“8小時內拼工作，8小時外拼成長”這是大家共同的理想。除了每天忙於工作外，我們都希望能更多地區吸收領域內的新知識與新技能，從而走向人生巔峰。

Dev Club 是一個交流移動開發技術，結交朋友，擴充套件人脈的社群，成員都是經過稽核的移動開發工程師。每週都會舉行嘉賓分享，話題討論等活動。

上一期我們邀請了騰訊 WXG iOS 開發工程師“姚海波”分享了《微信讀書 iOS效能優化》。

本期，我們邀請了騰訊 CDG iOS 開發工程師“何兆林”為大家分享《iOS黑客技術大揭祕》。

如何加入 Dev Club？

移動端開發經驗 >= 2 年，微信掃描下方群管理微信二維碼，備註姓名-公司(或產品) 申請加入。

分享內容簡介：

在黑客的世界裡，沒有堅不可破的防護系統，也沒有無往不勝、所向披靡的入侵利器，有時候看似簡單的問題，破解起來也許花上好幾天、好幾個月，有時候看似很 low 的工具往往能解決大問題；我們以實現微信自動搶紅包為引子，逐步展開 iOS 黑客入侵常用的幾種武器，並簡單的講解一些常用的反入侵策略，以及如何破解反入侵策略，雖然搶紅包的破解程式碼網上有很多，但是我們要講的是這些程式碼是用什麼工具分析出的，為什麼要這樣寫？

內容大體框架:
1. 讓目標程式破繭而出 －－ dumpdecrypted
2. 執行時分析 －－ cycript
3. 追蹤神器 －－ logify
4. 反彙編工具 －－ hopper
5. 斷點除錯工具 －－ lldb+debugserver
6. 注入工具 －－ insert_dylib + install_name_tool

分享人介紹： 何兆林 通訊充值與彩票業務部 iOS開發工程師。

負責過的產品：QQ彩票、QQ電影票 iOS客戶端，目前主要負責 QQ彩票 iOS客戶端的開發。

下面是本期分享內容整理

大家晚上好，我是來自 CDG的 jolinhe，目前在做qq彩票專案，負責 iOS側的外掛化和整體架構。

越獄和入侵是我的業餘愛好，正好08和09年的時候，在網龍積累了一些越獄開發經驗，所以今天跟大家分享一下 iOS入侵方面的工具和手段。

為了避免紙上談兵：
- 第一部分我們就拿微信來開刀，講解一下如何運用這些工具來找到和實現自動搶紅包功能的；
- 第二部分我們再總結一下常用的入侵原理和反入侵方法。

開始之前，我們需要把環境搞起，硬體方面，需要：
1. 一臺越獄手機
2. 一臺裝了開發環境的 Mac電腦

軟體方面內容提綱已經列出來了，需要注意的是它們有一些是手機端的，一些是 PC端的，用到的時候我會細講。

群裡不乏老司機，這裡我假設大家對於 ssh、theos、class_dump、hook這些工具和技術都已經有所涉獵了，如果有不清楚的，歡迎私下交流。

一、微信實現自動搶紅包功能

言歸正傳，要實現自動化搶紅包，首先我們需要理清思路：

• 第一步：需要攔截微信的訊息流，在哪裡攔截？
• 第二步：在這些資訊流中分辨出哪些訊息是紅包？
• 第三步：在合適的地方插入自己的“搶”紅包程式碼。

1、讓目標程式破繭而出——dumpdecrypted

因為直接從 AppStore下載下來的二進位制檔案都是加了殼的，所以為了讓它的核心破繭而出，我們需要砸殼操作。

所以第一個工具就是 dumpdecrypted，這個工具是手機端的，可以通過 cydia安裝，安裝後文件路徑是：

/usr/lib/dumpdecrypted.dylib

在實際使用時，可以通過 pp助手把這個檔案 copy到目標程式的 documents目錄，然後ssh進手機終端，cd到 documents目錄，執行：

DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib WeChatPath

執行完後會再 documents目錄生成一個砸完殼後的二進位制檔案

2、執行時分析——cycript

砸完殼之後，我們再 dump出頭檔案，但是微信的類太多了，標頭檔案有幾百個，如此多的標頭檔案，讓人眼花繚亂，所以要找到突破口，我們得縮小範圍，我喜歡用的思路是從 ui入手，先找到微信對話介面的 controller，然後再追蹤 controller中對應的訊息處理函式。

