framework注入
dyld
dyld (动态库加载器),负责加载程序和程序所有依赖的动态库。内核读取 Mach-O 文件后将读取的内容交给 dyld 进行加载,dyld 加载完毕后才会执行 main 函数。
准备工作
MachOView工具可在Mac平台中可查看MachO文件格式信息
dylib注入,将自己的framework注入到可执行文件中
- 重复上一章,shell脚本重签名
-
新建一个NJHook.framework
-
在framework中新建两个类,并写个load加载函数
-
Command+B编译一下,发现NJHook.framework已经添加到微信的frameworks文件夹中
-
用yololib工具将NJHook.framework注入到WeChat.pp的可执行文件中
先将yololib工具copy到/usr/local/bin目录下
记录第4步产生的NJHook的可执行文件的路径:Frameworks/NJHook.framework/NJHook
找到要注入代码的WeCha.ipa的包,然后解压,执行下面指令
$ cd /Users/xxxxxxxxxx/Payload/WeChat.app
$ yololib WeChat Frameworks/NJHook.framework/NJHook
-
用MachOView查看WeChat.app包里面的可执行文件
在Load Commands里面可以看到NJHook.framework已经注入WeChat的可执行文件中
-
删除原来的WeChat.ipa文件,然后重新生成WeChat.ipa
cd到Payload的上一层文件夹,执行
$ cd /Users/xxx/Desktop/WeChat/App/xxxxx
$ zip -ry WeChat.ipa Payload
删除所有文件,在App文件夹只保留重新生成的WeChat.ipa
-
运行项目,可以看到刚才注入NJHook.framework中的类文件的中的打印已经出来了
-
遇到的问题
lz是在第8步直接运行发生下面的问题,直接添加一下依赖就行了/如果在第8步先Command+B编译一下应该没有下面的问题了,lz就不试了
dyld: Library not loaded: @executable_path/Frameworks/NJHook.framework/NJHook
Referenced from: /var/containers/Bundle/Application/B3BC8213-E4C3-4743-A269-E66BB77DAEC5/WeChat.app/WeChat
Reason: image not found
Message from debugger: Terminated due to signal 6
添加依赖如下
Dylib库注入
-
重复上一章,shell脚本重签名
-
添加一下Dylib库,命名NJHook,如下图所示
-
**修改NJHook库参数配置
-
添加用yololib工具将NJHook.framework注入到WeChat.pp的可执行文件的脚本实现
#注入
# 注入我们编写的动态库
echo "开始注入"
# 需要注入的动态库的路径 这个路径我就写死了!
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/libNJHook.dylib"
#
## 通过工具实现注入
yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"
具体见demo-链接: https://pan.baidu.com/s/1JsSWd4uFdzbQkQIdhhdfOA 提取码: qppu
-
在创建libNJHook.dylib生成的类文件中,添加一个load方法,并运行项目,结果如下
从报错来看,是没有找到libHankHook.dylib
- 添加对libNJHook.dylib的依赖,然后运行项目
❓啥情况?
估计
Xcode并不鸟dylib
-
删除"Copy Files" ,手动复制libHankHook.dylib到WeChat.app的frameworks文件夹
-
删除原来的WeChat.ipa文件,重新生成WeChat.ipa文件,放到App文件夹(framework的第7步)
-
运行项目,可以看到打印函数了
Method Swizzle
关于黑魔法Method Swizzle就不在多说,大家可以自己查资料,我们直接看Hook微信注册的例子
-
重复上一章,shell脚本重签名
-
运行项目,查看视图层级,点击微信的注册按钮,查看如下图所示:
可以看到
Target : WCAccountLoginControlLogic Action: onFirstViewRegester
- 利用class-dump反编译工具导出WeChat.app的头文件
下载后打开dmg文件,将可执行文件class-dump复制到/usr/local/bin目录下
执行指令:
$ class-dump -H /Users/xxxx/Desktop/WeChat/App/Payload/WeChat.app -o /Users/xxxxx/Desktop/WeChatHeaders
- 利用Sublime Text工具查看生成的头文件
- 把生成的头文件夹拖到
Sublime Text工具中,Command+shift+f然后在find栏目中输入@interface WCAccountLoginControlLogic -
双击到WCAccountLoginControlLogic的.h中
- 利用Method Swizzle拦截微信注册按钮的Action
#import "NJHook.h"
#import <objc/runtime.h>
@implementation NJHook
+(void)load
{
Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountLoginControlLogic"), @selector(onFirstViewRegester));
Method newMethod = class_getInstanceMethod(self, @selector(test));
method_exchangeImplementations(oldMethod, newMethod);
}
-(void)test{
NSLog(@"检测到状态异常!不能注册!!");
}
- 运行项目,点击微信的注册按钮,控制面板可以看到打印函数
2019-09-21 16:17:02.401862+0800 WeChat[8245:1236128] 检测到状态异常!不能注册!!
2019-09-21 16:17:02.601956+0800 WeChat[8245:1236128] 检测到状态异常!不能注册!!
2019-09-21 16:17:02.933624+0800 WeChat[8245:1236128] 检测到状态异常!不能注册!!
2019-09-21 16:17:03.084454+0800 WeChat[8245:1236128] 检测到状态异常!不能注册!!
2019-09-21 16:17:03.234972+0800 WeChat[8245:1236128] 检测到状态异常!不能注册!!
2019-09-21 16:17:03.370160+0800 WeChat[8245:1236128] 检测到状态异常!不能注册!!
2019-09-21 16:17:03.484951+0800 WeChat[8245:1236128] 检测到状态异常!不能注册!!
获取微信密码调试分析
- 运行项目,到账号密码的登录页面,随便输入账号和密码,查看视图层级结构,点击登录按钮
调试用framework注入的那份代码,因为framework是自动添加到WeChat.app的 frameworks文件夹的
-
利用Sublime Text工具查看生成的头文件
把生成的头文件夹拖到Sublime Text工具中,Command+shift+f然后在find栏目中输入@interface WCAccountMainLoginViewController
可以看到WCAccountTextFieldItem *_textFieldUserPwdItem,是有关密码输入框的
继续查看WCAccountTextFieldItem.h类别
在WCAccountTextFieldItem.h中没有获取到我们想要的,看一下他的父类
发现了WCUITextField *m_textField -
LLDB调试验证猜想
-
添加执行代码,并运行项目, 到微信账号登录页面,点击登录按钮,可以看到打印的密码
#import "InjectCode.h"
#import <objc/runtime.h>
@implementation InjectCode
+(void)load
{
//WCAccountMainLoginViewController onNext
Method onNext = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext));
Method my_next = class_getInstanceMethod(self, @selector(my_next));
method_exchangeImplementations(onNext, my_next);
}
//id self , SEL _cmd
-(void)my_next{
NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"]valueForKey:@"m_textField"] performSelector:@selector(text)];
NSLog(@"密码是!%@",pwd);//破坏
}
@end
结果如下:
2019-09-23 16:00:09.904029+0800 WeChat[8468:1373458] 密码是!123456
如何让点击登录能够即打印,又能继续执行微信登录的方法?
- 通过添加方法
#import "InjectCode.h"
#import <objc/runtime.h>
@implementation InjectCode
+(void)load
{
//1.原始的方法
Method onNext = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext));
//2.添加新的方法
BOOL didAddMethod = class_addMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(new_onNext), my_next, "v@:");
//3.方法交换
method_exchangeImplementations(onNext, class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(new_onNext)));
}
//id self , SEL _cmd
void my_next(id self, SEL _cmd){
NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"]valueForKey:@"m_textField"] performSelector:@selector(text)];
NSLog(@"密码是!%@",pwd);//破坏
//调用原来的方法
[self performSelector:@selector(new_onNext) ];
}
运行项目,到微信账号登录页面,随便输入账号和密码,点击登录,发现打印函数,还有微信的账号密码错误的提示框
@end
- 方法替换
#import "InjectCode.h"
#import <objc/runtime.h>
@implementation InjectCode
+(void)load
{
//1.原始的方法IMP
old_onNext = method_getImplementation(class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext)));
//2.替换IMP
class_replaceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext), my_next, "v@:");
}
IMP (*old_onNext)(id self, SEL _cmd);
//id self , SEL _cmd
void my_next(id self, SEL _cmd){
NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"]valueForKey:@"m_textField"] performSelector:@selector(text)];
NSLog(@"密码是!%@",pwd);//破坏
//调用原来的方法
old_onNext(self,_cmd);
}
@end
- GET & SET
#import "InjectCode.h"
#import <objc/runtime.h>
@implementation InjectCode
+(void)load
{
//GET & SET
Method onNext = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), sel_registerName("onNext"));
//1.保存原始的IMP
old_onNext = method_getImplementation(onNext);
//2.SET
method_setImplementation(onNext, (IMP)my_next);
}
IMP (*old_onNext)(id self, SEL _cmd);
//id self , SEL _cmd
void my_next(id self, SEL _cmd){
NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"]valueForKey:@"m_textField"] performSelector:@selector(text)];
NSLog(@"密码是!%@",pwd);//破坏
//调用原来的方法
old_onNext(self,_cmd);
}
@end
网友评论