀察模塊名是 WeChat的棧，但是由於沒有符號表，我們只能看到棧的內存地址：

想要把內存地址還原成函數名，需要兩步：

第一要把內存地址轉換成二進制文件偏移量 第二步再使用 hooper根據偏移量找到函數名

也就是上面公式的逆向過程：

函數在二進制中的偏移量＝內存地址 - 進程內存基地址

這裡我們棧地址是0x0000000101ad02f4，基地址是0x00000000000e8000，做下減法，得到結果0x1019E82F4，然後在 hooper中搜索這個地址就能得到方法名：

以此類推，最後得到棧頂的調用是這個：

[CMessageMgr MainThreadNotifyToExt:]

CMessageMgr這個類，從名字來看，就是消息管理器，而且是單例的，我們終於找到了真正需要 hook的類，但是這個方法是用來異步發送通知的，不像是消息的源頭，所以我們用上面說的 logify組件繼續追蹤一下這個類

過程不再重復講，最後的目標終於浮出水面：

(void)AsyncOnAddMsg:(id)message MsgWrap:(CMessageWrap* )msgWrap

第一步消息的攔截點終於找到了，接下來是第二步：

第二步：我們需要知道哪些消息是紅包，這個就比較簡單，向群裡發一個普通消息和紅包消息，通過 logify組件觀察 message參數的內容，發現它裡面有一個 type字段，如果是紅包，值是49，其他語音和文本各不相同，所以，這裡輕松搞定。

第三步：需要實現搶紅包代碼，這一步稍微復雜一點，先講一下思路，首先進入微信開紅包的界面：

根上面講過的一樣，通過 cycript+logify我們可以輕松拿到開紅包的入口函數，下一步，我們需要自己從 AsyncOnAddMsg的參數中構造搶紅包函數的入參。

找注入點我就不再重復講，直接上結果：

[WCRedEnvelopesReceiveHomeView OnOpenRedEnvelopes]

這顯然是一個事件處理函數，它裡面肯定會調用真正的拆紅包邏輯

所以我們打開 hooper，找到這個方法然後觀察方法體，發現它在最後調用了一個 selector：

WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes

這應該是真正的拆紅包邏輯，但是這個 selector沒有參數，所以我猜想這個方法的作用應該是自己封裝拆紅包所需的數據，並調用底層服務來拆紅包。

在hooper中搜索這個方法，觀察一下，果然是這樣的：

函數開始部分的匯編代碼都是在構造dictionary，只有在最後調用了一個可以函數：

這裡說明一下，由於微信這一塊的代碼全都是 oc的，而 hooper可以直接將 oc反匯編到接近源碼的水平，所以，還原過程基本不需要掌握多少匯編知識，具體的還原過程可以看下我之前發的文章：http://blog.csdn.net/heiby/article/details/51792151

最後一步，編寫 tweak，替換 AsyncOnAddMsg函數並把自己的成果注入進去就 ok了。

6、注入工具——insert_dylib + install_name_tool

對於越獄機器來說，到這裡已經大功告成了，但是想要在非越獄機器上跑，還需要幾個步驟：

在非越獄機上面，一切都要靠自己，首先手動把你的庫注入到目標二進制中，這一步使用 insert_dylib就可以了，它運行在 pc端，在命令行 cd到微信的二進制目錄，執行命令：

insert_dylib @executable_path/xxx.dylib WeChat

因為我們的 hook代碼是基於 cydiaSubstrate的，用l -L xxx.dylib來檢查一下你的 tweak，這個依賴庫在正版機上是沒有的，我們需要把它從越獄機充 cp出來和你的 tweak一起拖進目標 app目錄，並通過install_name_tool命令修改你的 tweak中對他的引用路徑。

最後，用 codesign命令對微信 bundle裡面所有的 dylib進行簽名：

codesign -f -s "iPhone Developer:xxx" xxx.dylib

打包成ipa:

xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa

再使用 iResign對 ipa進行簽名，就可以安裝到非越獄的機器上了。

注意一下，如果你不想使用 iResign，在執行 xcrun之前，還需要對微信的二進制文件進行簽名：

codesign -f -s "iPhone Developer:xxx” —entitlements Entitlements.plist WeChat.app

經常有人問 Entitlements.plist文件怎麼寫？照著這個來就行了，把 teamed和 bundle id改成你自己的：

簽名完成後可以通過ldid命令查看簽入的內容：

ldid -e /path/to/WeChat

到這裡入侵圓滿結束！

二、常用入侵原理和反入侵方法總結

下面我們總結一下用到的幾個工具：

dumpdecrypted insert_dylib cycript

第一個工具是砸殼用的，代碼是開源的，而且相當簡單，它並沒有破解 appstore的加密算法，而是把自己注入到已經通過系統加載器解密的 mach-o文件，再把解密後的內存數據 dump出來，詳細的原理這篇文章寫的很清楚：http://bbs.iosre.com/t/dumpdecrypted/465

那他是怎麼注入的呢？就是利用了 iOS系統中 DYLD_INSERT_LIBRARIES這個環境變量，如果設置了 DYLD_INSERT_LIBRARIES 環境變量，那麼在程序運行時，動態鏈接器會先加載該環境變量所指定的動態庫；也就是說，這個動態庫的加載優先於任何其它的庫，包括 libc。

由於這個環境變量指定的動態庫加載的時機實在是太早了，所以對於 app來說，除了代碼混淆外，無良策；

但是我們可以在代碼中通過判斷環境變量來檢測是不是被注入：

charchar *env = getenv("DYLD_INSERT_LIBRARIES");

