提示： 这仅仅只是逆向的一次尝试，如果你仅仅只是想单纯的修改步数，建议使用Healthkit的API修改步数，将会更简单。

为了纪念我失去的已越狱iPad， 不得不写点什么。

所以...以下内容 不需要越狱。

微信运动

6万步是什么概念，我不知道，因为我没走过，不过有朋友是这么跟我形容的。

破解

首先，这是一个简单的不能再简单逆向实验，也仅仅只是针对于逆向比较简单的验证，这里不会讨论如何砸壳、classdump、hook、dylib 这些东西，因为简单的不需要，也没有详细的逆向分析过程，因为简单的不需要，这里只需要的两个软件 ：

1. PP 助手 （用来下载iOS 版本已经破壳的App）
2. Hopper Disassembler

并且只需三步来完成破解。

PP助手，只用它来下载破壳的iOS 越狱App，不做说明。

Hopper Disassembler v3 下面是官网的原话：

Hopper is a reverse engineering tool for OS X and Linux, that lets you disassemble, and decompile your 32/64bits Intel Mac, Linux, Windows and iOS executables!Take a look at the feature list!

简单的说就是 Hopper 是一个反编译工具。
可能还有一些类似的工具比如说IDA。因为免费版功能不全，完整版太贵，这里毫不犹豫选择了Hopper。

在2015年，各大音乐平台联合起来打击盗版音频网站，各大音乐平台相互攻击，只能下架未授权的音乐。一些音乐平台也从起初的高品质歌曲收费服务，变成了交钱你才能听，让广大人民群众听歌困难。

下面我们要做的就是重新找回原来的自由。

虾米音乐 for mac

没有会员的虾米就只是只虾米。

虾米音乐

如果要使用虾米Mac版播放器听高品质的歌曲是需要VIP 会员的。
下面我们就给自己一个“会员”。

1. 先打开Hopper。

2. 找到虾米音乐的安装目录 /Applications/Xiami.app/Contents/MacOS/ 下的Xiami 二进制文件给拖出来直接扔进 Hopper 窗口中，点OK 然后就会开始分析，虾米音乐 for mac 做的很简单，马上就会反汇编完成，我们可以在左边看到很亲切 的Objective-C 语法的方法调用，我们可以搜索想要了解的方法名，这里很明确，我们就是要给自己一个VIP，直接搜索“vip”。

Hopper

不难发现，函数已经找到了，

[XMUser isVIP]

我们可以通过右上角按钮查看方法的伪代码.
然后用Hopper静态patch 这个方法，把光标放在[XMUser isVIP] 的第一行汇编代码上，然后选择菜单栏的Modify -> Assemble Instruction，并在弹出的文本框里输入mov rax, 0x1，如图所示：

Paste_Image.png

再点击 "Assemble and Go Next"，然后输入 ret，在点击按钮完成输入，修改后的代码块会变成白色，最后会变成这个样子：

Paste_Image.png

这里是什么意思呢？我们在方法的伪代码中不难发现最终返回的是一个rax 的寄存器，其实在x86汇编里，函数的返回值存放在rax寄存器里，0x1对应BOOL类型的YES，这句汇编的意思就是 将0x1 送入eax 寄存器，因此我们让[XMUser isVIP] 永远返回YES，告诉虾米你永远都是VIP。

然后操作就基本已经完成了，点击菜单
File-> Produce New Executable 生成出新的二进制文件，替代原目录（/Applications/Xiami.app/Contents/MacOS/ ） 中的二进制文件（Xiami）。

Paste_Image.png

重新打开虾米音乐播放器，接下来就让320kbps 高品质音乐轰炸你的耳朵。

Paste_Image.png

这种是一种比较简单的逆向方式，当然逆向的局限性很大，如果想实现更大范围的hook 还是得使用openDev 等工具来做。

虾米音乐 for iOS

现在虾米音乐周杰伦的歌都没法听了...不得不说高晓松这个花钱请来的董事长，还真的是做了些事...

不过接下来不准备逆向虾米了，因为不想去用，不过你也可以用以上类似的方法去跳过虾米的验证，试听不能听得歌曲。

微信运动

你想每天都受到微信好友的关注么？
想每天霸占你女神/男神微信运动的封面么？
那么接下来我们只需要5分钟 三步 就能实现。

1. 下载破壳应用（越狱应用）

Paste_Image.png

2. 通过Hopper 修改 微信步数

首先我们要找到WeChat.app ，我们可以通过解压工具在WeChat.ipa/Payload/找到并解压出来。

Paste_Image.png

右键点击WeChat.app 显示包内容 ，找到WeChat 二进制文件然后拖到Hopper窗口中进行反汇编，因为微信应用比较大，反汇编时间可能会有点长，不过我们可以先把提供步数的方法找到，等待方法反汇编完成后就可以Patch了，使用上面的提到的老方法即可，下面是替换后的结果。
movw r0, #0xffff
bx lr
这里的0xffff 是16进制，也就是返回的步数，你想要多少步直接改这个数就可以了。

Paste_Image.png

修改完成，Shift+command+E 生成新的二进制文件WeChat。
通过Xcode创建一个作为壳子的项目，要使用有开发权限的bundle Id
任意取名，选好你的证书描述文件，然后编译。会生成一个Mytest1.app。

Paste_Image.png

我们需要这个Mytest1.app文件中的embedded.mobileprovision

Paste_Image.png

然后还需要新建Entitlements.plist， 这里需要用到证书的Team-id，不知道可以在钥匙串中的证书中找到，注意这里的Team-id 一定要是distribution证书的。
如： iPhone Distribution: Tian Xiao (ABCDEFGHIB) 中的 ABCDEFGHIB

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>application-identifier</key>
    <string>ABCDEFGHIB.dimsky.MyTest1</string>
    <key>com.apple.developer.team-identifier</key>
    <string>ABCDEFGHIB</string>
    <key>get-task-allow</key>
    <true/>
    <key>keychain-access-groups</key>
    <array>
        <string>ABCDEFGHIB.dimsky.MyTest1</string>
    </array>
</dict>
</plist>

被划掉的部分就是TeamId了

所有需要的文件都已经生成，然后把embedded.mobileprovision 和修改后的WeChat二进制文件拷贝至WeChat.app中替换。

3. 重新签名，安装

接下来我们把WeChat.app 重新签名，

codesign -f -s 证书名字 目标文件

下面是需要重新签名的文件，证书名字在钥匙串中可以找到，注意在这一步需要前面创建的 Entitlements.plist 文件。

codesign -f -s "iPhone Developer: Tian Xiao (XXXXXXXX)" WeChat.app/Watch/WeChatWatchNative.app/PlugIns/WeChatWatchNativeExtension.appex
codesign -f -s "iPhone Developer: Tian Xiao (XXXXXXXX)" WeChat.app/Watch/WeChatWatchNative.app
codesign -f -s "iPhone Developer: Tian Xiao (XXXXXXXX)" WeChat.app/PlugIns/WeChatShareExtensionNew.appex
codesign -f -s "iPhone Developer: Tian Xiao (XXXXXXXX)" --entitlements Entitlements.plist WeChat.app

打包生成ipa

xcrun -sdk iphoneos PackageApplication -v WeChat.app  -o ~/WeChat.ipa

然后就可以通过PP助手安装了。

友情提示: 切勿开启暴走模式，让步数更真实为好，不然被删好友了，可别怪我。

长期霸榜的坏处可想而知，还请各位斟酌。

注：

本文仅供学习交流，请勿用于商业用途。

参考： iOS冰与火之歌番外篇