前言
经过之前的学习,相信你已经能熟练的使用 Frida-trace、IDA Pro 等逆向工具。不过,仅仅到这肯定是不够的。接下来,学会把你逆向的结果打包成插件并运行,那 iOS 逆向,你也就真正的入门了。
一、目标
把逆向的结果制作成插件并运行
二、工具
三、流程
iOS 端的插件按设备分为
越狱插件:扩展名为.deb,类似于安卓的 xposed 插件
优点:独立于 ipa 文件,ipa 可单独升级(前提是相关的 hook 代码逻辑没变)
缺点:必须要越狱设备
非越狱插件:扩展名为.dylib 或.framework,类似于安卓的 so 文件
优点:可在非越狱机上运行。由于非越狱机,App 自然也就检测不到越狱状态,但仍然可以检测 ipa 包的完整性
缺点:ipa 无法单独升级,必须要砸壳,动态库注入,重签名后,才能完成升级操作。
注:不管是 deb 格式、dylib 格式还是 framework 格式,都支持使用 c、c++和 OC 语言进行开发
MonkeyDev,原有 iOSOpenDev 的升级,非越狱插件开发集成神器!
可以使用 Xcode 开发 CaptainHook Tweak、Logos Tweak 和 Command-line Tool,在越狱机器开发插件,这是原来 iOSOpenDev 功能的迁移和改进。
只需拖入一个砸壳应用,自动集成 class-dump、restore-symbol、Reveal、Cycript 和注入的动态库并重签名安装到非越狱机器。
支持调试自己编写的动态库和第三方 App
支持通过 CocoaPods 第三方应用集成 SDK 以及非越狱插件,简单来说就是通过 CocoaPods 搭建了一个非越狱插件商店。
所以在本教程中,deb 插件和 dylib 插件,主要使用 MonkeyDev 来完成,安装教程参考官方即可。而 framework 插件,则直接使用 Xcode 开发。
deb 插件开发
1. 创建插件工程
启动 Xcode 后,按如下流程依次点击:
至此,插件已经创建完毕:
2. 编写插件代码
创建完这是 MonkeyDev 作者写的使用步骤
// Objective-C runtime hooking using CaptainHook:
// 1. declare class using CHDeclareClass()
// 2. load class using CHLoadClass() or CHLoadLateClass() in CHConstructor
// 3. hook method using CHOptimizedMethod()
// 4. register hook using CHHook() in CHConstructor
// 5. (optionally) call old method using CHSuper()
咱按以上步骤编写完的插件代码如下:
#if TARGET_OS_SIMULATOR
#error Do not support the simulator, please use the real iPhone Device.
#endif
// 导入常用的UI框架和Foundation框架
#import "AppHelper.h" // 注意,一定要导入这,因为这头文件里有Monkey dev定义的宏
#import <Foundation/Foundation.h>
#import <UIKit/UIKit.h>
// 导入MonkeyDev提供的头文件,这头文件,后边我们创建framework插件时也可使用
#import "CaptainHook/CaptainHook.h"
/*
定义你需要Hook的类及需要Hook的方法。
*/
@interface DetailViewController : NSObject
// 需要Hook的实例方法
- (void)loginButtonDidClick:(UIButton *)sender;
// 以下两个方法并不存在,在这只是为了演示如何hook多个参数的方法和hook类方法
- (NSString *)loginWithPhone:(NSString *)phone password:(NSString *)pwd;
+ (id)factory:(id)arg1;
@end
CHDeclareClass(DetailViewController); // 步骤1、申明需要Hook的类
/*
步骤3、你的勾子函数,Hook函数被调用时,会执行到这
CHOptimizedMethod的参数说明
第一个参数:固定写死self即可
第二个参数:返回值类型,无返回值写void。c语言的类型,直接写对应的类型即可(int,float,double...)。其他类型,直接写id即可,如果你知道具体的类型,也可写具体的类型
第三个参数:类名
第四个参数:方法名
// 方法名有一个参数时
第五个参数:第一个入参的类型,和第二个参数写法类型
第六个参数:第一个入参的形参名
// 方法名有两个参数时
第七个参数:第二个入参的类型,和第二个参数写法类型
第八个参数:第二个入参的形参名
...
*/
CHOptimizedMethod1(self, void, DetailViewController, loginButtonDidClick, UIButton*, sender) {
CHSuper1(DetailViewController, loginButtonDidClick, sender); // 调用原方法
NSLog(@"witchan =该方法的入参为:%@", sender);
}
// Hook两个入参的实例方法
CHOptimizedMethod2(self, id, DetailViewController, loginWithPhone, NSString *, p, password, NSString*, pwd) {
id result = CHSuper2(DetailViewController, loginWithPhone, p, password, pwd); // 调用原方法
NSLog(@"witchan =该方法的第一个入参为:%@", p);
NSLog(@"witchan =该方法的第二个入参为:%@", pwd);
NSLog(@"witchan =该方法的返回值为:%@", result);
return result;
}
// Hook一个入参的类方法,相对于实例方法,只是在Method前多了个Class单词。其他操作完全一样
CHOptimizedClassMethod1(self, id, DetailViewController, factory, id, arg1) {
id result = CHSuper1(DetailViewController, factory, arg1); // 调用原方法
NSLog(@"witchan =该方法的入参为:%@", arg1);
NSLog(@"witchan =该方法的返回值为:%@", result);
/*
由于deb格式、dylib格式还是framework格式,都支持使用c、c++和OC语言进行开发。
以下代码为oc语法的简单示例。
注意:整个插件的写法,和ios开发完全一致,你可以创建新类,也可以调用oc提供的类及相关方法
如果你不熟悉oc语法,请看我公众号的另一篇文章,iOS快速入门:https://mp.weixin.qq.com/s/g89Sdyqc4ONlyAWtXTCwRA
*/
NSMutableDictionary *params = [NSMutableDictionary dictionary];
params[@"微信公众号"] = @"移动端Android和iOS开发技术分享";
params[@"QQ群"] = @"812546729";
NSData *body = [NSJSONSerialization dataWithJSONObject:params options:NSJSONWritingPrettyPrinted error:nil];
// 调用登录接口
NSURL *loginURL = [NSURL URLWithString:@"https://127.0.0.1:9080/login"]; // 接口
NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:loginURL]; // 请求对象
request.HTTPMethod = @"POST"; // 请求方式
[request setValue:@"d83kd9d323" forHTTPHeaderField:@"x-sign"]; // 设置header
request.HTTPBody = body; // 注意,HTTPBody是一个16进制数据,一般直接16进制输出,再转换成文本查看
NSURLSession *session = [NSURLSession sharedSession]; // 获取网络对象
NSURLSessionTask *task = [session dataTaskWithRequest:request
completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
// 请求结果会调到这
if (error != nil) {
NSLog(@"witchan =网络请求出错了");
} else {
NSLog(@"witchan =网络请求成功");
}
}]; // 创建请求任务
[task resume]; // 发起网络请求
return result;
}
// 入口函数
CHConstructor
{
@autoreleasepool
{
NSLog(@"witchan =FirsDeb hook success!="); // 一般在入口函数输出一条日志,确定你的插件是否加载成功
CHLoadLateClass(DetailViewController); // 步骤2、加载需要Hook的类
CHHook1(DetailViewController, loginButtonDidClick); // 步骤4、注册你需要hook的实例方法
CHHook2(DetailViewController, loginWithPhone, password);
CHClassHook1(DetailViewController, factory); // 注册需要hook的类方法
}
}
复制代码
填写目标 ipa 的包名:
编辑插件扩展信息(可选):
3. 编译插件
编译:依次选择菜单栏的 Product -> Build
编译后的结果是这样的:
打开目录,就能看到你需要的 deb 文件了
安装方式 1:拿到 deb 文件后,你可以用爱思或 ssh 工具,把 deb 文件换过血到手机,再使用 Filza 工具找到对应的文件,安装即可:
安装方式 2: 如果你是 mac 电脑,那你可使用隔空投送功能来把 deb 文件传输至手机并安装:
安装方式 3:是不是觉得上边的安装方式有点麻烦,如果是自己真机调试,那你可以这样玩:
然后依次选择菜单栏的 Product -> Build 或快捷键 command+b,这次编译完成后,没有报错。并且你的手机已自动注销了。打开 cyida 查看你最近安装的 deb,就会发现刚编写的插件已经安装成功,简单吧。
在电脑端打开控制台工具:
这时启动被注入 deb 插件的 App 后,看到的日志如下:
如果你编辑时,遇到这错误:
An empty identity is not valid when signing a binary for the product type 'Dynamic Library'.
解决办法:
dylib 插件使用
在 deb 插件开发教程中,我们已经同时得到了 deb 插件和 dylib 插件,所以在本教程中,则教大家如何把 dylib 插件注入到 ipa,注入工具为 optool,该工具主要有两条命令:
把 ipa 文件的扩展名改为 zip,解压后,得到 Payload 文件夹:
切换到 Payload 目录cd Desktop/Payload
,然后执行注入命令optool install -c load -p "@executable_path/Frameworks/FirstDeb.dylib" -t ExampleCode.app/ExampleCode
,至此,我们的 dylib 文件已经注入完成:
witchan@witchandeMacBook-Air Payload % optool install -c load -p "@executable_path/Frameworks/FirstDeb.dylib" -t ExampleCode.app/ExampleCode
Found thin header...
Inserting a LC_LOAD_DYLIB command for architecture: arm64
Successfully inserted a LC_LOAD_DYLIB command for arm64
Writing executable to ExampleCode.app/ExampleCode...
witchan@witchandeMacBook-Air Payload %
复制代码
接下来将 Payload 文件夹压缩成 zip 包,然后把扩展名改为 ipa,然后用爱思,或其他重签名工具对该 ipa 进行签名后,即可在越狱或非越狱机上安装使用了。运行后的日志如下:
Framework 插件开发
1. 创建插件工程
启动 Xcode 后,按如下流程依次点击:
2. 编写插件代码
创建 AppHelper 类
创建完成后的目录结构如下:
在这。我们使用之前的 deb 插件编写方式来写。先把 CaptainHook.h 文件的所有内容复制到 AppHelper.h:
复制整个头文件的内容到 AppHelper.h 即可。然后把 deb 插件.m 文件的全部代码复制到 AppHelper.m,再在.m 文件的顶部引入 AppHelper.h 文件,然后剩下的代码编写方式就和 deb 的编写完全一样。
最终的 AppHelper.h 的完整代码如下:
AppHelper.m 的完整代码如下(和 deb 相比,只多了#import "AppHelper.h"
):
#if TARGET_OS_SIMULATOR
#error Do not support the simulator, please use the real iPhone Device.
#endif
// 导入常用的UI框架和Foundation框架
#import "AppHelper.h" // 注意,一定要导入这,因为这头文件里有Monkey dev定义的宏
#import <Foundation/Foundation.h>
#import <UIKit/UIKit.h>
// 导入MonkeyDev提供的头文件,这头文件,后边我们创建framework插件时也可使用
#import "CaptainHook/CaptainHook.h"
/*
定义你需要Hook的类及需要Hook的方法。
*/
@interface DetailViewController : NSObject
// 需要Hook的实例方法
- (void)loginButtonDidClick:(UIButton *)sender;
// 以下两个方法并不存在,在这只是为了演示如何hook多个参数的方法和hook类方法
- (NSString *)loginWithPhone:(NSString *)phone password:(NSString *)pwd;
+ (id)factory:(id)arg1;
@end
CHDeclareClass(DetailViewController); // 步骤1、申明需要Hook的类
/*
步骤3、你的勾子函数,Hook函数被调用时,会执行到这
CHOptimizedMethod的参数说明
第一个参数:固定写死self即可
第二个参数:返回值类型,无返回值写void。c语言的类型,直接写对应的类型即可(int,float,double...)。其他类型,直接写id即可,如果你知道具体的类型,也可写具体的类型
第三个参数:类名
第四个参数:方法名
// 方法名有一个参数时
第五个参数:第一个入参的类型,和第二个参数写法类型
第六个参数:第一个入参的形参名
// 方法名有两个参数时
第七个参数:第二个入参的类型,和第二个参数写法类型
第八个参数:第二个入参的形参名
...
*/
CHOptimizedMethod1(self, void, DetailViewController, loginButtonDidClick, UIButton*, sender) {
CHSuper1(DetailViewController, loginButtonDidClick, sender); // 调用原方法
NSLog(@"witchan =该方法的入参为:%@", sender);
}
// Hook两个入参的实例方法
CHOptimizedMethod2(self, id, DetailViewController, loginWithPhone, NSString *, p, password, NSString*, pwd) {
id result = CHSuper2(DetailViewController, loginWithPhone, p, password, pwd); // 调用原方法
NSLog(@"witchan =该方法的第一个入参为:%@", p);
NSLog(@"witchan =该方法的第二个入参为:%@", pwd);
NSLog(@"witchan =该方法的返回值为:%@", result);
return result;
}
// Hook一个入参的类方法,相对于实例方法,只是在Method前多了个Class单词。其他操作完全一样
CHOptimizedClassMethod1(self, id, DetailViewController, factory, id, arg1) {
id result = CHSuper1(DetailViewController, factory, arg1); // 调用原方法
NSLog(@"witchan =该方法的入参为:%@", arg1);
NSLog(@"witchan =该方法的返回值为:%@", result);
/*
由于deb格式、dylib格式还是framework格式,都支持使用c、c++和OC语言进行开发。
以下代码为oc语法的简单示例。
注意:整个插件的写法,和ios开发完全一致,你可以创建新类,也可以调用oc提供的类及相关方法
如果你不熟悉oc语法,请看我公众号的另一篇文章,iOS快速入门:https://mp.weixin.qq.com/s/g89Sdyqc4ONlyAWtXTCwRA
*/
NSMutableDictionary *params = [NSMutableDictionary dictionary];
params[@"微信公众号"] = @"移动端Android和iOS开发技术分享";
params[@"QQ群"] = @"812546729";
NSData *body = [NSJSONSerialization dataWithJSONObject:params options:NSJSONWritingPrettyPrinted error:nil];
// 调用登录接口
NSURL *loginURL = [NSURL URLWithString:@"https://127.0.0.1:9080/login"]; // 接口
NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:loginURL]; // 请求对象
request.HTTPMethod = @"POST"; // 请求方式
[request setValue:@"d83kd9d323" forHTTPHeaderField:@"x-sign"]; // 设置header
request.HTTPBody = body; // 注意,HTTPBody是一个16进制数据,一般直接16进制输出,再转换成文本查看
NSURLSession *session = [NSURLSession sharedSession]; // 获取网络对象
NSURLSessionTask *task = [session dataTaskWithRequest:request
completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
// 请求结果会调到这
if (error != nil) {
NSLog(@"witchan =网络请求出错了");
} else {
NSLog(@"witchan =网络请求成功");
}
}]; // 创建请求任务
[task resume]; // 发起网络请求
return result;
}
// 入口函数
CHConstructor
{
@autoreleasepool
{
NSLog(@"witchan =FirsFramework hook success!="); // 一般在入口函数输出一条日志,确定你的插件是否加载成功
CHLoadLateClass(DetailViewController); // 步骤2、加载需要Hook的类
CHHook1(DetailViewController, loginButtonDidClick); // 步骤4、注册你需要hook的实例方法
CHHook2(DetailViewController, loginWithPhone, password);
CHClassHook1(DetailViewController, factory); // 注册需要hook的类方法
}
}
复制代码
3.编译 Framework
然后依次选择菜单栏的 Product -> Build 或快捷键 command+b。再选择菜单栏的 Product -> Show Build Folder in Finder
4.framework 插件使用
使用 optool 工具把 framework 插件注入到 ipa,该工具主要有两条命令:
把 ipa 文件的扩展名改为 zip,解压后,得到 Payload 文件夹:
切换到 Payload 目录cd Desktop/Payload
,然后执行注入命令optool install -c load -p "@executable_path/Frameworks/FirstFramework.framework/FirstFramework" -t ExampleCode.app/ExampleCode
,至此,我们的 framework 文件已经注入完成:
witchan@witchandeMacBook-Air Payload % optool install -c load -p "@executable_path/Frameworks/FirstFramework.framework/FirstFramework" -t ExampleCode.app/ExampleCode
Found thin header...
Inserting a LC_LOAD_DYLIB command for architecture: arm64
Successfully inserted a LC_LOAD_DYLIB command for arm64
Writing executable to ExampleCode.app/ExampleCode...
witchan@witchandeMacBook-Air Payload %
复制代码
接下来将 Payload 文件夹压缩成 zip 包,然后把扩展名改为 ipa,然后用爱思,或其他重签名工具对该 ipa 进行签名后,即可在越狱或非越狱机上安装使用了。运行后的日志如下:
总结
以上就是 iOS 插件相关的教程,希望该文章对你有所帮助。deb 格式的叫插件,其实 dylib 和 framework 文件,在 iOS 里,叫动态库。就和安卓的 so 文件类似。在这之所以都叫插件,是因为市场需要。
本文所涉及到的源码下载链接: https://pan.baidu.com/s/1g8nIfGRejKYBrT2JbNw-ZQ?pwd=munc 提取码: munc
提示:阅读此文档的过程中遇到任何问题,请关住工众好【移动端Android和iOS开发技术分享
】或+99 君羊【812546729
】
评论