如果您有耐心看完這篇文章，您將懂得如何著手進行app的分析、追蹤、注入等實用的破解技術，另外，通過“入侵”，將幫助您理解如何規避常見的安全漏洞，文章大綱：

黑客的素養

敏銳的嗅覺
有時候通過一個函數名，一個類名，就能大致的判斷出它的作用，這就是嗅覺；功力已臻化境時，甚至可以使用第六感判斷出一些注入點

面對失敗的勇氣
破解有時候很耗時，和程序開發正好相反，它耗時不是耗在寫代碼上，而是耗在尋找注入點和逆向工程上，有可能你花了3天時間去找程序的破綻，但是最終的破解代碼可能就2行，不到一分鐘就搞定了；但是你也需要做好面對失敗的准備，如果路選錯了，有可能你這3天完全是在浪費腦細胞

洪荒之力
洪荒之力－即入侵過程中需要借助的各種工具，工欲善其事，必先利其器，工具都是前人智慧的結晶，能用工具解決的，絕不要手動去搞

iOS黑客關鍵字

iOS的入侵離不開越獄開發，一切的破解、入侵都是建立在越獄的基礎上的，如果沒有拿到系統級權限，一切的想法都是空談了，當然，市面上存在免越獄的破解補丁，但是它的開發過程，也是基於越獄環境的

tweak

在iOS的黑客界，要做破解或越獄開發，就必須了解tweak，它是各種破解補丁的統稱，在google上，如果你想搜索一些越獄開發資料或者開源的破解補丁代碼，它是最好的關鍵字。

iOS的tweak大致分為兩種：

第一種是在cydia上發布的，需要越獄才能安裝，大部分是deb格式的安裝包，iOS在越獄後，會默認安裝一個名叫mobilesubstrate的動態庫，它的作用是提供一個系統級的入侵管道，所有的tweak都可以依賴它來進行開發，目前主流的開發工具有theos和iOSOpenDev，前者是采用makefile的一個編譯框架，後者提供了一套xcode項目模版，可以直接使用xcode開發可調試，但是這個項目已經停止更新了，對高版本的xcode支持不好，大家酌情選擇（本文中的例子全部采用theos）

第二種是直接打包成ipa安裝包，並使用自己的開發證書或者企業證書簽名，不需越獄也可以安裝，可直接放到自己的網站上，可實現在線安裝；對於沒有越獄的手機，由於權限的限制，我們是沒有辦法寫系統級的tweak的，例如springboard的補丁是沒法運行的，這種tweak大多是針對某個app，把目標app進行修改注入處理，再重新簽名和發布，有點類似於windows軟件的xxx破解版、xxx免注冊版

沒有越獄的機器由於系統中沒有mobilesubstrate這個庫，我們有二個選擇，第一個是直接把這個庫打包進ipa當中，使用它的api實現注入，第二個是直接修改匯編代碼；第一個適用於較為復雜的破解行為，而且越獄tweak代碼可以復用，第二種適用於破解一些if…else…之類的條件語句

Mobilesubstrate

下面的圖展示的就是oc屆著名的method swizzling技術，他就是iOS的注入原理，類似於windows的鉤子，所以我們注入也稱為hook

Mobilesubstrate為了方便tweak開發，提供了三個重要的模塊：<喎?/kf/ware/vc/" target="_blank" class="keylink">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"app注入原理">app注入原理

上面講到了mobileloader，他是怎麼做到把第三方的lib注入進目標程序的呢？這個我們要從二進制文件的結構說起，從下面的圖來看，Mach-O文件的數據主體可分為三大部分，分別是頭部（Header）、加載命令（Load commands）、和最終的數據（Data）。mobileloader會在目標程序啟動時，會根據指定的規則檢查指定目錄是否存在第三方庫，如果有，則會通過修改二進制的loadCommands，來把自己注入進所有的app當中，然後加載第三方庫。