如果方法返回非空，我們可以做一些上報之類的。

後面兩個工具都是用來注入的：

insert_dylib通過向 mach-o文件的 loadcommand段插入 LC_LOAD_DYLIB數據來加載第三方庫。

對於 insert_dylib，我們可以通過在 Xcode的Build Settings中找到“Other Linker Flags”在其中加上-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null指令來繞過 dylib加載額外的第三方庫，具體的原理可參考 http://bbs.iosre.com/t/tweak-app-app-tweak/438

但是破解這一招也非常簡單，上面的鏈接也說了，用 0xED打開二進制文件，把__RESTRICT全局替換成其它名字即可。

cycript個人感覺是比較神奇的，它在進程運行時動態注入。

沒有細看它的源碼，網上資料稱，它通過 taskfor_pid函數獲取目標進程句柄，然後通過在進程內創建新線程並執行自己的代碼。

對於 cycript這種 bt的行為，利用系統的 root權限在進程中創建線程並執行自己的代碼，目前還沒想到好的對策，如果有老司機有方法，希望能指導一下～

最後再說說 lldb反調試，網上大多都提到 ptrace系列函數，原理我就不多說，這裡主要講如何繞過它，有兩種方法，先說第一種，直接通過匯編代碼修改 ptrace的第一個參數，這樣我們需要先知道在哪裡調用了 ptrace。

用backboard服務啟動啟動目標程序：

debugserver -x backboard *:19999 /path/to/binary 

在pc端用lldb連接：

process connect connect://deviceIP:19999

然後在lldb中下符號斷點

b ptrace，

在lldb中輸入c命令之後看ptrace第一行代碼的位置，繼續輸入命令:

p/x $lr 

找到函數返回地址，然後用：

image list -o -f

找到目標程序的基地址，這樣就能用上面說的公式計算出偏移量，最後在 hooper中找到調用 ptrace的匯編代碼

找到匯編代碼的位置後，把 ptrace的第一個參數 1F，替換成 0A即可，下面是我的調試過程：

手機端：

pc端：

第二種簡單又暴力，注入tweak，讓 ptrace直接返回0即可，具體的代碼非常簡單，直接發出來：

//Tweak.xm
#import 
#import 
#import 

static int (*oldptrace)(int request, pid_t pid, caddr_t addr, int data);
static int newptrace(int request, pid_t pid, caddr_t addr, int data){
    printf("newptrace:%d\n\n",request);
    return 0;
}
%ctor {
    printf("Tweak for SkipPtrace  Start!\n\n");
    MSHookFunction((void *)MSFindSymbol(NULL,"_ptrace"), (void *)newptrace, (void **)&oldptrace);
}

總結

入侵的路有很多條，關鍵是要在開始階段定好目標，並理清思路，不然很容易走進各種死胡同，還要學會面對失敗，不要一條路走不通就放棄，最後呢，我們要善於借助各種工具，能用工具，干嘛還要去費力氣。

今天分享就到這裡，下面大家有問題可以提問哦！

問答環節

Q1：其實我挺好奇，這個能被破解，應該也會有被封堵的問題吧?

我們這裡只是偽造了自己的參數，並調用微信原有的邏輯自動拆紅包，所以技術上出了微信更新版本，是封不了的，但是如果你搶的太暴力，賬號有可能被封，這裡我們可以通過隨機的延遲等操作來避免

Q2：我在分析 UI時候多用了一個 reveal的工具。

reveal的可視化做的比較強大，用來分析 ui很不錯，有需要可以用

Q3：想問問那些安全類軟件是如何防止 tweak，對微信支付寶的進程保護?

防止tweak上面我也講到一些，不過都是從目標 app的代碼層級來講的，例如反 gdb和反注入，對於安全類軟件來說，在非越獄的系統上，基本起不了作用，在越獄機上面，由於有 root權限，這時就能做很多事情了，例如檢查 mach-o文件的 loadcommand、檢查 DYLD_INSERT_LIBRARIES這種環境變量等

Q4：各種微信分身版能被微信後台准確的識別出來嗎？如果可以識別，有哪些方方法可以去識別？

您指的是一機多裝吧，ios系統通過 app的 bundleid來唯一識別一個 app，分身版大多是通過改 bundleid並重新簽名和發布，在代碼中可以通過監控自己 info.plist裡面的 bundle id來識別是否被篡改，但是這也是不可靠的，因為黑客們還是可以通過 hook你的監控函數來繞開

Q5：看到你不少是根據方法名字面上來猜想它的意思，要是有的 app代碼寫的爛，我們反而不好弄了吧？還有如果紅包的核心代碼是用 C/C++的代碼，這是不是就不能這樣反匯編了？

確實會這樣，代碼寫得爛，有點類似於“代碼混淆”，會增加入侵的難度，如果核心代碼是 c/c++，在匯編層面會增加閱讀難度，但是只是難度增加了而已

Q6：對於哪些包括 watch和 extension的 App，在重簽名時有哪些需要注意的呢？ 重簽名安裝成功但啟動就閃退可能是什麼原因？

有 extension的app，在重簽名時，需要記住每個 extension都需要用同樣的證書單獨簽名，然後再對外層的 ipa進行簽名，重簽名後啟動閃退，可以通過 xcode連接設備，點擊 window->devices查看設備控制台，在控制台，會輸出你那一個 dylib校驗失敗，還有失敗的原因

Q7：聽你分析逆向這麼容易,那 ios防反編譯有哪些方案?

ios防止反編譯主要還是代碼混淆，但是混淆的代價大家是知道的，而且混淆也不能完全阻止入侵，所以會得不償失，因為這樣，現在 ios開發很少用；還有一個方案就是反注入，上面講過的，但是很容易被繞過

Q8：Android的一個安全加固保護是通過設置 PTRACEME來防止外部程序來 ptrace自己，如果 iOS APP也這樣設置了，會不會導致其中一些逆向機制失效呢？

ptrace只是反調試的，不會影響逆向過程