非越狱theos的Tweak创建的dylib安装到iOS设备

非越狱环境下iOS版WeChat 逆向研究示例,dylibz(动态库)注入、应用重签名

基本原理

通过app启动时调用我们注入的dylib,进行app hook,最终能够执行我们注入的dylib。

应用砸壳

App store里的应用都是加密的,没办法直接拿来使用,所以在做之前都需要一个砸壳的过程,而砸壳使用的工具是dumpdecrypted, 原理就是让app预先加载一个dumpdecrypted.dylib,然后在程序运行时,将代码动态解密,最后在内存中dump出来整个程序。当然砸壳是需要在越狱环境下进行的,所以我直接从PP助手等各种xx助手里面下载越狱应用(不是正版应用),也就是所谓的脱过壳的应用。

注意: 有好多应用是只有部分架构被解密,这时需要检查从xx助手下载的越狱应用是否已解密,还有就是Watch App以及一些扩展依然加密了,所以最好还是确认一下,否则的话,就算hook成功,签名成功,安装成功,app还是会闪退。

查看越狱应用是否已经解密的方式,以WeChat-6.5.18为例:
1.将xx助手中下载的WeChat-6.5.18.ipa包解压,会得到一个相同的名称的文件夹,然后进入该文件夹中->Payload->WeChat,右键WeChat->显示包内容,进入app包中
2.打开终端,并进入刚才解压的WeChat-6.5.18文件夹中Payload文件夹中,执行cd命令:
cd /Users/mofeini/Desktop/weChat/WeChat-6.5.18/Payload
3.通过终端,找到应用对应的二进制文件,查看该app包含哪些架构, 执行file命令:
file WeChat.app/WeChat
结果:

WeChat.app/WeChat: Mach-O universal binary with 2 architectures: [arm_v7: Mach-O executable arm_v7] [arm64]
WeChat.app/WeChat (for architecture armv7):    Mach-O executable arm_v7
WeChat.app/WeChat (for architecture arm64):    Mach-O 64-bit executable arm64

从结果中可以看到WeChat.app包含两个构架: arm_v7arm64,关于架构和设备之间的关系,可以查看iossupportmatrix。理论上只要把最老的架构解密即可,因为新的cpu会兼容老的架构。

  1. 通过终端命令otool 输出app 的load commands,然后查看获取的cryptid这个对应的value来判断app是否被加密,1代表加密了,0代表解密,执行otool -l (注意不是1哦)命令;
    otool -l WeChat.app/WeChat | grep -B 2 crypt
    结果:
         cmd LC_ENCRYPTION_INFO
     cmdsize 20
    cryptoff 16384
   cryptsize 48906240
        cryptid 0
--
         cmd LC_ENCRYPTION_INFO_64
      cmdsize 24
     cryptoff 16384
    cryptsize 52396032
        cryptid 0

从结果中可以看到cryptid对应的value都是0,可以确定此app已经被解密了,第一个对应的是较老的armv7架构,后者则是arm64架构

由于微信的项目中包含多个target: 包含WeChatWatchNative和WeChatShareExtensionNew。所以我们还需要按照上面的步骤,确认以下二进制文件(其中有两个是Watch中的,一个是微信分享扩展):

WeChat.app/Watch/WeChatWatchNative.app/WeChatWatchNative
WeChat.app/Watch/WeChatWatchNative.app/PlugIns/WeChatWatchNativeExtension.appex/WeChatWatchNativeExtension
WeChat.app/PlugIns/WeChatShareExtensionNew.appex/WeChatShareExtensionNew

结果:
WeChatWatchNative 未获取到信息
WeChatWatchNativeExtension cryptid 1
WeChatShareExtensionNew cryptid 0
注意: WeChatWatch还是加密的,会影响到下面步骤中的重签名,最简单的办法就是,对对应ipa包解压后,将里面的Watch文件夹删除,再进行重新签名

制作需要注入微信的dylib动态库

制作dylib动态库的两种方式: iOSOpenDev 和 theos
由于iOSOpenDev总是安装失败,所以这里使用theos

  • 使用终端命令,安装配置theos,将其Cloning into '/opt/theos'...
    安装ldid:brew install dpkg ldid ,在Theos开发插件中,iOS文件的签名是使用ldid工具来完成的,也就是说ldid取代了Xcode自带的Codesign;当出现Updating Homebrew...耐心等待即可;
    配置$THEOS: export THEOS=/opt/theos 等号后面是theos文件所在路径
    Theos安装:sudo git clone --recursive https://github.com/theos/theos.git $THEOS,Theos一般是安装在/opt/目录下的,Cloning完成后,可cd到/opt目录下查看;
    Cloning完成Theos后,要修改一下文件的权限:sudo chown -R $(id -u):$(id -g) /opt/theos
    配置环境变量: 在终端执行open ~/.bash_profile打开此文件,在后面加入:
export PATH=/opt/theos/bin:$PATH
export THEOS=/opt/theos

出现的问题: 当执行brew install dpkg ldid提示

/usr/local/Homebrew/Library/Homebrew/brew.rb:12:in `
': Homebrew must be run under Ruby 2.3! (RuntimeError)

解决:重新执行brew install dpkg ldid

创建tweak

使用theos来创建工程,创建工程也是比较简单的,就是调用我们theos目录中bin下的nic.pl命令。在执行nic.pl命令后,会让你选择新建工程的模板,目前theos中内置的是12套模板。当然我们此处创建的是tweak类型的工程,所有我们选择11

  • 新建工程,执行终端命令:
    nic.pl
    然后,终端会显示12套模板,并提示Choose a Template (required):,我们输入11回车
    接下来会提示项目名Project Name (required):,输入项目名wechatplugin,回车
    该 deb 包的名字:Package Name [com.yourcompany.wechatplugin]: 输入com.ossey.WeChatPlugin回车
    作者Author/Maintainer Name [Swae]: 输入你的名
    tweak 作用对象的 bundle identifier(比如微信为com.tencent.xin):[iphone/tweak] MobileSubstrate Bundle filter [com.apple.springboard]: 输入com.tencent.xin回车
    tweak 安装完成后需要重启的应用名[iphone/tweak] List of applications to terminate upon installation (space-separated, '-' for none) [SpringBoard],(比如微信为WeChat)

tweak项目中文件介绍

  • 安装完成后进入cd wechatplugin/, 执行ls -l, 可以看到里面有四个文件:
    完成后会看到四个文件(make 后将生成 .theos 、obj 文件夹).
    Makefile WeChatPlugin.plist Tweak.xm control

  • 对Makefile文件进行修改
    Makefile : 工程用到的文件、框架、库等信息。
    该文件过于简单,还需要添加一些信息。如
    指定处理器架构ARCHS = armv7 arm64
    指定SDK版本TARGET = iphone:latest:8.0
    导入所需的framework等等。
    修改后的Makefile文件:

ARCHS = armv7 arm64
TARGET = iphone:latest:8.0

include $(THEOS)/makefiles/common.mk

TWEAK_NAME = WeChatPlugin
WeChatPlugin_FILES = Tweak.xm

include $(THEOS_MAKE_PATH)/tweak.mk

after-install::
    install.exec "killall -9 WeChat"

  • WeChatPlugin.plist: 该文件中的 Bundles : 指定 bundle 为 tweak 的作用对象。也可添加多个 bundle, 指定多个为 tweak 作用对象。

  • control: 该 tweak 所需的基本信息

  • Tweak.xm: 主要是用来编写hook代码,它支持Logos和c/c++,可以让我们不用去写一些 runtime 方法
    .x 文件支持Logos语法,.xm 文件支持Logos和C/C++语法

Logos 常用语法:
%hook: 指定需要hook的类,以%end结尾
%orig%hook内部使用,执行hook住方法的原代码
%new: 在%hook内部使用,给class添加新方法,与class_addMethod相同; 在Category中添加方法的区别: Category为编译时添加,class_addMethod为d动态添加
warm: 添加的方法需要在@interface中声明
%c:获取一个类,等同于objc_getClass、NSClassFromString

定制Tweak.xm

  • 以微信中的设置页面为例: NewSettingViewController是微信的设置页面,我们hook它的viewDidAppear:方法
%hook NewSettingViewController

- (void)viewDidAppear:(BOOL)animated {
    %orig;
    [self helloWorld];
}

%new
- (void)helloWorld {
    UIAlertController *alc = [UIAlertController alertControllerWithTitle:@"hello world" message:nil preferredStyle:UIAlertControllerStyleActionSheet];
    [alc addAction:[UIAlertAction actionWithTitle:@"ok" style:UIAlertActionStyleDefault handler:NULL]];
    [alc addAction:[UIAlertAction actionWithTitle:@"cancel" style:UIAlertActionStyleCancel handler:NULL]];
    [self presentViewController:alc animated:YES completion:NULL];
}

%end
  • 编写代码完成后,使用make package命令对其进行编译,注意:执行命令前先cd到项目文件夹
    如果是在之前编写的基础上行修改,则需要重新编译, 需要先使用make clean,清理make, make package生成的文件
    执行完成后,会在项目多两个文件夹:.theosobj,那么在.theos->obj->debug中有一个WeChatPlugin.dylib就是我们生成的dylib动态库;

修改生成的.dylib动态库中的依赖

  • 通过 otool -L命令查看生成的.dylib文件
    结果中的一段/Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate (offset 24)
    可以看到这里还有对CydiaSubstrate的依赖,这是不行的 , 这个是theos在越狱机上特有的, 在非越狱机上需要更改此依赖
  • 修改依赖,将libsubstrate.dylib文件(该文件应该在/opt/thoes/lib/目录下),拷贝到与你生成的的.dylib一个目录下,通过下面的指令修改依赖,
    cd /Users/mofeini/Desktop/weChat/Project/wechatplugin/.theos/obj/debug
    install_name_tool -change /Library/Frameworks/CydiaSubstrate.framework/CydiaSubstrate @loader_path/libsubstrate.dylib WeChatPlugin.dylib
    然后重新查看WeChatPlugin.dylib,会发现依赖已经修改成@loader_path/libsubstrate.dylib (offset 24)

重新签名自制的.dylib 和libsubstrate.dylib(很重要)

我们需要把生成的dylib和libsubstrate.dylib文件copy到WeChat.app中,然后用codesign开始签名

codesign -f -s 'iPhone Developer: Xiaoyuan Yang (29H47J82NP)' (自己的证书名)

添加可执行文件的依赖动态注入

此处用到是insert_dylib,先从gitHUb下载insert_dylib,编译后将 insert_dylib 放到/usr/local/bin目录中(不放到此目录中需要使用./insert_dylib,放在目录中后只需要使用insert_dylib);
再将自制的dylib和libsubstrate.dylib拷贝到WeChat.app包中,执行以下命令:

cd /Users/mofeini/Desktop/weChat/WeChat-6.5.18/Payload/WeChat.app/
insert_dylib @executable_path/WeChatPlugin.dylib WeChat

以下为执行步骤

localhost:debug apple$ insert_dylib @executable_path/wechatplugin.dylib /Users/mofeini/Desktop/weChat/WeChat.app/WeChat
Binary is a fat binary with 2 archs.
LC_CODE_SIGNATURE load command found. Remove it? [y/n] n
LC_CODE_SIGNATURE load command found. Remove it? [y/n] n
Added LC_LOAD_DYLIB to all archs in /Users/mofeini/Desktop/weChat/WeChat.app/WeChat_patched

会生成一个WeChat_patched 这个就是修改了依赖关系的二进制文件,

注意替换

注意: 别忘了之前将 自制的.dylib libsubstrate.dylib 拷贝进WeChat.app
如果WeChat_patched在WeChat.app中,还要将WeChat_patched拷贝进WeChat.app中 替换原来的WeChat, 把WeChat_patched的名字改回来WeChat

应用重签名

将脱壳后的app进行重签名,我使用的是上面步骤中从pp助手下载的越狱版本的微信,如果使用加密的App重签名成功安到设备上也会闪退。
应用重签名的方法,我使用了ios-app-signer

以下是一些错误解决

使用以下命令编译时候

make package

第一次会报以下错误

> Making stage for tweak ioswechat…
dpkg-deb: error: obsolete compression type 'lzma'; use xz instead

Type dpkg-deb --help for help about manipulating *.deb files;
Type dpkg --help for help about installing and deinstalling packages.
make: *** [internal-package] Error 2

查找了一些资料后发现,这个错误是dpkg引起的,随着版本的升级,打包格式发生了变化

dpkg-deb: error: obsolete compression type 'lzma'; use xz instead

解决方案是按以下路径找到该文件修改其内容

/opt/theos/makefiles/package/deb.mk

找到第六行

_THEOS_PLATFORM_DPKG_DEB_COMPRESSION ?= lzma

将其改为

_THEOS_PLATFORM_DPKG_DEB_COMPRESSION ?= xz

你可能感兴趣的:(非越狱theos的Tweak创建的dylib安装到iOS设备)