這樣第二個工具 cycript 隆重出場了，它也是個手機端的工具，用於檢視 app執行時資料，大夥兒可以通過 cydia安裝，安裝完之後，ssh到越獄手機的終端。

先找到微信的程序id：ps aux | grep WeChat
再執行：cycript -p 微信的pid

完成了注入，進入到 cycript提供的終端。

這時候進入在手機上進入微信的聊天視窗，例如：

然後在 cycript的終端輸入：

UIApp.keyWindow.recursiveDescription().toString()

結果如下：

列印的是當前的ui樹，隨便找一個節點（樹的中間，為什麼要在中間，大家可以思考下），copy它的記憶體地址，例如 0x14da3f000

執行:[#0x14da3f000 nextResponder]

會輸出當前節點的下一級事件響應鏈，然後對輸出節點再次呼叫 nextResponder，直到找到它的檢視控制器 xxxcontroller：

看到了吧，微信的聊天頁對應的類名是 BaseMsgContentViewController。

3、追蹤神器 －－ logify

目前為止我們已經鎖定了大致的突破口，下面還需繼續追蹤，找到這個類裡面的訊息處理函式，這裡的思路就是通過向群裡傳送一個訊息，然後觀察 controller中哪些方法被呼叫了。

第三個工具 Logify就是幹這個事情的，它是 theos的一個元件，和 theos一起安裝在 pc端的，在 pc的終端輸入：

logify.pl /path/to/BaseMsgContentViewController.h > /out/path/to/Tweak.xm

開啟生成的 tweak.xm檔案，可以看到它其實就是 hook了這個類所有的方法，在方法中注入了 nslog，列印方法的入參和返回值，最後把這個檔案用 theos打包並安裝到手機中，再次向群裡發訊息，手機連上 xcode觀察手機控制檯輸出。

輸出內容很多，需要仔細過濾一下，例如我們發的訊息是一個文字“test”，在控制檯搜尋它，你會在它附近找到下面這個函式呼叫：

addMessageNode:layout:addMoreMsg

從函式名字來看，這個應該就是用來處理訊息資料的，從表面來看我們已經找到訊息的攔截點了，但是大家想一下，如果我們hook這個方法，在裡面自動搶紅包，會有什麼致命的缺陷？

老司機們已經看出來了吧，這個方法是 BaseMsgContentViewController類裡面的，而這個類進入聊天頁面才會被建立。

hook這裡會有兩個缺陷：

• 第一，必須進特定的群的聊天頁面才能生效；
• 第二，兩個群同時有紅包來，沒法併發的搶。

為了追求更加上流的功能，我們需要再向上追溯訊息的源頭，最好 hook那種微信啟動後就存在的物件，怎麼追溯呢？

我的思路是通過在這個方法中設定斷點，通過呼叫棧，來找到上層的呼叫者。

4、反彙編工具——hopper & 斷點除錯工具——lldb + debugserver

第五個工具 lldb + debugserver顧名思義，debugserver是手機端的(只要你的手機有連過 xcode進行 debug，這個玩意就自動有了)，用於監聽 pc端 lldb的連線，來實現遠端除錯。

這個工具要和第四個 hooper(反彙編工具)結合起來用。

首先 ssh進手機的終端，輸入：

debugserver *:19999 -a WeChat

監聽 lldb的連線

然後開啟pc的終端，啟動 lldb並連線：

lldb
process connect connect://deviceIP:19999

如果連線成功，我們就正式進入 debug狀態了。

那麼問題來了，要精確的設定斷點，必須知道這個函式的記憶體地址，這個記憶體地址怎麼搞出來呢？

有個公式：

記憶體地址＝程序記憶體基地址＋函式在二進位制中的偏移量

上面我們已經連上了 lldb除錯環境，獲取基地址在 lldb中輸入下面的命令：

image list -o -f

這時會輸出很多行資料，找到檔名為 WeChat的模組地址，這裡第一行就是了：

偏移量需要藉助 hooper，pc端的反彙編利器，用 hooper開啟微信的二進位制檔案，等幾分鐘，反彙編完成後，在搜尋框輸入剛找到的函式名： addMessageNode，定位到相應的彙編程式碼，第一列就是偏移量了：

