前言

logify是theos的一个组件,路径是:

/opt/theos/bin/logify.pl

我们还是以微信红包为例子,根据[iOS Hacking]运行时分析cycript得到的入口文件:

BaseMsgContentViewController.h

ssh连接手机

在Mac上打开终端,用ssh连接手机:

ssh [email protected]

输入密码:

alpine

关于如何连接手机,请参考我之前的[iOS HACKING入门]微信注入

获取BaseMsgContentViewController.h``中发消息方法的入參

在Mac上新建一个终端窗口,进入终端,按command+N,在新的终端窗口中,cd到桌面或者某个确定的文件夹:

cd  ~/Desktop

新建一个Tweak.xm文件,输入命令:

touch Tweak.xm

logify

/opt/theos/bin/logify ~/Desktop/Hacking/WeChat/Headers/BaseMsgContentViewController.h >  ~/Desktop/Tweak.xm

前面路径是你用class-dumpdump出的头文件中目标文件的地址,关于class-dump有问题的话,可以参考我的博客:
[iOS Hacking]用class-dump获取头文件

打开生成的刚刚创建的Tweak.xm文件,可以看到刚刚的命令 hook到了这个类所有的方法,
并且在方法中注入了 log,打印了方法的入参和返回值。下面是Tweak.xm的一部分代码:

%hook BaseMsgContentViewController
- (void)setM_badRoomLogicController:(BadRoomLogicController *)m_badRoomLogicController { %log; %orig; }
- (BadRoomLogicController *)m_badRoomLogicController { %log; BadRoomLogicController * r = %orig; HBLogDebug(@" = %@", r); return r; }
- (void)setM_bIsInMainFrame:(_Bool )m_bIsInMainFrame { %log; %orig; }
- (_Bool )m_bIsInMainFrame { %log; _Bool r = %orig; HBLogDebug(@" = %d", r); return r; }
- (void)setM_searchScene:(int )m_searchScene { %log; %orig; }
- (int )m_searchScene { %log; int r = %orig; HBLogDebug(@" = %d", r); return r; }
- (void)setM_shareContacts:(NSMutableArray *)m_shareContacts { %log; %orig; }
- (NSMutableArray *)m_shareContacts { %log; NSMutableArray * r = %orig; HBLogDebug(@" = %@", r); return r; }
- (void)setM_msgReceivingTipsView:(UIView *)m_msgReceivingTipsView { %log; %orig; }
- (UIView *)m_msgReceivingTipsView { %log; UIView * r = %orig; HBLogDebug(@" = %@", r); return r; }
- (void)setGesture:(WXGesture *)gesture { %log; %orig; }
- (WXGesture *)gesture { %log; WXGesture * r = %orig; HBLogDebug(@" = %@", r); return r; }
- (void)setM_LockerTimer:(MMTimer *)m_LockerTimer { %log; %orig; }
- (MMTimer *)m_LockerTimer { %log; MMTimer * r = %orig; HBLogDebug(@" = %@", r); return r; }
- (void)setToolView:(MMInputToolView *)toolView { %log; %orig; }
- (MMInputToolView *)toolView { %log; MMInputToolView * r = %orig; HBLogDebug(@" = %@", r); return r; }
- (void)setM_updateTimeLabelTimer:(MMTimer *)m_updateTimeLabelTimer { %log; %orig; }
- (MMTimer *)m_updateTimeLabelTimer { %log; MMTimer * r = %orig; HBLogDebug(@" = %@", r); return r; }
- (void)setM_backgroundThreadDelegate:(__weak id <BaseMsgContentInBackgroundThreadDelgate> )m_backgroundThreadDelegate { %log; %orig; }
- (__weak id <BaseMsgContentInBackgroundThreadDelgate> )m_backgroundThreadDelegate { %log; __weak id <BaseMsgContentInBackgroundThreadDelgate> r = %orig; HBLogDebug(@" = 0x%x", (unsigned int)r); return r; }
- (void)setM_delegate:(__weak id <BaseMsgContentDelgate> )m_delegate { %log; %orig; }
- (__weak id <BaseMsgContentDelgate> )m_delegate { %log; __weak id <BaseMsgContentDelgate> r = %orig; HBLogDebug(@" = 0x%x", (unsigned int)r); return r; }

