IOS逆向笔记之HOOK实现(非越狱)

最新推荐文章于 2024-04-29 14:47:54 发布
最新推荐文章于 2024-04-29 14:47:54 发布
阅读量1.5w 收藏 23
点赞数
分类专栏: iOS开发学习 文章标签: IOS越狱 IOS反编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22600319/article/details/77607220
版权

   HOOK是越狱的最终目标,目的是给应用添加功能如插件或者是更改应用的某个功能来满足我们的需求,如微信中添加抢红包插件。本文将以最近比较火的“快看”漫画为例子去除付费漫画中的收费弹窗,实现免费看漫画的功能,然而当我去除弹窗时,才发现是我想多了。。。。,不多说了,下面我将一步一步详细解析如实现去出收费弹窗的步骤。(一下都是基于非越狱设备上实现的)

  首先,需要一个已经破壳并且重新签名的的“快看”漫画的IPA,如果还不清楚如何制作,请看上篇这里 IOS逆向笔记之重新签名(非越狱)。注意,从appstore直接下载下来的应用是不能用的,因为无法破壳也无法重新签名。其次是HOOK中要用到的工具:

   界面调试工具Reveal,用来查看应用的界面。这个是付费版,破解版自己网上找去吧,这里就不方面放上去了。

   


   Hopper 是将二进制文件转为汇编语言和OC语言的工具。功能很强大,但看起来比较难,需要多次使用才能看懂里面的代码逻辑。这个软件也是收费的。其中二进制文件是在对应的app文件内,右键显示包内容,从里面可以看到一个于与app同名的一个二进制文件,就是它了,如快看的app文件是Kuaikan.app,它的二进制文件就是Kuaikan。

  

  

  下载Cycript的脚本文件:Cycript下载。并解压文件,解压后如下图:

  


  Cycript 的功能是在运行时动态的更改对象的属性或者调用方法,能够帮助我们快速的定位到们需要的某个类或者某个属性。


   最后一个工具是AloneMonkey这是最重要的一个工具,很好用,把各种越狱需要到的工具都集成到了xcode里面。集成了theos+Tweaks+Reveal.framework +Cycript +class-dump+CaptainHook。它的作用是用来动态HOOK 应用中的函数,我们所有的HOOK逻辑都在这个创建的工程里面写,以及配置Reveal和Cycript。下面说一下AloneMonkey的安装方法:

   第一步,安装theos:

   安装最新的theos
   sudo git clone --recursive https://github.com/theos/theos.git /opt/theos

  第二步: 安装ldid

  brew install ldid

  第三步:安装AloneMokey

  git clone https://github.com/AloneMonkey/MonkeyDev.git
  cd MonkeyDev/bin
  sudo ./md-install

  卸载:sudo ./md-uninstall

  更新:sudo ./md-update

  安装成功后,打开xcode,可以看到如下界面:

  

   点击MonkeyApp创建工程。具体集成步骤请参考这里Monykey集成。创建成功后,目录如下:

   

   创建后注意几点:依赖需要手动添加一下在build phases-->target dependencies,reveal的framework需要更换你所安装的reveal中的framework,class-dump需要手动开启。工程只能在真机上运行,模拟器不支持,因为硬件不一样,模拟器上无法执行。

 

  接下来进入主题,选择真机,点击run开始运行工程,同时打开reveal,查看的app图标是否显示。若成功,如下图:

  

  

  注意,核心步骤来了。首先保证iphone和Mac处于同一个局域网并且程序当前在运行态,条件缺一不可,然后终端下进入刚才解压的Cycript的目录下根据sokec(ip:端口)t连接手机,从而实现Cycript的动态注入代码。连接成功后如下图:

  

  至于cycript的语法这里就不多说了。详情请官网学习。

  然后手机进入到收费动漫的页面,如下图:

  

  这里可以看到,上面有一个弹窗遮住了后面的漫画内容,如果能去掉弹窗,岂不是能看到后面的漫画,那不是美滋滋。。。。。好,那我就动手了。最开始我的思路是这样的,首先定位到这个页面的视图控制器controller,然后再通过Hopper看看是通过那个方法打开的弹窗,只要重写那个方法就行了。。。后来发现并不能找到弹窗的方法,于是放弃了这种思路。通过一段时间的琢磨,在reveal上发现,其实上面的弹框是组合空间,并且是同级的控件。因此,只需要找到它们共同的父view,在便利自 view,去除弹框就行了。第一步还是定位到当前的controller,第二步获取弹窗父 view,第三步将弹窗的view的alpha值设为0就行了。

  reveal分析:

  


  Cycript实现:

  


  这样就能去除弹窗了,效果如下:

  

  

