iOS逆向微信实现伪装定位

前言

此文为逆向微信二进制文件，实现伪装定位，查看附近的人的教程，手把手教你玩转微信！学会之后再去逆向微信其他功能易如反掌。
在实践之前，需要准备好一部越狱的手机，涉及到的开发工具有cycript，LLDB与debugserver，OpenSSH，IDA，Reveal，theos，CydiaSubstrate，dumpdecrypted，class-dump等，具体安装过程请参考iOS应用逆向工程(第2版)书籍。
当前微信版本号为6.5.18。

git地址 https://github.com/zhaochengxiang/iOSWeChatFakeLocation

需求

自定义用户当前所在的位置，从而查看附近的人。

实现界面

WechatIMG7.jpeg
WechatIMG10.jpeg
WechatIMG9.jpeg

对需求进行分析

1.查看附近的人。
我们在微信的附近的人界面，是怎么实现获取附近的人功能的呢？我想的话，大家一定很容易就知道，微信肯定是通过用户所在位置的经纬度来判断的，那我们如果能在附近的人界面，找到使用经纬度的函数，在里面使用我们之前保存在本地的经纬度等信息，我们的需求就能实现了。

2.自定义用户当前所在的位置。
我们在微信的聊天界面中有个发送位置的界面，可以从界面中的地图上选取地点，也可以搜索地点，点击右上角的发送，即可发送选中的位置，那如果发送的数据里面能获取到用户的经纬度等信息，再将这些信息保存在本地，我们的伪装定位功能就能实现了。

3.如何跳转到发送位置界面。
这里跳转，可以参考下从聊天界面跳转到发送位置界面的实现过程。

OK，需求分析到此结束，是时候来看看具体的操作了。

找到附近的人界面使用经纬度的函数

1.通过Reveal以及cycript，找到微信附近的人界面。
微信进入附近的人界面，连接Reveal，可以发现这个界面使用了一个名为MMTableView的控件。接下来我们通过这个控件，来一步一步找到附近的人界面的ViewController。
使用USB连接到iOS，具体操作请参考iOS应用逆向工程（第二版）中usbmuxd的介绍。
接下来使用cycript来找到这个ViewController。

10438EFF-6F34-4E45-9394-32688C81BC02.png

我们在终端搜索MMTableView，找到这个类的地址。通过这个地址找到ViewController。

240BBD7E-2B89-49D9-A0A5-48BD55325A64.png

找到PeopleNearByListViewController，设置它的右侧导航控件为空，发现界面没反应，这个PeopleNearByListViewController可能不是我们要找的目标，通过PeopleNearByListViewController继续往上找。

DCF5C09C-953D-4577-828B-AB6A04EF79DE.png
找到SeePeopleNearbyViewController，设置它的右侧导航控件为空，发现界面右上角控件消失，可以肯定，这个SeePeopleNearbyViewController就是我们要找的。
我们打开SeePeopleNearbyViewController.h文件，大致浏览一下，发现该类未找到使用用户地址相关的接口，但是在里面发现了SeePeopleNearByLogicController类，微信通常将ViewController中使用的逻辑放在LogicController中进行处理，看一下SeePeopleNearByLogicController.h文件，能够看到很多与地址有关的数据以及接口，这个类并不复杂，我相信大家很快就能确定- (void)onRetrieveLocationOK:(id)arg1这个接口，可能就是我们需要的接口，arg1可能就是用户当前的经纬度等信息。如果真是我们分析的这样，让我们直接在这里使用我们伪装后的位置，就能达到我们的目的。
那怎么确定这个接口就是我们要找的呢？

有两种方法，第一种方法是通过LLDB与debugserver。首先在IDA中打开微信的二进制文件，找到上述接口。

D417B802-80D2-429D-A740-A818E204CAE2.png
符号所在模块的ASLR偏移为0x1016e8250 7E6932A7-A5D2-464B-A0D9-718C9E54D4D4.png

偏移前符号基地址为0x2c000
偏移后符号基地址为 0x1016e8250+ 0x2c000=0x101714250

48FB08A3-61B5-49D8-9D0F-89D41A046501.png

设置断点，重新进入附近的人界面。

4974711F-95B5-40A9-8877-90D1051074C2.png

输出arg1的值。

DB74A67E-B19B-40FD-8B8D-CE0B1382F6F6.png

可以看到，这是用户当前的经纬度信息。

第二种方法是通过Tweek，直接hook上述接口，打印arg1参数即可，这种比较简单，在这里就不做介绍了。

在发送位置界面截获经纬度等信息

1.通过Reveal以及cycript，找到发送位置的界面。这里就就具体介绍了，参考上面的过程。相信大家很快就能找到MMPickLocationViewController。那右上角的发送按钮是如何设置的呢？右上角的按钮一般是UIBarButtonItem通过initWithTitle:(NSString *)title style:(UIBarButtonItemStyle)style target:(id)target action:(SEL)action来初始化，如果我们找到了设置按钮的地方，也就找到了事件响应的地方，里面一定有我们所需要的位置的经纬度等信息。带着问题，我们看看MMPickLocationViewController.h，发现未找到与右上角相关的接口信息，但是我们发现了MMPickLocationViewControllerDelegate，我们看看代理中的方法，发现了- (UIBarButtonItem *)onGetRightBarButton，原来是在上层界面中进行的设置。在微信头文件搜索MMPickLocationViewControllerDelegate，能找到BaseMsgContentLogicController.h，该类是用来处理聊天界面中的逻辑，使用IDA看看BaseMsgContentLogicController中onGetRightBarButton的具体实现。

026BBA19-4AE5-40B9-9D3C-FC7B499E953B.png

分析汇编，能判断出发送按钮的响应函数为onFinishSelectedLocation,使用IDA分析这个函数实现。

0011E1D9-C8A5-459B-BCB1-FC39E171D798.png

上面只截取了部分信息。分析汇编，首先[m_pickLocationViewController DismissMyselfAnimated:YES] 来返回聊天界面，接着使用[m_pickLocationViewController getCurrentPOIInfo]获取POIInfo信息，最后调用[m_pickLocationViewController reportOnDone]彻底释放发送位置界面。打开POIInfo.h，能很快发现@property(nonatomic) struct CLLocationCoordinate2D coordinate，这就是我们要找的位置信息，将它保存在本地即可。

如何跳转到发送位置界面

这里我们参考聊天界面跳转到发送位置界面的过程，如果能找到相关函数，分析里面的实现，那我们这个问题就能得到解决。
那我们打开聊天界面的逻辑控制器BaseMsgContentLogicController，观察该头文件，发现两个可疑的接口:

- (void)ViewLocation:(id)arg1;
- (void)SelectLocation:(_Bool)arg;

首先通过IDA来分析ViewLocation实现。

0FFD7CBC-4A73-406C-A530-4932E453063F.png

分析汇编，很容易知道，这是个弹出提示，用来提示是发送位置还是共享实时位置。

接着来分析SelectLocation实现。

FE6CAF78-BE2A-409B-A3FE-A3E5CB6B60FC.png B77B581F-5539-4C81-A9BE-700D61E73911.png 03A94041-C5ED-4AF8-9FE7-E07AEA075BBF.png

分析汇编，首先MMPickLocationViewController通过- (id)initWithScene:(unsigned int)arg1 OnlyUseUserLocation:(_Bool)arg2来进行初始化，然后[[MMUINavigationController alloc] initWithRootViewController: m_pickLocationViewController]来初始化NavigationController，这里假设该NavigationController命名为nc，最后使用[self PresentModalViewController:nc animated:YES]来进行跳转。
(initWithScene:OnlyUseUserLocation:的参数请参考之前介绍的调适方法来获取值，这里就不重复介绍了)。

OK，分析完毕，开始写tweek吧。

后期我将继续微信的一些小插件开发，请关注一下我，谢谢！
如果觉得我的文章不错，请我喝杯热茶吧

WechatIMG11.jpeg