為了讓大家看的更清楚，下面我用machoview來打開一個真實的二進制文件給大家看看，可以看出，二進制當中所有引用到的動態庫都放在Load commands段當中，所以，通過給這個段增加記錄，就可以注入我們自己寫的動態庫了

那麼問題來了，在這裡插入我們自己的動態庫有什麼用？我們自己寫的代碼沒有執行的入口，我們一樣沒發干壞事，嗯，恭喜你問到點子上了，我們還需要一個”main”函數來執行我們自己的代碼，這個”main”函數在oc裡面稱為構造函數，只要在函數前聲明 “attribute((constructor)) static” 即可，有了它我們就可以發揮想象力，進行偷天換日干點壞事了：

#import 

CHDeclareClass(AnAppClass);
CHMethod(1, void, AnAppClass, say, id, arg1)
{
    NSString* tmp=@"Hello, iOS!";
    CHSuper(1, AnAppClass, say, tmp);
}
__attribute__((constructor)) static void entry()
{
    NSLog(@"Hello, Ice And Fire!");
    CHLoadLateClass(AnAppClass);
    CHClassHook(1, AnAppClass,say);
}

到這裡為止，我們已經知道了怎麼在目標程序注入自己的代碼，那麼我們怎麼知道需要hook哪些方法？怎麼找到關鍵點進行實際的破解呢？下面講一下常見的app入侵分析方法

iOS逆向分析方法

逆向分析最常用的有三種方法：

網絡分析
通過分析和篡改接口數據，可以有效的破解通過接口數據來控制客戶端行為的app，常用的抓包工具有Tcpdump, WireShark, Charles等，windows平台有fidller

靜態分析
通過砸殼、反匯編、classdump頭文件等技術來分析app行為，通過這種方式可以有效的分析出app實用的一些第三方庫，甚至分析出app的架構等內容，常用的工具有dumpdecrypted（砸殼）、hopper disassembler（反匯編）、class_dump（導頭文件）

動態分析
有靜就有動，萬物都是相生相克的，動態分析指的是通過分析app的運行時數據，來定位注入點或者獲取關鍵數據，常用的工具有cycript（運行時控制台）、 lldb+debugserver（遠程斷點調試）、logify（追蹤）

demo:微信搶紅包插件

上面講了很多原理性的東西，相信大家已經看的不耐煩了，下面我們一起動點真格的，我們從頭開始，一步一步的做一個微信的自動搶紅包插件，當然，網上可能已經有相關的開源代碼了，但是我這裡要講的是，這些代碼是怎麼得出來的，我麼重點講一講分析過程

工欲善其事，必先利其器

一台越獄的手機，並裝有以下軟件

一台蘋果電腦，並裝有以下軟件

尋找注入點

砸殼

首先我們要做的就是把微信的殼砸掉，砸殼其實是為了把它的頭文件classdump出來，因為從appstore下載的app二進制都是經過加密的，直接進行classdump操作是啥也看不出來的

xxx$ cp /usr/lib/dumpdecrypted.dylib /path/to/app/document
xxx$ DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /path/to/WeChat

執行完這幾行命令後，會在微信的documents目錄生成一個WeChat.decrypted文件，這就是砸殼後的二進制文件；當然了，這一步不是必須的，我們可以直接從91或者pp助手下載一個已經砸過殼的版本

動態分析－cycript

要想實現自動搶紅包，我們必須找到收到紅包消息的handler方法，怎麼入手呢？我們先從界面出發，進入微信的消息首發窗口:

ps aux | grep WeChat

cycript -p pidxxx

UIApp.keyWindow.recursiveDescription().toString()

最終的輸出如下，內容太多，大家肯定看不清楚，不過沒關系，這個不是重點，這裡只是展示一下打印的結果形式：

我們可以隨機的選取一個節點不要太靠樹葉，也不要太靠樹根，例如我選的是標紅的部分，把這個節點的內存地址copy出來，這個內存地址，就代表了這個節點的view對象，ios開發的老油條們都知道，通過view的nextResponder方法，可以找出它所屬的視圖控制器ViewController，所以我麼在cycript的控制台中持續輸入如下的命令：

