iOS的代码注入

代码一般是编译成动态库或者静态库注入到应用程序中的

1. 动态库

库是一种共享程序代码的方式，从本质上来说是就是一种可执行代码的二进制形式。在正向开发中常常将程序的所用的部分功能编译成库的形式，只保留头文件供开发者调用。库分为动态库和静态库。
静态库:

• 静态库在编译链接阶段会被加入可执行文件中
• 静态库的存在形式有.a和.framework
• 静态库由一个或多个object文件组成，可以将一个静态库拆解成多个object文件
• 静态库链接时会直接链接到目标文件，并作为它的一部分存在
• .a 是一个纯二进制文件，.framework 中除了有二进制文件之外还有资源文件， .a 要有 .h 文件以及资源文件配合， .framework 文件可以直接使用。总的来说，.a + .h + sourceFile = .framework。所以创建静态库最好还是用.framework的形式

动态库：

• 动态库在可执行文件装载或运行时由操作系统加载，iOS中由lldb加载
• 动态库的存在形式有.dylib、.framework以及链接符号.tdb
• 动态库的格式和普通的二进制文件没有区别
• 动态库的好处是可以只保留一份文件和内存空间，从而能够被多个进程使用，例如系统的动态库
• 在修改动态库的功能时，只需要替换动态库，不需要修改依赖的主文件
• 可以减小可执行文件的体积，不需要链接到目标文件

苹果系统专属的framework 是共享的（如UIKit）, 但是我们自己使用 Cocoa Touch Framework 制作的动态库是放到 app bundle 中，运行在沙盒中的

2. framework注入

以微信注入为例

2.1 先看下微信的Mach-O文件

image.png

微信的太长了，不截全了

2.2 动态库注入的本质

本质就是往Load Commands中添加了一个LC_LOAD_DYLIB或LC_LOAD_WEAK_DYLIB，其实只是添加了一个路径而已，framework还需要我们拷贝到WeChat的Frameworks里面。这里的往微信包里面插入framework，破坏了二进制文件的签名，需要重新进行签名。

• 这里我们可以直接往微信包里面拷贝打包好的framework，也可以利用Xcode自动自动帮我们注入(编译->运行重签名脚本，替换了我们当前工程的.app包)
• 添加LC_LOAD_DYLIB(framework)的路径可以利用工具，yololib工具，需要替换成自己的framework路径文件

yololib WeChat Frameworks/GGHook.framework/GGHook
其中GGHook为GGHook.framework中的可执行文件

image.png

再用MachOView看下，

image.png

剩下的就是重签名微信的Frameworks，再给微信Mach-O文件重签名，打包就可以安装了。
上面的步骤可以利用脚本来做

# ${SRCROOT} 它是工程文件所在的目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹，我们提前在工程目录下新建一个APP文件夹，里面放ipa包
ASSETS_PATH="${SRCROOT}/APP"
#目标ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"
#清空Temp文件夹
rm -rf "${SRCROOT}/Temp"
mkdir -p "${SRCROOT}/Temp"

#----------------------------------------
# 1. 解压IPA到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解压的临时的APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
# echo "路径是:$TEMP_APP_PATH"

#----------------------------------------
# 2. 将解压出来的.app拷贝进入工程下
# BUILT_PRODUCTS_DIR 工程生成的APP包的路径
# TARGET_NAME target名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "app路径:$TARGET_APP_PATH"

rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH"

#----------------------------------------
# 3. 删除extension和WatchAPP.个人证书没法签名Extention
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"

#----------------------------------------
# 4. 更新info.plist文件 CFBundleIdentifier
#  设置:"Set : KEY Value" "目标文件路径"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

#----------------------------------------
# 5. 给MachO文件上执行权限
# 拿到MachO文件的路径
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
#上可执行权限
chmod +x "$TARGET_APP_PATH/$APP_BINARY"

#----------------------------------------
# 6. 重签名第三方 FrameWorks
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do

#签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi

#注入
yololib "$TARGET_APP_PATH/$APP_BINARY" "Frameworks/GGHook.framework/GGHook"

新建个工程，工程目录下创建个APP文件夹，把微信ipa丢进去，然后新建个Framework,

GGHook

image.png

3. dylib注入

insert_dylib工具
insert_dylib --weak --all-yes Frameworks/GGHook.framework/GGHook WeChat
--weak，即使动态库找不到也不会报错
--all-yes，后面所有的选择都为yes

3.1 先创建个Dylib

创建Library

3.2 把这个Base SDK改成iOS

image.png

3.3 把Mac Developer改成iOS Developer

image.png

3.4 Dylib需要添加依赖文件

image.png

image.png

image.png

image.png

还是用上面的脚本，最后的注入代码改成这个
yololib "$TARGET_APP_PATH/$APP_BINARY" "Frameworks/libGGHook.dylib"

image.png

4. 总结

Frameworks注入跟Dylib注入道理都是一样的，都是需要framework和dylib拷贝到Frameworks文件里面，然后给可执行文件Mach-O添加加载路径，剩下的都是重签名运行。