兩個引數都找到後，在lldb中輸入：

br s -a ‘基地址+偏移量’

然後用 “br l” 確認一下斷點是否設定成功

進入聊天介面，再次向群傳送一個訊息，會發現 ui卡住了，觀察 lldb控制檯，會提示程序被斷住了，在 lldb中繼續輸入 bt指令，重點觀察模組名是 WeChat的棧，但是由於沒有符號表，我們只能看到棧的記憶體地址：

想要把記憶體地址還原成函式名，需要兩步：

• 第一要把記憶體地址轉換成二進位制檔案偏移量
• 第二步再使用 hooper根據偏移量找到函式名

也就是上面公式的逆向過程：

函式在二進位制中的偏移量＝記憶體地址 - 程序記憶體基地址

這裡我們棧地址是0x0000000101ad02f4，基地址是0x00000000000e8000，做下減法，得到結果0x1019E82F4，然後在 hooper中搜索這個地址就能得到方法名：

以此類推，最後得到棧頂的呼叫是這個：

[CMessageMgr MainThreadNotifyToExt:]

CMessageMgr這個類，從名字來看，就是訊息管理器，而且是單例的，我們終於找到了真正需要 hook的類，但是這個方法是用來非同步傳送通知的，不像是訊息的源頭，所以我們用上面說的 logify元件繼續追蹤一下這個類

過程不再重複講，最後的目標終於浮出水面：

(void)AsyncOnAddMsg:(id)message MsgWrap:(CMessageWrap* )msgWrap

第一步訊息的攔截點終於找到了，接下來是第二步：

第二步：我們需要知道哪些訊息是紅包，這個就比較簡單，向群裡發一個普通訊息和紅包訊息，通過 logify元件觀察 message引數的內容，發現它裡面有一個 type欄位，如果是紅包，值是49，其他語音和文字各不相同，所以，這裡輕鬆搞定。

第三步：需要實現搶紅包程式碼，這一步稍微複雜一點，先講一下思路，首先進入微信開紅包的介面：

根上面講過的一樣，通過 cycript+logify我們可以輕鬆拿到開紅包的入口函式，下一步，我們需要自己從 AsyncOnAddMsg的引數中構造搶紅包函式的入參。

找注入點我就不再重複講，直接上結果：

[WCRedEnvelopesReceiveHomeView OnOpenRedEnvelopes]

這顯然是一個事件處理函式，它裡面肯定會呼叫真正的拆紅包邏輯

所以我們開啟 hooper，找到這個方法然後觀察方法體，發現它在最後呼叫了一個 selector：

WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes

這應該是真正的拆紅包邏輯，但是這個 selector沒有引數，所以我猜想這個方法的作用應該是自己封裝拆紅包所需的資料，並呼叫底層服務來拆紅包。

在hooper中搜索這個方法，觀察一下，果然是這樣的：

函式開始部分的彙編程式碼都是在構造dictionary，只有在最後呼叫了一個可以函式：

這裡說明一下，由於微信這一塊的程式碼全都是 oc的，而 hooper可以直接將 oc反彙編到接近原始碼的水平，所以，還原過程基本不需要掌握多少彙編知識，具體的還原過程可以看下我之前發的文章：http://blog.csdn.net/heiby/article/details/51792151

最後一步，編寫 tweak，替換 AsyncOnAddMsg函式並把自己的成果注入進去就 ok了。

6、注入工具——insert_dylib + install_name_tool

對於越獄機器來說，到這裡已經大功告成了，但是想要在非越獄機器上跑，還需要幾個步驟：

在非越獄機上面，一切都要靠自己，首先手動把你的庫注入到目標二進位制中，這一步使用 insert_dylib就可以了，它執行在 pc端，在命令列 cd到微信的二進位制目錄，執行命令：

insert_dylib @executable_path/xxx.dylib WeChat

因為我們的 hook程式碼是基於 cydiaSubstrate的，用l -L xxx.dylib來檢查一下你的 tweak，這個依賴庫在正版機上是沒有的，我們需要把它從越獄機充 cp出來和你的 tweak一起拖進目標 app目錄，並通過install_name_tool命令修改你的 tweak中對他的引用路徑。