   知道了如何能去除弹窗,就只剩下最后一步了,在monkey程序中实现刚才在cycript中的逻辑,可以在xxxDylib.m中修改,也可以在xxxDylib.xm中修改,区别是.m中用的是CaptainHook实现,而xm中用的Tweaks实现。这里我选择使用CaptainHook实现,代码如下:

  


  到这里,就结束了。我以为一切都和我预期的一样,然而,残酷的是。。。。。。。。。

  只能看一画哭哭哭。。。。。。













vlions
关注
  • 0
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
iOS 逆向-越狱手机Hook App
ChSaDiN的专栏
06-13 1万+
引子 由于对iOS逆向分析很感兴趣,所以也花了很长一段时间学习了iOS逆向相关知识,并积累了一些相关经验, 这几天又到看雪论坛逛了一下,看看最近有没有什么大牛分享心得成果的!还真让我看到一篇有意思的文章【原创】微信双开是定时炸弹?关于越狱iOS上微信分身高危插件ImgNaix的分析 ,通过读完这篇文章,让我又有了站在巨人的肩膀上,也来探究和学习一下越狱设备如何Hook App的兴趣了。...
iOS逆向之还原CCCrypt加解密算法.pdf
12-14
CCCrypt算法还原,该文档中包含有CCCrypt算法objective-C及java版。在对app进行安全分析时,经常会看到app调用CCCrypt算法对某些数据或者字段进行加密,因此我们需要还原CCCrypt算法以对数据及字段进行安全分析。
ios逆向工具Hopper Disassembler的基本使用功能整理(持续更新)
最新发布
咸鱼想睡觉
04-29 403
ios逆向工具Hopper Disassembler的基本使用功能整理
iOS冰与火之歌番外篇 - 在越狱手机上进行App Hook
唐小引的 CSDN 博客
02-18 1864
作者简介:郑旻(花名蒸米),阿里巴巴移动安全部门资深安全工程师,香港中文大学移动安全(Android & iOS)方向博士,曾在腾讯、百度以及硅谷的FireEye实习。在博士期间发表了多篇移动安全方向的论文(BlackHat、AsiaCCS等),去过10多个不同的国家做论文演讲。 曾帮助Apple公司修复了多处iOS安全问题,并且Apple在官网表示感谢。同时也是蓝莲花战队和Insi...
iOS HOOK实现
石虎
10-29 6274
   联系人:石虎 QQ:1224614774  昵称: 嗡嘛呢叭咪哄                           QQ群:807236138  群称: iOS 技术交流学习群   一、概念      HOOK,中文译为“挂钩”或“钩子”。在iOS逆向中是指改变程序运行流程的一种技术。通过hook可以让别人的程序执行自己所写的代码。在逆向中经常使用这种技术。所以在学习过程中,我们...
越狱ipa的静态inline hook
tslx1020的博客
11-11 605
然后运行app,会在app的documents/static-inline-hook目录中生成一个新的target.dylib,例如要hook Frameworks/target.dylib 中的地址:0xb5b774。然后用这个新的替换掉app中旧的target.dylib。越狱的ipa,地址静态hook。k1是新方法,k2是返回的老方法。然后用代码,就可以hook了。
ios hook 小试牛刀(一)
09-13
ios hook 小试牛刀(一)ios hook 小试牛刀(一)ios hook 小试牛刀(一)ios hook 小试牛刀(一)ios hook 小试牛刀(一)ios hook 小试牛刀(一)ios hook 小试牛刀(一)
iOS逆向hook日志查看.pdf
12-15
iOS逆向过程中,我们有时需要通过hook app中某个函数,来查看函数调用方或者函数的参数,从而在我们还原函数时进行验证,或者做安全分析时,得到该函数是否存在异常。在hook某个函数时,往往需要通过日志来查看...
HookDefend:iOS逆向之反HOOK的基本防护
05-16
HookDefendiOS逆向之反HOOK的基本防护学习完上面的文章后,深感之强大,既然fishhookhook系统的函数。那么猜想:如果在我们的项目中hook了Method Swizzle,那么别人还能hook我们的项目吗??一、写上基本的防护,...
iOS 逆向修改Hook改字 弹窗
02-19
iOS hook逆向系列,入门级第一步,注入其他App实现hook App内文字修改,可自行添加弹窗成功提示!
iOS越狱开发 (一)
11-12
iOS 越狱开发是指在不越狱( Jailbreak) iPhone 或者 iPad 的情况下,使用逆向工程技术来开发和修改微信 App 的功能。这种开发方式可以绕过 Apple 的审核机制,实现一些标准的功能。 iOS 越狱开发工具安装 ...
iOS 越狱下的代码注入
Airths 的博客
10-24 1085
目录免责声明越狱下的代码注入步骤使用 ViewDebug 和导出的 Objective-C 类的头文件分析目标 AppObjective-C 方法常见的 Hook 方式 免责声明 本文为一篇严肃的学术研究型文章,文中所提及的注入手段仅供 iOS 底层技术的学习与交流,不针对任何公司与 App。 为防止读者将本文用于商业或者法用途,本文不提供任何注入工具与重签名脚本。 读者如果将本文用于商业或者法用途,则所产生的后果由读者自行承担。 越狱下的代码注入步骤 材料与工具 WeChat
iOS Hook相关教程 工具篇
HatsuneMikuFans的博客
09-15 955
iOS hook相关教程 工具篇 osx 工具集 class-dump 建议安装 class-dump,顾名思义,就是用来dump目标对象的class信息的工具。该工具利用Objective-C语言的runtime特性,将存储在Mach-O文件中的头部信息提取出来,并生成对应的.h文件。目前只用拿到oc对象的头文件。 ## XXX 表示需要dump的可执行文件,之后介绍怎么获取 ## /xxx/xxx/xxx 表示输出路径。 ## 其他命令可以参考man ## 此外,该工具只能dump撬壳之后的可执行文件