看到沒有，通過四個nextResponder方法調用，我麼找到了當前聊天窗口的ViewController類名，他就是BaseMsgContentViewController，現在我們縮小了目標范圍，下面我們還需要繼續縮小范圍，要找到具體的消息處理函數才行。

動態分析－Logify

要繼續縮小范圍，就得祭起神器Logify了，它是theos的一個模塊，作用就是根據頭文件自動生成tweak，生成的tweak會在頭文件的所有方法中注入NSLog來打印方法的入參和出參，非常適合追蹤方法的調用和數據傳遞

現在我們根據此前砸殼後class_dump出來的頭文件，找到BaseMsgContentViewController在pc終端執行如下命令：

logify.pl /path/to/BaseMsgContentViewController.h > /out/to/Tweak.xm

輸出的tweak文件大概是這個樣子的：

這裡帶百分號的關鍵字，例如 %hook、%log、%orig 都是mobilesubstrate的MobileHooker模塊提供的宏，其實也就是把method swizzling相關的方法封裝成了各種宏標記，使用起來更簡單，大家想要更深入了解各種標記，可以google一下logos語言

theos創建tweak

上面我們用logify生成了一個tweak代碼，我們要把它安裝到手機上，首先需要使用theos進行編譯，安裝了theos之後，在pc終端輸入nic.pl：

首先選擇項目模版當然是tweak啦，然後是項目名稱、作者，後面兩個選項要注意：

最後一切都完成後，在當前目錄會生成下列文件：

把上面logify生成的tweak文件覆蓋到當前目錄，並用文本編輯器打開makefile文件，在文件的開頭增加你的ios設備的ip地址和ssh端口：

最後在pc終端進入項目目錄，輸入 make package install 命令：

期間會讓你輸入設備的ssh密碼，越獄機器的默認ssh密碼是alpine，make命令會生成deb安裝包，放在debs目錄，我們如果想對外發布自己的插件，可以把生成的安裝包上傳到cydia即可

安裝成功後再次進入微信的聊天界面，並使用另外一個微信在群裡發個普通消息，連接xcode打開越獄機器控制台，查看輸出，會發現有類似下面的輸出：

Jun  7 09:56:13 Administratorde-iPhone WeChat[85972] : [1;36m[WxMsgPreview] [m[0;36mTweak.xm:308[m [0;30;46mDEBUG:[m -[ addMessageNode:{m_uiMesLocalID=2, m_ui64MesSvrID=0, m_nsFromUsr=ccg*675~9, m_nsToUsr=1037957572@chatroom, m_uiStatus=1, type=1, msgSource="(null)"}  layout:1 addMoreMsg:0]

debugserver *:19999 -a WeChat

lldb  ->  process connect connect://deviceIP:19999

image list -o -f

br s -a '0X00000000000E800+0x00000001017d7c6c'

0x0000000101ad02f4 – 0x00000000000e8000 = 1019E82F4

-[CMessageMgr MainThreadNotifyToExt:]:
–>    
-[BaseMsgContentLogicController OnAddMsg:MsgWrap:]:
——>
-[RoomContentLogicController DidAddMsg:]
———->
-[BaseMsgContentLogicController DidAddMsg:]
—————->
-[BaseMsgContentViewController addMessageNode:layout:addMoreMsg:]:

-(void)AsyncOnAddMsg:(id)message MsgWrap:(CMessageWrap* )msgWrap 

Administratorde-iPhone WeChat[47410] : [1;36m[WxMsgPreview] [m[0;36mTweak.xm:308[m [0;30;46mDEBUG:[m -[ addMessageNode:{m_uiMesLocalID=16, m_ui64MesSvrID=1452438635530425509, m_nsFromUsr=1037957572@chatroom, m_nsToUsr=ccg*675~9, m_uiStatus=4, type=49, msgSource="
        0
        3
    