最後，用 codesign命令對微信 bundle裡面所有的 dylib進行簽名：

codesign -f -s "iPhone Developer:xxx" xxx.dylib

打包成ipa:

xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa

再使用 iResign對 ipa進行簽名，就可以安裝到非越獄的機器上了。

注意一下，如果你不想使用 iResign，在執行 xcrun之前，還需要對微信的二進位制檔案進行簽名：

codesign -f -s "iPhone Developer:xxx” —entitlements Entitlements.plist WeChat.app

經常有人問 Entitlements.plist檔案怎麼寫？照著這個來就行了，把 teamed和 bundle id改成你自己的：

簽名完成後可以通過ldid命令檢視簽入的內容：

ldid -e /path/to/WeChat

到這裡入侵圓滿結束！

二、常用入侵原理和反入侵方法總結

下面我們總結一下用到的幾個工具：

• dumpdecrypted
• insert_dylib
• cycript

第一個工具是砸殼用的，程式碼是開源的，而且相當簡單，它並沒有破解 appstore的加密演算法，而是把自己注入到已經通過系統載入器解密的 mach-o檔案，再把解密後的記憶體資料 dump出來，詳細的原理這篇文章寫的很清楚：http://bbs.iosre.com/t/dumpdecrypted/465

那他是怎麼注入的呢？就是利用了 iOS系統中 DYLD_INSERT_LIBRARIES這個環境變數，如果設定了 DYLD_INSERT_LIBRARIES 環境變數，那麼在程式執行時，動態連結器會先載入該環境變數所指定的動態庫；也就是說，這個動態庫的載入優先於任何其它的庫，包括 libc。

由於這個環境變數指定的動態庫載入的時機實在是太早了，所以對於 app來說，除了程式碼混淆外，無良策；

但是我們可以在程式碼中通過判斷環境變數來檢測是不是被注入：

charchar *env = getenv("DYLD_INSERT_LIBRARIES");

如果方法返回非空，我們可以做一些上報之類的。

後面兩個工具都是用來注入的：

insert_dylib通過向 mach-o檔案的 loadcommand段插入 LC_LOAD_DYLIB資料來載入第三方庫。

對於 insert_dylib，我們可以通過在 Xcode的Build Settings中找到“Other Linker Flags”在其中加上-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null指令來繞過 dylib載入額外的第三方庫，具體的原理可參考 http://bbs.iosre.com/t/tweak-app-app-tweak/438

但是破解這一招也非常簡單，上面的連結也說了，用 0xED開啟二進位制檔案，把__RESTRICT全域性替換成其它名字即可。

cycript個人感覺是比較神奇的，它在程序執行時動態注入。

沒有細看它的原始碼，網上資料稱，它通過 taskfor_pid函式獲取目標程序控制代碼，然後通過在程序內建立新執行緒並執行自己的程式碼。

對於 cycript這種 bt的行為，利用系統的 root許可權在程序中建立執行緒並執行自己的程式碼，目前還沒想到好的對策，如果有老司機有方法，希望能指導一下～

最後再說說 lldb反除錯，網上大多都提到 ptrace系列函式，原理我就不多說，這裡主要講如何繞過它，有兩種方法，先說第一種，直接通過彙編程式碼修改 ptrace的第一個引數，這樣我們需要先知道在哪裡呼叫了 ptrace。

用backboard服務啟動啟動目標程式：

debugserver -x backboard *:19999 /path/to/binary 

在pc端用lldb連線：

process connect connect://deviceIP:19999

然後在lldb中下符號斷點

b ptrace，

在lldb中輸入c命令之後看ptrace第一行程式碼的位置，繼續輸入命令:

p/x $lr 

找到函式返回地址，然後用：

image list -o -f

找到目標程式的基地址，這樣就能用上面說的公式計算出偏移量，最後在 hooper中找到呼叫 ptrace的彙編程式碼

找到彙編程式碼的位置後，把 ptrace的第一個引數 1F，替換成 0A即可，下面是我的除錯過程：

手機端：

pc端：

第二種簡單又暴力，注入tweak，讓 ptrace直接返回0即可，具體的程式碼非常簡單，直接發出來：

//Tweak.xm
#import <substrate.h>
#import <mach-o/dyld.h>
#import <dlfcn.h>

static int (*oldptrace)(int request, pid_t pid, caddr_t addr, int data);
static int newptrace(int request, pid_t pid, caddr_t addr, int data){
    printf("newptrace:%d\n\n",request);
    return 0;
}
%ctor {
    printf("Tweak for SkipPtrace  Start!\n\n");
    MSHookFunction((void *)MSFindSymbol(NULL,"_ptrace"), (void *)newptrace, (void **)&oldptrace);
}

