我是怎样一步一步实现微信自动抢红包的?

在逆向工程中,我们可以使用静态分析和动态调试的方法去寻找我们的目标函数!本文我将分享一下逆向微信实现微信自动抢红包的实战经验越狱,非越狱机器 都可适用,项目 GitHub 地址: RHWeChat。

本项目在以下环境下测试运行:

  • 非越狱 iOS10.3.2,iPhone 6设备
  • 开发环境:Xcode 8.3.2 , MonkeyDev
简单说下环境搭建:
  • 安装最新的 theos:命令行式的开发 Tweak 的编译环境
sudo git clone --recursive https://github.com/theos/theos.git /opt/theos
  • 安装 ldid:签名工具
    • 自己编译
    • 使用 brew 安装, 有点慢!
// 自己编译
sudo mv ldidpath /opt/theos/bin
sudo chmod 777 /opt/theos/bin/ldid
// brew 安装
brew install ldid
  • 安装 MonkeyDev:基于 theos 实现的Xcode的开发环境。
git clone https://github.com/AloneMonkey/MonkeyDev.git
cd MonkeyDev/bin
sudo ./md-install

关于MonkeyDev详情,请参见:MonkeyDev的文档
大家踊跃给猴神 star 啊!
猴神在他的 MonkeyDev 中,默认集成了Reveal.framework,Cycript.framework,class-dump;并且在MonkeyDev中,你不需要手动提取ipa中的二进制文件, 修改二进制文件的Load Commands列表,加入要hook的dylib ,hook.dylib在函数constructor函数中完成对特定函数的hook,对修改后的ipa进行重签名,打包和安装,等一系列复杂的过程!Command+R 一键搞定,若要生成 ipa 文件只需在 Command+R 运行之后在源代码的 LatestBuild 目录双击createIPA.command 生成。

逆向思路:

要实现自动抢红包的功能,我们首先应该知道一个手动抢红包的流程!
所以我们先分析手动抢红包实现:

  • 首先我们从 UI 入手
    使用 reveal 找到打开红包的按钮,获取内存地址,通过 UIControl 的以下方法获取target和action
- (NSSet *)allTargets;                                                                     // set may include NSNull to indicate at least one nil target
- (UIControlEvents)allControlEvents;                                                       
- (nullable NSArray *)actionsForTarget:(nullable id)target forControlEvent:(UIControlEvents)controlEvent;    // single event. returns NSArray of NSString selector names. returns nil if none
我是怎样一步一步实现微信自动抢红包的?_第1张图片
image.png
  • 打开 Hopper Disassembler,载入经过解密的微信可执行文件,搜索得到的 target 和 action,分别对应:WCRedEnvelopesReceiveHomeView 的 OnOpenRedEnvelopes 方法!
我是怎样一步一步实现微信自动抢红包的?_第2张图片
image.png
  • 由汇编代码得到他的 delegate 调用了
    WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes 方法
  • 我们继续在 class-dump 得到的头文件中搜索关键字WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes 方法
我是怎样一步一步实现微信自动抢红包的?_第3张图片
image.png
  • 我们找到了 WCRedEnvelopesReceiveControlLogic 类,实现了该代理方法,所以我们继续打开 Hopper Disassembler 搜索WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes 方法
我是怎样一步一步实现微信自动抢红包的?_第4张图片
image.png
我是怎样一步一步实现微信自动抢红包的?_第5张图片
image.png
我是怎样一步一步实现微信自动抢红包的?_第6张图片
image.png
  • 可以大致分析出拆开一个红包大致需要 msgtype,sendid,channelid,nickName,headImg,nativeUrl,sessionUserName,timingIdentifier,这些参数,最后调用 OpenRedEnvelopesRequest: 打开红包
我是怎样一步一步实现微信自动抢红包的?_第7张图片
image.png
  • 以上是看汇编代码大致得出的结论,具体还要结合测试验证,我们 hook OpenRedEnvelopesRequest:方法
CHDeclareClass(WCRedEnvelopesLogicMgr)
CHOptimizedMethod1(self, void, WCRedEnvelopesLogicMgr, ReceiverQueryRedEnvelopesRequest, id, arg1) {
    NSLog(@"%@", arg1);
    CHSuper1(WCRedEnvelopesLogicMgr, ReceiverQueryRedEnvelopesRequest, arg1);
}
  • 运行程序打上断点,运行打开红包流程,看会不会进断点,进了断点看下打印内容!果真如我们所预料的一样,进了参数打印如下:
{
    channelId = 1;
    headImg = "http://wx.qlogo.cn/mmhead/ver_1/tUsGXv3VM2C4f6Nj1vibaWy2jJUFPMnUfobCtP1iajd5QLCn8B7YM6L6E1UTwSzxkiaichIJuVibBx2BRiaAIu1UkYfjMnJiatYxpvlWdHdfBD8xKU/132";
    msgType = 1;
    nativeUrl = "wxpay://c2cbizmessagehandler/hongbao/receivehongbao?msgtype=1&channelid=1&sendid=1000039501201709137014370817311&sendusername=wxid_mryox0wndn8122&ver=6&sign=8f446c219788bb6db911ff7de1eefd3ac9a66298b8d8d9be3f0018f14524bbb16ca78e0b22357967ebeb36860b892b0d5300d8ae5ae70ac29759a3c673cea9f6205adb65ae01d71d29a7b7a2b757333c0f264b07f893dfb88c28ece6e9869236";
    nickName = "xxxx";
    sendId = xxx;
    sessionUserName = "xxxxx";
    timingIdentifier = 88BF75742FFAB59D7F88C494670C3FE3;
}
  • 接下来我们要仔细分析一下每个参数如何获取:

    • nickName,headImg通过 CContactMgr 的 getSelfContact 获取到 selfContact,selfContact的m_nsHeadImgUrl和getContactDisplayName属性分别对应headImg,nickName


      我是怎样一步一步实现微信自动抢红包的?_第8张图片
      image.png
    • msgType 为常数1


      我是怎样一步一步实现微信自动抢红包的?_第9张图片
      image.png
    • nativeUrl,应该是截取红包 url 的一段字符串,通过上面的打印参数可以验证!


      我是怎样一步一步实现微信自动抢红包的?_第10张图片
      image.png
    • sessionUserName,没太看懂,应该是发红包人的名字,因为上文有个 nickName 我看懂了是 selfContact,自己的名称!
    • sendid,channelid,timingIdentifier,通过 objectForKey: 获取,上文字典的获取只有通过 WCBizUtil 的 dictionaryWithDecodedComponets:separator: 获取


      我是怎样一步一步实现微信自动抢红包的?_第11张图片
      image.png
  • 所以我们接着进入 dictionaryWithDecodedComponets:separator: 函数的汇编代码分析

  • 参数我没有分析出来是什么类型的,我们Hook dictionaryWithDecodedComponets:separator: 方法

%hook WCBizUtil

+ (id)dictionaryWithDecodedComponets:(id)arg1 separator:(id)arg2 {
    %log;
    return %orig;
}

%end
�[m +[ dictionaryWithDecodedComponets:msgtype=1&channelid=1&sendid=xxxxxxxxxxxxx&sendusername= xxx-com&ver=6&sign=f4455577adc87b21387127f45e6c3803649800302ac90134018c10c4a87b3a0a5df85d4360028ad28b997bbdb4e52e6b8b62804fc04444185bb4f6617359a8c41565d1592d5d251c1a8b0aaef1fdb3de576d88890323720ae701bb3e56b3e900 separator:&]
  • 他的参数应该是红包 url 的 get 参数,我们使用 & 解析出来然后我们可以得到以下参数 sendid,channelid,sessionUserName!
  • 至此 我们得到了除 timingIdentifier 之外的所有参数
  • 但是这个 timingIdentifier 怎么解决呢?
我是怎样一步一步实现微信自动抢红包的?_第12张图片
image.png
  • 可以分析出来的是从 m_structDicRedEnvelopesBaseInfo �获取到的,在 class-dump 出来的头文件搜索 ,发现这个字段在WCRedEnvelopesControlData中,但是怎么获取,我本人没有从汇编代码中研究出 timingIdentifier 的来源!
  • google 了一下 timingIdentifier 应该是微信加的一个防止机器人抢红包的字段,怎么解决呢?
  • 猜!既然不在点击打开红包按钮的时候获取,会不会在点击红包进入打开红包页面的时候获取呢?
    继续从 UI 入手


