系統(tǒng)環(huán)境

• macOS 10.12.2
• Xcode 8.2
• iOS 10.2

工具&軟件：

• class-dump
• PP助手
• MachOView
• iOSOpenDev
• insert_dylib
• iOS App Signer
• 微信(越獄版) 6.5.3

分析微信

工欲善其事必先利其器，我們先將工具和軟件都準(zhǔn)備好，過程中會遇到很多問題，但我相信你能成功的。阻擾大家的主要是一些環(huán)境的搭建以及相關(guān)配置沒設(shè)置好，結(jié)果導(dǎo)致dylib編譯過程各種錯誤，重簽名不成功，各種閃退等。所以本文里的每一步操作都會很詳細(xì)的交代，確保大家都能操作成功。

我們先拿到用PP助手下載好的越獄版微信iOS客戶端，因為從AppStore下載的微信是經(jīng)過加密的，還需要砸殼.

Paste_Image.png

下載后解壓，我把他放在了桌面上，然后又創(chuàng)建了一個空文件夾準(zhǔn)備用來放dump出來的頭文件

Paste_Image.png

打開終端，輸入class-dump，可以看到class-dump的指令（我是10.12的系統(tǒng)，之前安裝class-dump還費了點事，要更改下系統(tǒng)的權(quán)限，不然class-dump不允許安裝）

Paste_Image.png

現(xiàn)在我們就可以輸入命令dump出微信的頭文件啦

$ class-dump -H /Users/zhangtaoran/Desktop/WeChat/Payload/WeChat.app -o /Users/zhangtaoran/Desktop/WeChatHeaders

但是過程肯定不會這么順利，當(dāng)我打開文件夾后只看到了一個CDStructures.h，里面什么都沒有

Paste_Image.png

我一臉懵逼，可能我們從PP助手下載的越獄版微信仍然有殼？但我覺得這個可能性應(yīng)該比較小，但是我們有了CDStructures.h這個線索，去Google和百度了一番，得知出現(xiàn)這種情況有兩種可能：

1. 還需要砸殼，砸殼工具有：AppCrackr、Clutch、dumpcrypted 等；由于 AppCrackr 、Clutch 暴力砸殼、操作簡單，招致公憤，因此一些核心功能，已經(jīng)下架，在高級系統(tǒng)中，已不能使用；因此，推薦： dumpcrypted 砸殼工具。工具獲取及使用方法，參考：https://github.com/stefanesser/dumpdecrypted

2. 當(dāng)砸殼完畢后，使用 class-dump 仍然只導(dǎo)出 CDStructures.h一個文件，則可能架構(gòu)選擇錯誤，armv7對應(yīng)的是iPhone5及以下的設(shè)備，arm64則是5s及以上的設(shè)備，所以微信也包含兩個架構(gòu)，armv7和arm64。關(guān)于架構(gòu)與設(shè)備之間的對應(yīng)關(guān)系可以從iOS Support Matrix上查看。理論上只要把最老的架構(gòu)解密就可以了，因為新的cpu會兼容老的架構(gòu)。我們這里加上armv7再輸入命令。

class-dump --arch armv7 /Users/zhangtaoran/Desktop/WeChat/Payload/WeChat.app -H -o /Users/zhangtaoran/Desktop/WeChatHeaders

然后就看到文件開始跑了，非常多，有點小激動，算是成功了一小步，可以看到微信一共8393個頭文件

Paste_Image.png

定位與步數(shù)相關(guān)的文件

微信這種項目的命名應(yīng)該是很規(guī)范的，我們想要修改步數(shù)就先嘗試查找一下step相關(guān)的頭文件，search出來的結(jié)果有很多，最后我定位到這個文件

Paste_Image.png

打開過后可以看到，這兩個應(yīng)該就是記錄步數(shù)的屬性

Paste_Image.png

這里的屬性get方法應(yīng)該就是判斷HealthKit是否可用然后去里面取數(shù)據(jù)，我們就把他們兩個的get方法都替換掉就好了

利用iOSOpenDev替換方法

利用 iOSOpenDev 創(chuàng)建一個 hook 的模板，就連手動調(diào)用 method-swizzling 的代碼也省了。

Paste_Image.png

然后開始寫代碼修改掉那兩個方法的實現(xiàn)，直接返回想要的數(shù)值

Paste_Image.png

build 一下生成 .dylib

Paste_Image.png

再用 dylib_insert 把動態(tài)庫的地址注入 Mach-O

$ insert_dylib @executable_path/ModifyStepCount.dylib /Users/zhangtaoran/Desktop/WeChat/Payload/WeChat.app/WeChat 

然后就會在相同位置生成一個新的 Mach-O 文件。

Paste_Image.png

我們用 MachOView 就能看到新的動態(tài)庫已經(jīng)被注入了：
在Fat Binary -> Executable -> Load Commands -> LC_LOAD_DYLIB

Paste_Image.png

最后把這個文件改名重新改回 WeChat替換原來的文件，再和動態(tài)庫一起放入原 WeChat.app

因為微信中還有watch app，我怕他還是加密的，我也將WeChat.app里面的Watch文件夾，連同PlugIns文件夾一起刪去，怕它影響我們重簽名

重簽名并打包

現(xiàn)在工作已經(jīng)完成一大半了，現(xiàn)在只需要對剛才修改好的微信重新簽名并打包，我是用的免費證書，要注意的是，由于中國的開發(fā)者利用免費的證書大量對應(yīng)用進(jìn)行重簽名，所以目前蘋果加上了許多限制，免費開發(fā)者的provisioning證書有效時間從之前的30天改為7天，過期后需要重新簽名。另外就是一個星期內(nèi)最多只能申請到10個證書。我就用Xcode新建了一個工程，讓蘋果給我生成一個新的有效期為7天的描述文件，然后用這個描述文件來簽名我們自己修改的微信。

簡單的來說就是創(chuàng)建一個APP，讓蘋果給我們這個APP發(fā)了一個可以免費在真機(jī)上測試的證書，然后用我們修改后的微信偽裝成為這個APP，就達(dá)成了非越獄環(huán)境下iOS App Hook

Paste_Image.png

成功生成描述文件

Paste_Image.png

然后我們就可以用iOS App Signer重新簽名了,其實iOS App Signer是幫我們獲取到本地上的開發(fā)者簽名證書和所有的Provisioning文件，然后對結(jié)果做了一個篩選，去掉了那些過期的證書，然后用描述文件對APP進(jìn)行簽名，再對簽好名的應(yīng)用打包。

我們就選擇好剛才生成的那個證書，簡單地點一下開始，就等著他幫我們重簽名并打包好吧

Paste_Image.png

最后就將重新打包好的ipa安裝到手機(jī)上，搞定！

Paste_Image.png

由于 Objective-C 動態(tài)的特性，我們可以不用對二進(jìn)制文件進(jìn)行反編譯，然后再對匯編指令進(jìn)行修改，只需要直接添加一個動態(tài)庫就能實現(xiàn)功能的更改了。

參考資料

聽說你想撤回信息？：http://www.itdecent.cn/p/ac7eddd644c3
iOSAppHook：https://github.com/Urinx/iOSAppHook
class-dump 和 iOSOpenDev 的使用：http://blog.csdn.net/chaoyuan899/article/details/39271197
Objective-C的hook方案（一）: Method Swizzling：http://blog.csdn.net/yiyaaixuexi/article/details/9374411