總結

入侵的路有很多條，關鍵是要在開始階段定好目標，並理清思路，不然很容易走進各種死衚衕，還要學會面對失敗，不要一條路走不通就放棄，最後呢，我們要善於藉助各種工具，能用工具，幹嘛還要去費力氣。

今天分享就到這裡，下面大家有問題可以提問哦！

問答環節

Q1：其實我挺好奇，這個能被破解，應該也會有被封堵的問題吧?

我們這裡只是偽造了自己的引數，並呼叫微信原有的邏輯自動拆紅包，所以技術上出了微信更新版本，是封不了的，但是如果你搶的太暴力，賬號有可能被封，這裡我們可以通過隨機的延遲等操作來避免

Q2：我在分析 UI時候多用了一個 reveal的工具。

reveal的視覺化做的比較強大，用來分析 ui很不錯，有需要可以用

Q3：想問問那些安全類軟體是如何防止 tweak，對微信支付寶的程序保護?

防止tweak上面我也講到一些，不過都是從目標 app的程式碼層級來講的，例如反 gdb和反注入，對於安全類軟體來說，在非越獄的系統上，基本起不了作用，在越獄機上面，由於有 root許可權，這時就能做很多事情了，例如檢查 mach-o檔案的 loadcommand、檢查 DYLD_INSERT_LIBRARIES這種環境變數等

Q4：各種微信分身版能被微信後臺準確的識別出來嗎？如果可以識別，有哪些方方法可以去識別？

您指的是一機多裝吧，ios系統通過 app的 bundleid來唯一識別一個 app，分身版大多是通過改 bundleid並重新簽名和釋出，在程式碼中可以通過監控自己 info.plist裡面的 bundle id來識別是否被篡改，但是這也是不可靠的，因為黑客們還是可以通過 hook你的監控函式來繞開

Q5：看到你不少是根據方法名字面上來猜想它的意思，要是有的 app程式碼寫的爛，我們反而不好弄了吧？還有如果紅包的核心程式碼是用 C/C++的程式碼，這是不是就不能這樣反彙編了？

確實會這樣，程式碼寫得爛，有點類似於“程式碼混淆”，會增加入侵的難度，如果核心程式碼是 c/c++，在彙編層面會增加閱讀難度，但是隻是難度增加了而已

Q6：對於哪些包括 watch和 extension的 App，在重簽名時有哪些需要注意的呢？ 重簽名安裝成功但啟動就閃退可能是什麼原因？

有 extension的app，在重簽名時，需要記住每個 extension都需要用同樣的證書單獨簽名，然後再對外層的 ipa進行簽名，重簽名後啟動閃退，可以通過 xcode連線裝置，點選 window->devices檢視裝置控制檯，在控制檯，會輸出你那一個 dylib校驗失敗，還有失敗的原因

Q7：聽你分析逆向這麼容易,那 ios防反編譯有哪些方案?

ios防止反編譯主要還是程式碼混淆，但是混淆的代價大家是知道的，而且混淆也不能完全阻止入侵，所以會得不償失，因為這樣，現在 ios開發很少用；還有一個方案就是反注入，上面講過的，但是很容易被繞過

Q8：Android的一個安全加固保護是通過設定 PTRACEME來防止外部程式來 ptrace自己，如果 iOS APP也這樣設定了，會不會導致其中一些逆向機制失效呢？

ptrace只是反除錯的，不會影響逆向過程

更多精彩內容歡迎關注bugly的微信公眾賬號：

騰訊 Bugly是一款專為移動開發者打造的質量監控工具，幫助開發者快速，便捷的定位線上應用崩潰的情況以及解決方案。智慧合併功能幫助開發同學把每天上報的數千條 Crash 根據根因合併分類，每日日報會列出影響使用者數最多的崩潰，精準定位功能幫助開發同學定位到出問題的程式碼行，實時上報可以在釋出後快速的瞭解應用的質量情況，適配最新的 iOS, Android 官方作業系統，鵝廠的工程師都在使用，快來加入我們吧！