    "}  layout:1 addMoreMsg:0]

Administratorde-iPhone WeChat[91173] : [1;36m[WxMsgPreview] [m[0;36mTweak.xm:8[m [0;30;46mDEBUG:[m -[ OnOpenRedEnvelopes]

NSString *nativeUrl = [[msgWrap m_oWCPayInfoItem] m_c2cNativeUrl];
nativeUrl = [nativeUrl substringFromIndex:[@"wxpay://c2cbizmessagehandler/hongbao/receivehongbao?" length]];
NSDictionary *nativeUrlDict = [%c(WCBizUtil) dictionaryWithDecodedComponets:nativeUrl separator:@"&"];

NSMutableDictionary *args = [[%c(NSMutableDictionary) alloc] init];
[args setObject:nativeUrlDict[@"msgtype"] forKey:@"msgType"];
[args setObject:nativeUrlDict[@"sendid"] forKey:@"sendId"];
[args setObject:nativeUrlDict[@"channelid"] forKey:@"channelId"];

CContactMgr *contactManager = [[%c(MMServiceCenter) defaultCenter] getService:[%c(CContactMgr) class]];
CContact *selfContact = [contactManager getSelfContact];

[args setObject:[selfContact getContactDisplayName] forKey:@"nickName"];
[args setObject:[selfContact m_nsHeadImgUrl] forKey:@"headImg"];

[args setObject:nativeUrl forKey:@"nativeUrl"];
[args setObject:xxx forKey:@"sessionUserName"];

[[[%c(MMServiceCenter) defaultCenter] getService:[%c(WCRedEnvelopesLogicMgr) class]] OpenRedEnvelopesRequest:args];

#import "WxMsgPreview.h"

%hook CMessageMgr

-(void)AsyncOnAddMsg:(id)message MsgWrap:(CMessageWrap* )msgWrap {
    %log;
    %orig;
    if(msgWrap.m_uiMessageType == 49){
        CContactMgr *contactManager = [[%c(MMServiceCenter) defaultCenter] getService:[%c(CContactMgr) class]];
        CContact *selfContact = [contactManager getSelfContact];

        if ([msgWrap.m_nsContent rangeOfString:@"wxpay://c2cbizmessagehandler/hongbao/receivehongbao"].location != NSNotFound) { // 紅包

            NSString *nativeUrl = [[msgWrap m_oWCPayInfoItem] m_c2cNativeUrl];
            nativeUrl = [nativeUrl substringFromIndex:[@"wxpay://c2cbizmessagehandler/hongbao/receivehongbao?" length]];

            NSDictionary *nativeUrlDict = [%c(WCBizUtil) dictionaryWithDecodedComponets:nativeUrl separator:@"&"];

            NSMutableDictionary *args = [[%c(NSMutableDictionary) alloc] init];
            [args setObject:nativeUrlDict[@"msgtype"] forKey:@"msgType"];
            [args setObject:nativeUrlDict[@"sendid"] forKey:@"sendId"];
            [args setObject:nativeUrlDict[@"channelid"] forKey:@"channelId"];
            [args setObject:[selfContact getContactDisplayName] forKey:@"nickName"];
            [args setObject:[selfContact m_nsHeadImgUrl] forKey:@"headImg"];
            [args setObject:nativeUrl forKey:@"nativeUrl"];
            [args setObject:msgWrap.m_nsFromUsr forKey:@"sessionUserName"];

            [[[%c(MMServiceCenter) defaultCenter] getService:[%c(WCRedEnvelopesLogicMgr) class]] OpenRedEnvelopesRequest:args];
        }
    }
}

%end

//注入動態庫
./insert_dylib @executable_path/wxmsgpreview.dylib WeChat
//打包成ipa
xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa