iOS逆向工程整理_HOOK微信抢红包_0x02

最新推荐文章于 2024-08-05 11:30:40 发布
最新推荐文章于 2024-08-05 11:30:40 发布
阅读量6k 收藏 4
点赞数 3
文章标签: ios objective-c 越狱开发 hook ida
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dlmlzz09/article/details/62232254
版权

原理

原理上篇已经说过了,利用iOS的runtime特效,替换方法的实现来达到HOOK的目的。本篇是一个实战教程,讲解怎么来Hook微信的自动抢红包。

第1步:砸壳

首先ssh连上越狱iOS设备,执行ps -e查找微信的app地址
这里写图片描述
这里的app路径是/var/mobile/Containers/Bundle/Application/690828B8-B63F-4FAC-B7CC-DEFD8E23AF46/WeChat.app/WeChat,记下来先。
然后进入Cycript,查找出微信的Documents目录
这里写图片描述
把这个路径记下来/var/mobile/Containers/Data/Application/2B65DCC1-9FAD-41C8-A5EC-C3D9326EE3D6/Documents/
然后退出cycript,cd到documents目录下,执行以下命令:

adminde-iPhone:~ root# 
adminde-iPhone:/var/mobile/Containers/Data/Application/2B65DCC1-9FAD-41C8-A5EC-C3D9326EE3D6/Documents root# DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /var/mobile/Containers/Bundle/Application/690828B8-B63F-4FAC-B7CC-DEFD8E23AF46/WeChat.app/WeChat

mach-o decryption dumper

DISCLAIMER: This tool is only meant for security research purposes, not for application crackers.

[+] detected 32bit ARM binary in memory.
[+] offset to cryptid found: @0xd7a4c(from 0xd7000) = a4c
[+] Found encrypted data at address 00004000 of length 49463296 bytes - type 1.
[+] Opening /private/var/mobile/Containers/Bundle/Application/690828B8-B63F-4FAC-B7CC-DEFD8E23AF46/WeChat.app/WeChat for reading.
[+] Reading header
[+] Detecting header type
[+] Executable is a FAT image - searching for right architecture
[+] Correct arch is at offset 16384 in the file
[+] Opening WeChat.decrypted for writing.
[+] Copying the not encrypted start of the file
[+] Dumping the decrypted data into the file
[+] Copying the not encrypted remainder of the file
[+] Setting the LC_ENCRYPTION_INFO->cryptid to 0 at offset 4a4c
[+] Closing original file
[+] Closing dump file
adminde-iPhone:/var/mobile/Containers/Data/Application/2B65DCC1-9FAD-41C8-A5EC-C3D9326EE3D6/Documents root# ls 
WeChat.decrypted

WeChat.decrypted文件就是我们砸壳后的二进制文件,我们可以拷贝到Mac上,各种工具都可以用上了。

第2步:导出头文件

使用class-dump,将我们砸壳出来的二进制文件的头文件导出来:

admindeMac-mini:微信6.5.5 admin$ class-dump --arch armv7  -s -S -H WeChat.decrypted -o headers/
admindeMac-mini:微信6.5.5 admin$ ls headers/
AAAlertItem.h
AACloseNotifyReq.h
AACloseNotifyRes.h
AACloseReq.h
AACloseRes.h
AALaunchByMoneyReq.h
AALaunchByMoneyRes.h
AALaunchByPersonReq.h
AALaunchByPersonRes.h
AALaunchItem.h
AAListRecord.h
AAOperationReq.h
AAOperationRes.h
AAPayReq.h
AAPayRes.h

可以看到微信的头文件有8500多个(汗),如此茫茫代码海出如何找出我们需要的那一部分呢?

第2步:精准定位我们想要HOOK的代码

iOS开发是遵循MVC模式的,所以我们需要找到这个M模型层来找到我需要的业务逻辑代码。抢红包的原理是通过截取微信收到了红包消息,然后直接调用打开红包的接口来实现自动抢红包。
通过查找发现CMessageMgr这个类就是用来管理各种消息的,查看CMessageMgr.h头文件

- (void)AddAppMsg:(id)arg1 MsgWrap:(id)arg2 Data:(id)arg3 Scene:(unsigned long)arg4;
- (void)AddAppMsg:(id)arg1 MsgWrap:(id)arg2 DataPath:(id)arg3 Scene:(unsigned long)arg4;
- (BOOL)AddBackupMsg:(id)arg1 MsgWrap:(id)arg2;
- (void)AddEmoticonMsg:(id)arg1 MsgWrap:(id)arg2;
- (void)AddFloatBottle:(id)arg1 MsgWrap:(id)arg2;
- (void)AddHelloMsg:(id)arg1 MsgWrap:(id)arg2 HelloUser:(id)arg3 OpCode:(unsigned long)arg4 DES:(unsigned long)arg5 checkCreateTime:(BOOL)arg6 status:(unsigned long)arg7;
- (void)AddHelloMsgList:(id)arg1 MsgList:(id)arg2;
- (void)AddLocalMsg:(id)arg1 MsgWrap:(id)arg2;
- (void)AddLocalMsg:(id)arg1 MsgWrap:(id)arg2 fixTime:(BOOL)arg3 NewMsgArriveNotify:(BOOL)arg4;
- (void)AddLocalMsg:(id)arg1 MsgWrap:(id)arg2 fixTime:(BOOL)arg3 NewMsgArriveNotify:(BOOL)arg4 Unique:(BOOL)arg5;
- (void)AddMsg:(id)arg1 MsgWrap:(id)arg2;
- (void)AddMsgPattern:(id)arg1;
- (void)AddPimMsg:(id)arg1 MsgWrap:(id)arg2;
- (void)AddRecordMsg:(id)arg1 MsgWrap:(id)arg2;
- (void)AddShortVideoLocalMsg:(id)arg1 ToUsr:(id)arg2 VideoInfo:(id)arg3 MsgType:(unsigned long)arg4;
- (void)AddShortVideoMsg:(id)arg1 ToUsr:(id)arg2 VideoInfo:(id)arg3;
- (void)AddUniqueLocalMsg:(id)arg1 MsgWrap:(id)arg2;
- (void)AddVideoMsg:(id)arg1 ToUsr:(id)arg2 VideoInfo:(id)arg3;
- (void)AddVideoMsg:(id)arg1 ToUsr:(id)arg2 VideoInfo:(id)arg3 MsgType:(unsigned long)arg4;
- (void)AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2;
- (void)AsyncOnAddMsgForSession:(id)arg1 MsgWrap:(id)arg2;
- (void)AsyncOnAddMsgForSession:(id)arg1 MsgWrap:(id)arg2 NewMsgArriveNotify:(BOOL)arg3;
- (void)AsyncOnAddMsgListForSession:(id)arg1 NotifyUsrName:(id)arg2;
- (void)AsyncOnCheckQQ;
- (void)AsyncOnDelMsg:(id)arg1;
- (void)AsyncOnDelMsg:(id)arg1 DelAll:(BOOL)arg2;
- (void)AsyncOnDelMsg:(id)arg1 MsgWrap:(id)arg2;
- (void)AsyncOnModMsg:(id)arg1 MsgWrap:(id)arg2;

通过猜想假设,再加上编写Tweak脚本测试,发现我们想要的接受消息的函数是AsyncOnAddMsg这个函数。找到接受消息的函数后接下来,我们要找打开红包的函数。
在头文件目录下搜索OpenRedEnvelope

grep -nR 'OpenRedEnvelope' ./
.//WCAtomicRedEnvReceiveHomeView.h:15:    UIButton *m_oOpenRedEnvelopesButton;
.//WCAtomicRedEnvReceiveHomeView.h:31:- (void)OnOpenRedEnvelopes;
.//WCAtomicRedEnvReceiveHomeViewDelegate-Protocol.h:12:- (void)WCAtomicRedEnvReceiveHomeViewOpenRedEnvelopes:(_Bool)arg1;
.//WCFestivalRedEnvFinishView.h:28:- (void)OnOpenRedEnvelopes;
.//WCFestivalRedEnvReceiveHomeView.h:31:- (void)OnOpenRedEnvelopes;
.//WCFestivalRedEnvReceiveHomeViewDelegate-Protocol.h:12:- (void)WCFestivalRedEnvReceiveHomeViewOpenRedEnvelopes:(_Bool)arg1;
.//WCFestivalRedEnvShareView.h:28:- (void)OnOpenRedEnvelopes;
.//WCRedEnvelopesControlData.h:31:    NSDictionary *m_structDicAfterOpenRedEnvelopesInfo;
.//WCRedEnvelopesControlData.h:49:@property(retain, nonatomic) NSDictionary *m_structDicAfterOpenRedEnvelopesInfo; // @synthesize m_structDicAfterOpenRedEnvelopesInfo;
.//WCRedEnvelopesEnterpriseControlLogic.h:39:- (void)WCFestivalRedEnvReceiveHomeViewOpenRedEnvelopes:(_Bool)arg1;
.//WCRedEnvelopesGreetingReceiveControlLogic.h:37:- (void)OnOpenRedEnvelopesRequest:(id)arg1 Error:(id)arg2;
.//WCRedEnvelopesGreetingReceiveControlLogic.h:52:- (void)WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes;
.//WCRedEnvelopesLogicMgr.h:42:- (void)OpenRedEnvelopesRequest:(id)arg1;

我们猜想WCRedEnvelopesLogicMgr.h里面的OpenRedEnvelopesRequest函数就是我们要找的目标函数,经常反复的测试和验证,这个函数确实是我们要的打开红包的函数。

第3步:写代码完成开发

经历了以上分析和验证的过程,写代码对于HOOK来说反而是很简单的水到渠成。具体抢红包的代码如下:

@class CMessageMgr;

CHDeclareClass(CMessageMgr);

CHOptimizedMethod(2, self, void, CMessageMgr, AsyncOnAddMsg, id, arg1, MsgWrap, id, arg2) {
    CHSuper(2, CMessageMgr, AsyncOnAddMsg, arg1, MsgWrap, arg2);
    Ivar uiMessageTypeIvar = class_getInstanceVariable(objc_getClass("CMessageWrap"), "m_uiMessageType");
    ptrdiff_t offset = ivar_getOffset(uiMessageTypeIvar);
    unsigned char *stuffBytes = (unsigned char *)(__bridge void *)arg2;
    NSUInteger m_uiMessageType = * ((NSUInteger *)(stuffBytes + offset));

    Ivar nsFromUsrIvar = class_getInstanceVariable(objc_getClass("CMessageWrap"), "m_nsFromUsr");
    id m_nsFromUsr = object_getIvar(arg2, nsFromUsrIvar);

    Ivar nsContentIvar = class_getInstanceVariable(objc_getClass("CMessageWrap"), "m_nsContent");
    id m_nsContent = object_getIvar(arg2, nsContentIvar);

    switch(m_uiMessageType) {
        case 1: {
        }
            break;

        case 49: {
            // 49=红包
            //微信的服务中心
            Method methodMMServiceCenter = class_getClassMethod(objc_getClass("MMServiceCenter"), @selector(defaultCenter));
            IMP impMMSC = method_getImplementation(methodMMServiceCenter);
            id MMServiceCenter = impMMSC(objc_getClass("MMServiceCenter"), @selector(defaultCenter));
            //红包控制器
            id logicMgr = ((id (*)(id, SEL, Class))objc_msgSend)(MMServiceCenter, @selector(getService:), objc_getClass("WCRedEnvelopesLogicMgr"));
            //通讯录管理器
            id contactManager = ((id (*)(id, SEL, Class))objc_msgSend)(MMServiceCenter, @selector(getService:),objc_getClass("CContactMgr"));

            Method methodGetSelfContact = class_getInstanceMethod(objc_getClass("CContactMgr"), @selector(getSelfContact));
            IMP impGS = method_getImplementation(methodGetSelfContact);
            id selfContact = impGS(contactManager, @selector(getSelfContact));

            if ([m_nsContent rangeOfString:@"wxpay://"].location != NSNotFound)
            {
                NSString *nativeUrl = m_nsContent;
                NSRange rangeStart = [m_nsContent rangeOfString:@"wxpay://c2cbizmessagehandler/hongbao"];
                if (rangeStart.location != NSNotFound)
                {
                    NSUInteger locationStart = rangeStart.location;
                    nativeUrl = [nativeUrl substringFromIndex:locationStart];
                }

                NSRange rangeEnd = [nativeUrl rangeOfString:@"]]"];
                if (rangeEnd.location != NSNotFound)
                {
                    NSUInteger locationEnd = rangeEnd.location;
                    nativeUrl = [nativeUrl substringToIndex:locationEnd];
                }

                NSString *naUrl = [nativeUrl substringFromIndex:[@"wxpay://c2cbizmessagehandler/hongbao/receivehongbao?" length]];

                NSArray *parameterPairs =[naUrl componentsSeparatedByString:@"&"];

                NSMutableDictionary *parameters = [NSMutableDictionary dictionaryWithCapacity:[parameterPairs count]];
                for (NSString *currentPair in parameterPairs) {
                    NSRange range = [currentPair rangeOfString:@"="];
                    if(range.location == NSNotFound)
                        continue;
                    NSString *key = [currentPair substringToIndex:range.location];
                    NSString *value =[currentPair substringFromIndex:range.location + 1];
                    [parameters setObject:value forKey:key];
                }

                //红包参数
                NSMutableDictionary *params = [@{} mutableCopy];

                [params setObject:parameters[@"msgtypes"]?:@"null" forKey:@"msgType"];
                [params setObject:parameters[@"sendid"]?:@"null" forKey:@"sendId"];
                [params setObject:parameters[@"channelid"]?:@"null" forKey:@"channelId"];

                id getContactDisplayName = objc_msgSend(selfContact, @selector(getContactDisplayName));
                id m_nsHeadImgUrl = objc_msgSend(selfContact, @selector(m_nsHeadImgUrl));

                [params setObject:getContactDisplayName forKey:@"nickName"];
                [params setObject:m_nsHeadImgUrl forKey:@"headImg"];
                [params setObject:[NSString stringWithFormat:@"%@", nativeUrl]?:@"null" forKey:@"nativeUrl"];
                [params setObject:m_nsFromUsr?:@"null" forKey:@"sessionUserName"];

                ((void (*)(id, SEL, NSMutableDictionary*))objc_msgSend)(logicMgr, @selector(OpenRedEnvelopesRequest:), params);

                return;
            }

            break;
        }
        default:
            break;
    }
}

以上就是微信抢红包的分析和代码过程,才有的是越狱方式开发,打包的dylib动态链接库文件是直接放入到系统文件目录里面的。至于非越狱开发,要更复杂一点,涉及到原始app文件的解包,修改,添加动态链接库,然后再签名打包的一系列复杂过程。仅供参考和学习用,请勿用于商业用途,否则后果自负!

Romy-L
关注
hook 微信3.5.0.46的信息接收call,并写Dll
weixin_57272288的博客
04-25 6536
使用工具 wechat版本3.5.0.46 Cheat Engine 简称ce 吾爱破解[LCG] 简称od Visual Studio的c++ 第一步查找收消息的内存 先用ce加载wechat程序,再在“数值类型”中选择“字符串”选项,在’数值’这个选项里写上你发的内容,我收到的是“123‘,按”新的扫描“这时我们看到的结果很多,没关系,再次输入你再次收到的消息内容,选”再次扫描“,结果会大幅减少,反复这样操作,直到结果数量不变为止,然后把得到的结果都拉下来。 然后我们要挑选真正存消
iOS逆向 代码注入+Hook
Lee坚武的博客
02-18 265
本文涉及内容无风险,但某信有检测BundId机制,建议不要大号登录 本文是建立在应用重签名的基础上 iOS逆向 应用重签名+微信重签名实战 1 iOS逆向 Shell脚本+脚本重签名 2 工具: yololib+class_dump 3 密码:8ujj 一、初次注入 代码注入有两种方案:通过FrameWork和dylib 1.脚本重签名 照着 iOS逆向 Shell脚本+脚本重签名 1 重签名 2.FrameWork注入 2.1 新建FrameWork 在Xcode中File->Target新增一个F
java抢红包源码-CXposed:Xposed,微信Hook学习
06-05
java抢红包源码 Xposed系列之微信装X指南(二) 学习娱乐,分享下如何通过Xposed让自己的资产看起来实现了小目标,文章如果有纰漏欢迎指出改正 上篇文章传送门: 此篇代码仓库: 需求 比如说每个人都有一个小目标,每天看看自己的目标会更有动力,那么现在实现"一个亿"的小目标,我们先从点击我的Tab开始, 进入支付页面-钱包页面-零钱页面显示的金额都是¥100000000.00 结果 最后代码实现的效果如下: 准备工作 Root相关 :一款强大的第三方recovery,有着官方Recovery无法做到的功能,安装Magisk Manager需要用到 :一款强大的刷Root工具,可以替代SuperSU进行root权限管理 如果用VirtualXposed或太极或其他虚拟环境的Xposed则可以不用Root,如果用Xposed Installer则需要Root权限, 关于这三者可看上篇文章: 反编译相关 :主要用于反编译APK查看资源文件 :反编译APK得到Java源代码Jar包 :一般配合dex2jar使用,将其反编译得到的jar包拖进gui方便查看源码 :功能强大的反编译工具,可
iOS逆向工程整理_0x01
dlmlzz09的专栏
03-16 1540
原理Objective-C 是一门动态语言,我们可以利用OC的Runtime动态的替换App原有的函数,来达到我们(不可告人)的目的。OC 中对某个对象的方法的调用并不像 C++ 一样直接取得方法的实现的偏移值来调用,所以 C++ 方法与实现的关系在编译时就可确定。而 OC 中方法和实现的关系是在运行时决定的。在调用某个对象的方法时,实际上是调用了 obj_msgsend 向对象发送一个名称为方法名
企业微信,企微hook接口,http协议接口调用
最新发布
hookserver
08-05 964
一、 hook版本:企业微信hook接口是指将企业微信的功能封装成dll,并提供简易的接口给程序调用。通过hook技术,可以在不修改企业微信客户端源代码的情况下,实现对企业微信客户端的功能进行扩展和定制化。企业微信hook接口可以实现自动化操作、消息推送、数据采集等功能,方便企业进行管理和运营。
逆向工程-微信自动抢红包
Jmsp's Tips
01-17 2354
title: 逆向工程-微信自动抢红包 type: categories date: 2017-01-04 16:30:02 categories: 逆向工程tags: [逆向工程iOS_App_resign、微信红包] 微信自动抢红包。需要用自己的开发者证书进行配置签名。年会亲测,暂未发现封号风险! 依托于iOS重签名开源框架 ios-app-signer项目源码地址: https:/
安卓Hook微信-计步器、万能骰子、自动回复、反撤回、抢红包思路分享
CJD的博客
12-23 3016
安卓Hook微信-计步器、万能骰子、自动回复、反撤回、抢红包思路分享
微信 读取HOOK 工具包 学习版 请用于学习
08-25
本工具 可以读取 应用HOOK 使用简单 解压密码13088888840 有什么不明白可以私密我
Android hook微信 apk 实时获取微信聊天消息记录
热门推荐
六桥风月IT随笔
03-27 1万+
说明:纯属发烧而生 第一步:安装apk的手机进行root 因为需要读取微信聊天记录信息表,所以手机需要root,这样给apk开启更大的权限,这里进行root的工具有好多比如360root大师等相关的root工具。 第二步:用Root Explorer把db文件赋予更高的权限 手机上安装Root ExPlorer软件,设置/data/data/com.tencent
iOS逆向:微信逆向及动态库开发过程中的坑
a690197843的博客
02-28 3485
记录微信逆向及动态库开发过程中遇到的坑。
安卓逆向_24( 一 ) --- Hook 框架 fridaHook Java层 和 so层) )
墨鱼菜鸡
07-11 5180
From:Hook 神器家族的 Frida 工具使用详解:https://blog.csdn.net/FlyPigYe/article/details/90258758 详解 Hook 框架 frida ( 信抢红包 ):https://www.freebuf.com/company-information/180480.html APP逆向神器之F...
iOS 逆向修改Hook改字 弹窗
02-19
iOS hook逆向系列,入门级第一步,注入其他App实现hook App内文字修改,可自行添加弹窗成功提示!
红包弹出的dialog
06-01
支持红包的dialog,应用Android移动端开发,希望对大家有用
最新微信hook2.6.3.78源码
09-21
最新版WxHook2.6.3.78源码,亲测可以使用。下载后,需要安装pc2.6.3.78,就能使用。
利用Xposed秒抢微信红包
奔跑吧,小代码
03-05 3848
免责申明: 本文只讨论技术,项目不用于任何利益行为,如因此产生的纠纷,本人概不负责。 前言 在阅读本文之前,假设你的手机已经root,并且已经成功安装好了 XposedInstaller。 正文 就我知道的,微信自动抢红包存在着两种方式,一种是利用安卓帮助残障用户使用android设备和应用的AccessibilityService进行模拟点击(本文不做讨论),第二种方式是直接hook微信本身的方法进行自动抢。第一种方式受限太多,比如手机本身性能等,并且抢的速度在不考虑手机性能的情况下第二种会快一些。 我们
android hook红包接口,Xposed框架实现Android中的Hook
weixin_29383401的博客
06-01 494
Hook.jpg前几天受高人指点意外发现了开启Android世界的新大陆,就是这个叫Hook(''钩子'')的东西。听起来很神奇,周末抽时间研究了一番,发现确实是一个值得去研究的技术。什么是 Hook?江湖上称它为“钩子”,它能够在事件传送到终点前截获并监控事件的传输。它能够将自己的代码“融入”被钩住的进程中,成为目标进程的一部分。这么说来,它可以Hook住系统的API,然后通过注入自己代码的方式...
微信协议分析 pc端记录
liutianheng654的博客
11-13 5201
android端的之前参考如下帖子: https://blog.csdn.net/yy405145590/article/details/79963999   但是这个帖子出来之后,微信在pack之后又封装了一层,尝试跟踪,在tencent.mm:push进程下,java端最后断在一个req2buf函数中,但是这个函数是由so调用的,能力有限,还没调到具体调用的地方。所以试试看转战PC端。 ...
微信HOOK 协议接口 实战开发篇 1.登录
q750936486的博客
12-24 2922
将所有接口整理在一起,顺手将整理的要点作为日志记录下来,预计每类接口写一篇日志
微信hook-解密WeChat-Hook:打造终极微信消息拦截神器
m6037843的博客
06-12 1865
0.检查是否登录 1.获取登录微信信息 2.发送文本 3.发送@文本 5.发送图片 6.发送文件 9.hook消息 10.取消hook消息 11.hook图片 12.取消hook图片 13.hook语音 14.取消hook语音 17.删除好友 19.通过手机或qq查找微信 20.通过wxid添加好友 23.通过好友申请 25.获取群成员 26.获取群成员昵称 27.删除群成员 28.增加群成员 31.修改群昵称 32.获取数据库句柄 34.查询数据库 35.hook日志 36.取消hook日志 40.转发消
Android微信抢红包自动化工具:速度提升与代码优化
文章的标题是"微信抢红包优化版",其核心内容是通过编程技术实现对微信红包消息的自动探测,并提供两种模式:自动抢和手动抢,以提高抢红包的速度,从而在众多抢红包软件中脱颖而出。作者使用了AccessibilityService...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值