IOS 非越狱代码注入（Framework）

首先代码注入思路：

• dyld会动态加载Frameworks中所有的动态库，那么在Frameworks中增加一个自己的动态库，然后就可以在自己动态库中写注入的代码。

准备

• 本文章是基于上一篇IOS应用重签名（三种方法）最后一种方法自动化重签名所创建的项目
• 需要的工具 - yololib（下载成功后最好把yololib复制到/usr/local/bin或$PATH中的其他路径，后面直接在终端命令行中使用）

yololib下载地址https://github.com/KJCracks/yololib?spm=a2c4e.11153940.blogcont63256.9.5126420eAJpqBD

• 需要的工具 - MachOView（只是用来查看非必要）

开始

1、创建framework

image.png

2、创建一个写hook方法的类（TestHook）

image.png

3、把代码写在load方法中，一加载就运行

image.png

4、把framwork加入到目标app中

• 在targets的Build Phases中添加Copy Files

  
  
  

  image.png

• 在Copy Files中选择Frameworks并添加刚刚创建的Frameworks

  
  
  

  image.png

• 编译运行后，在xx.app->Frameworks中查看是否包含新创建的Framework

  
  
  

  image.png

5、将DevilHook.framework加到MachO文件，yololib去添加动态库依赖（修改targetApp文件夹的ipa包中的MachO）

• 解压targetApp文件夹的ipa，找到MachO文件

  
  
  

  image.png

• 使用命令
  yololib DingTalk Frameworks/DevilHook.framework/DevilHook
  第一个参数指定被修改的mach-o文件的路径，第二个参数指定动态库的路径

  
  
  

  image.png

• 查看MachO文件中Load Commands是否添加依赖成功

  
  
  

  image.png

• 重新打包targetApp的ipa包
  zip -ry DingTalk.ipa Payload

6、编译运行

• 成功注入

  
  
  

  image.png

* 在之前的重签名脚本中添加相应的注入脚本，省去上述第五步

• 脚本，前提配置yololib可直接使用

# ${SRCROOT} 它是工程文件所在的目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹，我们提前在工程目录下新建一个targetAPP文件夹，里面放ipa包
ASSETS_PATH="${SRCROOT}/targetApp"
#目标ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"
#清空Temp文件夹
rm -rf "${SRCROOT}/Temp"
mkdir -p "${SRCROOT}/Temp"



#----------------------------------------
# 1. 解压IPA到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解压的临时的APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
# echo "路径是:$TEMP_APP_PATH"


#----------------------------------------
# 2. 将解压出来的.app拷贝进入工程下
# BUILT_PRODUCTS_DIR 工程生成的APP包的路径
# TARGET_NAME target名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "app路径:$TARGET_APP_PATH"

rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH"



#----------------------------------------
# 3. 删除extension和WatchAPP.个人证书没法签名Extention
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"



#----------------------------------------
# 4. 更新info.plist文件 CFBundleIdentifier
#  设置:"Set : KEY Value" "目标文件路径"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"


#----------------------------------------
# 5. 给MachO文件上执行权限
# 拿到MachO文件的路径
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
#上可执行权限
chmod +x "$TARGET_APP_PATH/$APP_BINARY"



#----------------------------------------
# 6. 重签名第三方 FrameWorks
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do

#签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi


#注入
yololib "$TARGET_APP_PATH/$APP_BINARY" "Frameworks/DevilHook.framework/DevilHook"

image.png

• 编译运行，同样成功注入

  
  
  

  image.png