具体来分析一句:

- (_Bool )m_bIsInMainFrame { %log; _Bool r = %orig; HBLogDebug(@" = %d", r); return r; }

其中%log; _Bool r = %orig;表示打印函数的返回值;
r=%orig; 表示r=执行原来的代码得到的返回值。

将hook到的Tweak.xm打包成.deb文件安装到手机

在Mac终端中新建一个deb项目,将hook到的这个Tweak.xm文件,替换这个新deb项目中的Tweak.xm文件。
然后用theos打包并安装到手机中。
关于,如何用thoes打包并安装到手机,请参考我的博客:[iOS HACKING入门]微信注入


注意在打包的时候,可能会出现找不到某个类的提示,这个时候,只需要把这个类从dump出来目标头文件中删除即可,然后重新生成Tweak.xm文件:

~/Desktop/Hacking/WeChat/Headers/BaseMsgContentViewController.h > ~/Desktop/Tweak.x

查看手机日志

安装上一步的deb项目后,手机连Mac,打开Xcode,然后查看设备控制台:

Xcode->Window->Devices
 
[iOS Reverse]logify日志追踪,锁定注入口-控制台查看-LMLPHP
 

进入设备界面,选择刚刚安装了上一步deb包的设备:

 
[iOS Reverse]logify日志追踪,锁定注入口-控制台查看-LMLPHP
 

点击左下个的那个箭头,打开日志控制台:

 
[iOS Reverse]logify日志追踪,锁定注入口-控制台查看-LMLPHP
 

打开控制台:

 
[iOS Reverse]logify日志追踪,锁定注入口-控制台查看-LMLPHP
 

打开微信,进入群聊界面,用另一个手机在这个群里发送一条消息,再次向群里发消息观察手机控制台输出。
可以看到打印了很多东西,这就是刚刚hook出的头文件,在里面注入了NSLog,打印了方法的入参以及返回值:

 
[iOS Reverse]logify日志追踪,锁定注入口-控制台查看-LMLPHP
 

分析日志:

将上一步控制台的日志,全选,粘贴在文本编辑器中,便于分析。
分析发现,有一个方法接收消息的方法被调用了:

addMessageNode: layout: addMoreMsg:

并且就连方法的入参也一起被打印出来了:

 
[iOS Reverse]logify日志追踪,锁定注入口-控制台查看-LMLPHP
 

分析一下参数:
addMessageNode对应的参数是一些键值对:

{
m_uiMesLocalID=26,
m_ui64MesSvrID=3286135181021621546,
m_nsFromUsr=7820056698@chatroom,
m_nsToUsr=av*or~6,
m_uiStatus=4,
type=1,
msgSource="<msgsource>
<silence>0</silence>
<membercount>3</membercount>
</msgsource>"
}

其中type是消息类型,我们用别的手机在这个群里发一个红包,查看控制到日志,找到红包消息的type是:49

 
[iOS Reverse]logify日志追踪,锁定注入口-控制台查看-LMLPHP
 

layout:对应的参数是BOOL类型,值为YES
addMoreMsg:对应的参数也是BOOL类型,值为NO
至此,我们已经锁定了注入入口函数:

addMessageNode: layout: addMoreMsg:

但是,这个不是我们真正要hook的函数!
因为,如果在群聊界面BaseMsgContentViewController中hook这个接收消息的函数,会存在很大的局限性:

为了在聊天列表界面也能抢到红包,接下来再做更加深入的探究。
请关注我的[iOS Hacking]系列文章,将会不定期更新!


作者:CGPointZero
链接:https://www.jianshu.com/p/582edd6e4805
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
05-27 11:29