    我是怎样一步一步实现微信自动抢红包的?_第13张图片
    image.png
  • 首先从[BaseMsgContentViewController tableView:didSelectRowAtIndexPath:] 的汇编代码来看,没有找到类似的请求!
  • 那就从 Cell 本身去看,在class-dump 的头文件中,搜索 WCPayC2CMessageCellView本身没有类似方法
  • 继续找它的父类WCPayBaseMessageCellView,onTouchUpInside方法有可能是我们的目标


    我是怎样一步一步实现微信自动抢红包的?_第14张图片
    image.png
  • 查看onTouchUpInside汇编代码


    我是怎样一步一步实现微信自动抢红包的?_第15张图片
    image.png
  • 调用了 tapAppNodeView方法 搜索tapAppNodeView,发现在BaseMsgContentViewController中,我们继续回到BaseMsgContentViewController
  • 查看BaseMsgContentViewController的tapAppNodeView方法的汇编代码:


    我是怎样一步一步实现微信自动抢红包的?_第16张图片
    image.png

    我是怎样一步一步实现微信自动抢红包的?_第17张图片
    image.png
  • 调用了[WCRedEnvelopesControlMgr startReceiveRedEnvelopesLogicByC2C:Data:] 查看汇编代码没有找到!
  • 继续查看 tapAppNodeView 汇编代码发现最后调用了
    [WCRedEnvelopesControlMgr startReceiveRedEnvelopesLogic:Data:]方法


    我是怎样一步一步实现微信自动抢红包的?_第18张图片
    image.png
  • 查看汇编代码,我们发现 startReceiveRedEnvelopesLogic:Data 调用了WCRedEnvelopesReceiveControlLogic的startLogic 方法
  • 于是我们又回到了 WCRedEnvelopesReceiveControlLogic中,使用 Hopper 打开WCRedEnvelopesReceiveControlLogic 的 startLogic实现


    我是怎样一步一步实现微信自动抢红包的?_第19张图片
    image.png

    我是怎样一步一步实现微信自动抢红包的?_第20张图片
    image.png
  • 我们发现显示为灰色,完全看不懂,查了一下Hopper 的官方文档发现灰色代表undefined,不知道为什么!这个问题想了很久没想通!但是在搜索关键字的时候有一个极其相似的方法:
    [WCRedEnvelopesGreetingReceiveControlLogic startLogic]
    然后我就想这两个会不会实现类似,于是我分析了该函数发现


    我是怎样一步一步实现微信自动抢红包的?_第21张图片
    image.png

    我是怎样一步一步实现微信自动抢红包的?_第22张图片
    image.png
  • 以上调用了 WCRedEnvelopesLogicMgr的ReceiverQueryRedEnvelopesRequest
    方法,接下来就是验证看有没有调用这个方法,hook 该方法,打上断点
CHDeclareClass(WCRedEnvelopesLogicMgr);

CHOptimizedMethod1(self, void, WCRedEnvelopesLogicMgr, ReceiverQueryRedEnvelopesRequest, id, arg1) {
    NSLog(@"%@", arg1);
    /*
     agreeDuty = 0;
     channelId = 1;
     inWay = 1;
     msgType = 1;
     nativeUrl = "wxpay://c2cbizmessagehandler/hongbao/receivehongbao?msgtype=1&channelid=1&sendid=1000039501201709137007742337288&sendusername=jirenbang-com&ver=6&sign=f4455577adc87b21387127f45e6c3803649800302ac90134018c10c4a87b3a0a5df85d4360028ad28b997bbdb4e52e6b8b62804fc04444185bb4f6617359a8c41565d1592d5d251c1a8b0aaef1fdb3de576d88890323720ae701bb3e56b3e900";
     sendId = 1000039501201709137007742337288;
     */
    CHSuper1(WCRedEnvelopesLogicMgr, ReceiverQueryRedEnvelopesRequest, arg1);
}
  • 点击红包消息,发现触发了断点,打印参数同上面打开红包获取的一样,接下来我们测试一下ReceiverQueryRedEnvelopesRequest:方法的参数
  • 查看汇编代码


    我是怎样一步一步实现微信自动抢红包的?_第23张图片
    image.png
  • 没看懂,只能又靠猜,这里肯定是发了一个网络请求,肯定会有响应!我们查看一下WCRedEnvelopesLogicMgr的头文件搜索 response发现以下OnWCToHongbaoCommonResponse: Request:方法有点像,我们测试一下该方法:
CHOptimizedMethod2(self, void, WCRedEnvelopesLogicMgr, OnWCToHongbaoCommonResponse, id, arg1, Request, id, arg2) {
    
    NSLog(@"%@", arg1);
    NSLog(@"%@", arg2);
    /*
     
      
    */
    CHSuper2(WCRedEnvelopesLogicMgr, OnWCToHongbaoCommonResponse, arg1, Request, arg2);
}
  • 我们搜索打开HongBaoRes.h文件,查看发现了一个可疑的retText属性类型为SKBuiltinBuffer_t
@property(retain, nonatomic) SKBuiltinBuffer_t *retText; // 
  • 我们继续搜索SKBuiltinBuffer_t.h 文件,我们又发现
@property(retain, nonatomic) NSData *buffer; // @dynamic buffer;
  • 一般我们的网络数据返回都是 json 格式,我们不妨写代码测试一下
        if ([NSStringFromClass([arg1 class]) isEqualToString:@"HongBaoRes"]) {
            NSData *data = [[arg1 retText] buffer];
            
            if (nil != data && 0 < [data length]) {
                NSError* error = nil;
                id jsonObj = [NSJSONSerialization JSONObjectWithData:data
                                                             options:NSJSONReadingAllowFragments
                                                               error:&error];
              }
        }
  • 经调试,如我们所猜测的一样,我们的 jsonObj 中含有timingIdentifier字段!
  • 到此,我们完整的分析出了手动领取一个红包的目标函数,所要的所有参数,和所有的参数是如何获取的!
接下来我们就应该着手实现自动抢红包的逻辑!
  • 不用多想,自动抢红包的时机,肯定是在收到消息的时候咯!所以我们去 hook 收到消息的方法!
  • 接下来我们分析消息,对于这种没有 UI 的方法,我的逆向思路就是猜!关键字搜索是我用来最常用的猜测方法,消息英文 message,缩写msg!
  • 我们在 class-dump 头文件中搜索 message


    我是怎样一步一步实现微信自动抢红包的?_第24张图片
    image.png
  • 上图红框部分这几个最像了,点击一个一个查看!最终定位到CMessageMgr的方法最像了,CMessage,CMessageWrap更像是模型,CMessageMgr是管理消息的地方!
  • 我们打开CMessageMgr.h文件,搜索关键字 receive没有,搜索 message,也没有,搜索 msg


    我是怎样一步一步实现微信自动抢红包的?_第25张图片
    image.png
  • 这些画红圈是我认为比较可以可疑的方法,不过我觉的最可疑的还是
- (void)AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2;
  • 这个方法,原因很简单,首先即有 msg,又有 msgwrap,然后一般这种多参数的方法,按照我写代码的思路来说,参数越多说明这个方法越受约束,越不不通用,这样想的话我首先 hook AsyncOnAddMsg:MsgWrap:方法!
  • 接下来就是写代码验证了:
CHDeclareClass(CMessageMgr);
CHMethod(2, void, CMessageMgr, AsyncOnAddMsg, id, arg1, MsgWrap, id, arg2) {
    NSLog(@"%@", arg1);
    NSLog(@"%@", arg2);
    CHSuper(2, CMessageMgr, AsyncOnAddMsg, arg1, MsgWrap, arg2);
}
  • 叫人发个红包给我们,触发断点,查看参数:


    我是怎样一步一步实现微信自动抢红包的?_第26张图片
    image.png
  • 上图我们需要关注的是 m_uiMessageType 和 m_nsContent
  • m_uiMessageType == 49 为 红包消息
  • m_nsContent 如下图

    
        
        
        
        <![CDATA[微信红包]]>
        
        
            
            
            
            
            
            
            
            
            
            
            
            
            微信红包
            
            
        
    
    

  • 对比刚开始的 dictionaryWithDecodedComponets:separator:方法传入的参数就是我们的 url 的一部分!

  • 我们可以通过 url 获取到msgType,sendId,channelId

  • 至于nickName ,headImg我们可以从前面的汇编代码还原出实现来

  • nativeUrl截取 url 的一部分

  • sessionUserName可以从 arg2 中获得

  • 至此我们已经获取到了打开红包除了 timingIdentifier 外的所有参数

  • timingIdentifier参数,我们调用前面分析出来的 [WCRedEnvelopesLogicMgr ReceiverQueryRedEnvelopesRequest:] 方法来获取

  • 该方法需要以下参数都可以通过 m_nsContent 获取到

     agreeDuty = 0;
     channelId = 1;
     inWay = 1;
     msgType = 1;
     nativeUrl = "wxpay://c2cbizmessagehandler/hongbao/receivehongbao?msgtype=1&channelid=1&sendid=1000039501201709137007742337288&sendusername=jirenbang-com&ver=6&sign=f4455577adc87b21387127f45e6c3803649800302ac90134018c10c4a87b3a0a5df85d4360028ad28b997bbdb4e52e6b8b62804fc04444185bb4f6617359a8c41565d1592d5d251c1a8b0aaef1fdb3de576d88890323720ae701bb3e56b3e900";
     sendId = 1000039501201709137007742337288;
  • 之后我们 hook WCRedEnvelopesLogicMgr 的
    OnWCToHongbaoCommonResponse方法,通过arg1取到 timingIdentifier字段!
  • 最终我们打开红包的所有参数获取完毕,接下来只需要调用OpenRedEnvelopesRequest:方法,便可以实现自动抢红包功能!
  • 至此,我们成功实现了微信自动抢红包的功能!
总结:

在逆向抢红包的过程中,我主要使用了静态分析和动态调试的手段:

  • 静态分析,主要是从 class-dump 出来的头文件,辅助 Reveal,cycript,来寻找目标类或者目标函数,涉及到具体逻辑的时候,我会使用 Hopper Disassembler 来查看具体方法的具体实现,来进一步的猜测实现逻辑
  • 动态调试,我们静态分析出来的结果或猜测,需要动态的去调试验证!
    • 由于我是未越狱设备,我主要使用的是 Xcode + MonkeyDev 来 Hook 原方法,然后打印参数等简单的调试
    • 如果你是越狱设备你可以使用 lldb+debugserver 神器来调试你的程序,那样的话理论上整个程序对你来说都是透明,因为你可以像在 Xcode正向开发应用一样具体一步一步的调试,对那些感兴趣的功能点,你可以下断点,然后去触发断点,跟踪调试!
最后分享一下我的逆向技巧:
  • 猜 + 验证,用关键字去猜,想想如果是自己写这个 App 会怎样去写,会怎样命名!
    • 然后你可以使用 Finder 的搜索功能,说句题外话,Finder 的搜索功能确实好用不仅可以搜索到文件名,内容也可以搜索到!
    • 当然你也可以使用 Xcode 新建一个工程将 class-dump 出来的头文件添加到工程,利用 Xcode 的搜索shift+cmd+o 搜索文件,shift+cmd+f,全局搜索关键字!
  • 一般我都是使用常用的命名去搜,比如在寻找微信消息收发目标函数的时候,我们没有 UI 辅助,这时候只能靠猜,我使用了 message msg receive 等关键字查找定位
  • 在获取 timingIdentifier 参数的时候我不知道 我通过分析找到了
    ReceiverQueryRedEnvelopesRequest方法来获取该参数,但是它的实现我看不太懂,这时候我又使用了猜,搜索了 response,找到了
    ReceiverQueryRedEnvelopesResponse 方法!最终获取到了timingIdentifier 参数!
  • 当然猜的过程中你可能会出错,这是一个非常枯燥的过程,逆向工程相对于正向开发来说是一件比较枯燥的事情,可能你花了几天最终得到的只是一个目标函数!而在正向开发过程中,你写的代码都会转换为成果!或许是一个完美的动画,或许是流畅的界面!
  • 所以看完如果你能够完整看完本文,然后一步一步去实践的话,那说明你还是比较适合干这个的,如果不能那还是老老实实搞点 app 开发吧!
本人是个逆向新手,若有错误之处,请多多指正
参考文章:

iOS 应用逆向工程(入门书籍)
iOS冰与火之歌 – UAF and Kernel Pwn - 蒸米
MonkeyDev 文档

跪求Star

你可能感兴趣的:(我是怎样一步一步实现微信自动抢红包的?)