利用RunTime Hook 实现iOS防止按钮连续响应点击
u012868863的博客
04-05 1505
虽然iOS很少出现这种问题, 而且也有很多办法可以解决. 为了更好的熟悉了解RunTime, 那我们就来看看用RunTime是这么解决的吧. 链接:https://github.com/ConnorForGIT/JCButton 下面是部分代码.     static dispatch_once_t onceToken; dispatch_onc
iOS之SHA1算法
代码解释生活
09-12 509
参考:http://www.jianshu.com/p/8bc791ec42b6 http://www.cnblogs.com/scu-cjx/p/6878853.html #import + (NSString *)sha1:(NSString *)inputString{     NSData *data = [inputString dataUsingEnc
iOS UIImage图片缩放性能对比
henry_lei的博客
11-24 487
前言 最近做挺多的图片处理,透视、缩放、拼接、裁剪、效果等等,那么今天就先来详细对比一下系统API处理缩放的性能,这样也好方便选择那种更优的方式来处理 GitHub地址:KJExtensionHandler | | 这里有一个iOS交流圈:891 488 181 不管你是大牛还是小白都欢迎入驻 ,分享BAT,阿里面试题、面试经验,讨论技术, 大家一起交流学习成长! 大致分为以下五种API: UIKit,画布 drawInRect: 和 UIGraphicsGetImageFromC
iOS越狱开发 常用检测Hook 代码 闪退检测断点
05-05
iOS越狱开发中,常用的Hook检测包括以下几种: 1. 检测当前进程是否被其他进程注入 ``` void anti_injection() { char path[1024]; int ret = proc_pidpath(getpid(), path, sizeof(path)); if (ret <= 0) { NSLog(@"anti_injection: proc_pidpath failed"); exit(1); } if (strstr(path, "/Library/MobileSubstrate") != NULL) { NSLog(@"anti_injection: MobileSubstrate detected"); exit(1); } if (strstr(path, "/Library/Frameworks/CydiaSubstrate.framework") != NULL) { NSLog(@"anti_injection: CydiaSubstrate detected"); exit(1); } } ``` 2. 检测是否被调试 ``` void anti_debugging() { int name[4]; struct kinfo_proc info; size_t info_size = sizeof(info); name[0] = CTL_KERN; name[1] = KERN_PROC; name[2] = KERN_PROC_PID; name[3] = getpid(); if (sysctl(name, 4, &info, &info_size, NULL, 0) == -1) { NSLog(@"anti_debugging: sysctl failed"); exit(1); } if (info.kp_proc.p_flag & P_TRACED) { NSLog(@"anti_debugging: traced"); exit(1); } } ``` 3. 检测是否被hook ``` void anti_hooking() { const char *functionName = "ptrace"; void *handle = dlopen("/usr/lib/libc.dylib", RTLD_GLOBAL | RTLD_NOW); if (handle == NULL) { NSLog(@"anti_hooking: dlopen failed"); exit(1); } void *ptrace_func = dlsym(handle, functionName); if (ptrace_func == NULL) { NSLog(@"anti_hooking: dlsym failed"); exit(1); } if (ptrace_func != (void *)&ptrace) { NSLog(@"anti_hooking: hook detected"); exit(1); } } ``` 4. 检测是否被注入Cycript等调试工具 ``` void anti_cycript() { char *cycript = strstr(getenv("DYLD_INSERT_LIBRARIES"), "cycript"); if (cycript != NULL) { NSLog(@"anti_cycript: cycript detected"); exit(1); } } ``` 此外,还可以在代码中添加闪退检测断点,当程序发生闪退时就可以打断点进行调试,例如: ``` void crash_handler(int signal) { signal(SIGTRAP, NULL); NSLog(@"crash_handler: signal=%d", signal); exit(1); } void set_crash_handler() { signal(SIGTRAP, crash_handler); } ```
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值