iOS逆向-代码注入(IV)

framework注入

dyld

dyld (动态库加载器)，负责加载程序和程序所有依赖的动态库。内核读取 Mach-O 文件后将读取的内容交给 dyld 进行加载，dyld 加载完毕后才会执行 main 函数。

准备工作

MachOView源码地址

MachOView工具可在Mac平台中可查看MachO文件格式信息

yololib源码地址

dylib注入,将自己的framework注入到可执行文件中

1. 重复上一章，shell脚本重签名
2. 新建一个NJHook.framework
   
   
3. 在framework中新建两个类，并写个load加载函数
   
   
4. Command+B编译一下，发现NJHook.framework已经添加到微信的frameworks文件夹中
   
   
5. 用yololib工具将NJHook.framework注入到WeChat.pp的可执行文件中
   先将yololib工具copy到/usr/local/bin目录下
   记录第4步产生的NJHook的可执行文件的路径：Frameworks/NJHook.framework/NJHook
   找到要注入代码的WeCha.ipa的包，然后解压，执行下面指令

$ cd /Users/xxxxxxxxxx/Payload/WeChat.app 
$ yololib WeChat Frameworks/NJHook.framework/NJHook

6. 用MachOView查看WeChat.app包里面的可执行文件
   在Load Commands里面可以看到NJHook.framework已经注入WeChat的可执行文件中
   

   

7. 删除原来的WeChat.ipa文件，然后重新生成WeChat.ipa
   cd到Payload的上一层文件夹,执行

$ cd /Users/xxx/Desktop/WeChat/App/xxxxx
$ zip -ry WeChat.ipa Payload

删除所有文件，在App文件夹只保留重新生成的WeChat.ipa

8. 运行项目，可以看到刚才注入NJHook.framework中的类文件的中的打印已经出来了

9. 遇到的问题
   lz是在第8步直接运行发生下面的问题，直接添加一下依赖就行了/如果在第8步先Command+B编译一下应该没有下面的问题了，lz就不试了

dyld: Library not loaded: @executable_path/Frameworks/NJHook.framework/NJHook
  Referenced from: /var/containers/Bundle/Application/B3BC8213-E4C3-4743-A269-E66BB77DAEC5/WeChat.app/WeChat
  Reason: image not found
Message from debugger: Terminated due to signal 6

添加依赖如下

Dylib库注入

1. 重复上一章，shell脚本重签名

2. 添加一下Dylib库,命名NJHook,如下图所示
   

   

3. **修改NJHook库参数配置

   
   
   
   
   
   

4. 添加用yololib工具将NJHook.framework注入到WeChat.pp的可执行文件的脚本实现

#注入
# 注入我们编写的动态库
echo "开始注入"
# 需要注入的动态库的路径  这个路径我就写死了!
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/libNJHook.dylib"
#
## 通过工具实现注入
yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"

具体见demo-链接: https://pan.baidu.com/s/1JsSWd4uFdzbQkQIdhhdfOA 提取码: qppu

5. 在创建libNJHook.dylib生成的类文件中,添加一个load方法，并运行项目,结果如下
   
   

从报错来看，是没有找到libHankHook.dylib

6. 添加对libNJHook.dylib的依赖,然后运行项目

❓啥情况？
估计Xcode并不鸟dylib

7. 删除"Copy Files" ，手动复制libHankHook.dylib到WeChat.app的frameworks文件夹

8. 删除原来的WeChat.ipa文件，重新生成WeChat.ipa文件，放到App文件夹（framework的第7步）

9. 运行项目，可以看到打印函数了

Method Swizzle

关于黑魔法Method Swizzle就不在多说，大家可以自己查资料，我们直接看Hook微信注册的例子

1. 重复上一章，shell脚本重签名

2. 运行项目，查看视图层级，点击微信的注册按钮，查看如下图所示：

可以看到 Target : WCAccountLoginControlLogic Action: onFirstViewRegester

3. 利用class-dump反编译工具导出WeChat.app的头文件

下载后打开dmg文件，将可执行文件class-dump复制到/usr/local/bin目录下

执行指令：

$ class-dump -H /Users/xxxx/Desktop/WeChat/App/Payload/WeChat.app -o /Users/xxxxx/Desktop/WeChatHeaders 

4. 利用Sublime Text工具查看生成的头文件

• 把生成的头文件夹拖到Sublime Text工具中，Command+shift+f然后在find栏目中输入 @interface WCAccountLoginControlLogic

• 双击到WCAccountLoginControlLogic的.h中

  
  
  

5. 利用Method Swizzle拦截微信注册按钮的Action

#import "NJHook.h"
#import 

@implementation NJHook

+(void)load
{
    Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountLoginControlLogic"), @selector(onFirstViewRegester));
    Method newMethod = class_getInstanceMethod(self, @selector(test));
    method_exchangeImplementations(oldMethod, newMethod);
}

-(void)test{
    NSLog(@"检测到状态异常！不能注册！！");
}

6. 运行项目，点击微信的注册按钮，控制面板可以看到打印函数

2019-09-21 16:17:02.401862+0800 WeChat[8245:1236128] 检测到状态异常！不能注册！！
2019-09-21 16:17:02.601956+0800 WeChat[8245:1236128] 检测到状态异常！不能注册！！
2019-09-21 16:17:02.933624+0800 WeChat[8245:1236128] 检测到状态异常！不能注册！！
2019-09-21 16:17:03.084454+0800 WeChat[8245:1236128] 检测到状态异常！不能注册！！
2019-09-21 16:17:03.234972+0800 WeChat[8245:1236128] 检测到状态异常！不能注册！！
2019-09-21 16:17:03.370160+0800 WeChat[8245:1236128] 检测到状态异常！不能注册！！
2019-09-21 16:17:03.484951+0800 WeChat[8245:1236128] 检测到状态异常！不能注册！！

获取微信密码调试分析

1. 运行项目，到账号密码的登录页面，随便输入账号和密码，查看视图层级结构，点击登录按钮

调试用framework注入的那份代码，因为framework是自动添加到WeChat.app的 frameworks文件夹的

2. 利用Sublime Text工具查看生成的头文件
   把生成的头文件夹拖到Sublime Text工具中，Command+shift+f然后在find栏目中输入 @interface WCAccountMainLoginViewController
   

   
   
   可以看到 WCAccountTextFieldItem *_textFieldUserPwdItem，是有关密码输入框的
   继续查看WCAccountTextFieldItem.h类别
   
   
   
   在WCAccountTextFieldItem.h中没有获取到我们想要的，看一下他的父类
   
   
   
   发现了WCUITextField *m_textField

3. LLDB调试验证猜想
   

   

4. 添加执行代码,并运行项目, 到微信账号登录页面，点击登录按钮，可以看到打印的密码

#import "InjectCode.h"
#import 

@implementation InjectCode

+(void)load
{
    //WCAccountMainLoginViewController onNext
    Method onNext = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext));
    Method my_next = class_getInstanceMethod(self, @selector(my_next));
    method_exchangeImplementations(onNext, my_next);
}

//id self , SEL _cmd
-(void)my_next{
    NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"]valueForKey:@"m_textField"] performSelector:@selector(text)];
    NSLog(@"密码是！%@",pwd);//破坏
}

@end

结果如下：
2019-09-23 16:00:09.904029+0800 WeChat[8468:1373458] 密码是！123456

如何让点击登录能够即打印，又能继续执行微信登录的方法?

• 通过添加方法

#import "InjectCode.h"
#import 

@implementation InjectCode

+(void)load
{
    //1.原始的方法
    Method onNext = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext));
    //2.添加新的方法
    BOOL didAddMethod = class_addMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(new_onNext), my_next, "v@:");
    //3.方法交换
    method_exchangeImplementations(onNext, class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(new_onNext)));
}

//id self , SEL _cmd
void my_next(id self, SEL _cmd){
    NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"]valueForKey:@"m_textField"] performSelector:@selector(text)];
    NSLog(@"密码是！%@",pwd);//破坏
    //调用原来的方法
    [self performSelector:@selector(new_onNext) ];
}

运行项目，到微信账号登录页面，随便输入账号和密码，点击登录，发现打印函数，还有微信的账号密码错误的提示框

@end

• 方法替换

#import "InjectCode.h"
#import 

@implementation InjectCode

+(void)load
{
    //1.原始的方法IMP
    old_onNext = method_getImplementation(class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext)));
                                          
    //2.替换IMP
    class_replaceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext), my_next, "v@:");
}

IMP (*old_onNext)(id self, SEL _cmd);

//id self , SEL _cmd
void my_next(id self, SEL _cmd){
    NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"]valueForKey:@"m_textField"] performSelector:@selector(text)];
    NSLog(@"密码是！%@",pwd);//破坏
    //调用原来的方法
    old_onNext(self,_cmd);
}

@end

• GET & SET

#import "InjectCode.h"
#import 

@implementation InjectCode

+(void)load
{
    //GET & SET
    Method onNext = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), sel_registerName("onNext"));
    //1.保存原始的IMP
    old_onNext = method_getImplementation(onNext);
    //2.SET
    method_setImplementation(onNext, (IMP)my_next);
}

IMP (*old_onNext)(id self, SEL _cmd);

//id self , SEL _cmd
void my_next(id self, SEL _cmd){
    NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"]valueForKey:@"m_textField"] performSelector:@selector(text)];
    NSLog(@"密码是！%@",pwd);//破坏
    //调用原来的方法
    old_onNext(self,_cmd);
}

@end