ios微信自動(dòng)搶紅包(非越獄)
現(xiàn)在微信紅包很流行,尤其在微信群里發(fā)紅包,如果沒(méi)有及時(shí)搶紅包,根本搶不到,于是就想是不是能寫(xiě)個(gè)插件之類(lèi)的實(shí)現(xiàn)自動(dòng)搶紅包呢,經(jīng)過(guò)在網(wǎng)上查詢(xún)資料,實(shí)現(xiàn)了該功能,如下:
微信紅包
前言:最近筆者在研究ios逆向工程,順便拿微信來(lái)練手,在非越獄手機(jī)上實(shí)現(xiàn)了微信自動(dòng)搶紅包的功能。
題外話:此教程是一篇嚴(yán)肅的學(xué)術(shù)探討類(lèi)文章,僅僅用于學(xué)習(xí)研究,也請(qǐng)讀者不要用于商業(yè)或其他非法途徑上,筆者一概不負(fù)責(zé)喲~~
好了,接下來(lái)可以進(jìn)入正題了!
此教程所需要的工具/文件
- yololib
- class-dump
- dumpdecrypted
- iosopendevi
- tools
- openssh(cydia)
- ifile(cydia)
- cycript(cydia)
- command line tools
- xcode
蘋(píng)果開(kāi)發(fā)者證書(shū)或企業(yè)證書(shū)一臺(tái)越獄的iphone
是的,想要實(shí)現(xiàn)在非越獄iphone上達(dá)到自動(dòng)搶紅包的目的,工具用的可能是有點(diǎn)多(工欲善其事必先利其器^_^)。不過(guò),沒(méi)關(guān)系,大家可以按照教程的步驟一步一步來(lái)執(zhí)行,不清楚的步驟可以重復(fù)實(shí)驗(yàn),畢竟天上不會(huì)掉餡餅嘛。
解密微信可執(zhí)行文件(mach-o)
因?yàn)閺腶ppstore下載安裝的應(yīng)用都是加密過(guò)的,所以我們需要用一些工具來(lái)為下載的app解密,俗稱(chēng)砸殼。這樣才能便于后面分析app的代碼結(jié)構(gòu)。
首先我們需要一臺(tái)已經(jīng)越獄的iphone手機(jī)(現(xiàn)在市面上越獄已經(jīng)很成熟,具體越獄方法這里就不介紹了)。然后進(jìn)入cydia,安裝openssh、cycript、ifile(調(diào)試程序時(shí)可以方便地查看日志文件)這三款軟件。
ps:筆者的手機(jī)是iphone 6plus,系統(tǒng)版本為ios9.1。
在電腦上用itunes上下載一個(gè)最新的微信,筆者當(dāng)時(shí)下載的微信版本為6.3.13。下載完后,itunes上會(huì)顯示出已下載的app。
itunes
連上iphone,用itunes裝上剛剛下載的微信應(yīng)用。
打開(kāi)mac的終端,用ssh進(jìn)入連上的iphone(確保iphone和mac在同一個(gè)網(wǎng)段,筆者iphone的ip地址為192.168.8.54)。openssh的root密碼默認(rèn)為alpine。
ssh
接下來(lái)就是需要找到微信的bundle id了,,這里筆者有一個(gè)小技巧,我們可以把iphone上的所有app都關(guān)掉,唯獨(dú)保留微信,然后輸入命令 ps -e
微信bundle id
這樣我們就找到了微信的可執(zhí)行文件wechat的具體路徑了。接下來(lái)我們需要用cycript找出微信的documents的路徑,輸入命令cycript -p wechat
cycript
編譯dumpdecrypted
先記下剛剛我們獲取到的兩個(gè)路徑(bundle和documents),這時(shí)候我們就要開(kāi)始用dumpdecrypted來(lái)為微信二進(jìn)制文件(wechat)砸殼了。
確保我們從github上下載了最新的dumpdecrypted源碼,進(jìn)入dumpdecrypted源碼的目錄,編譯dumpdecrypted.dylib,命令如下:
dumpdecrypted.dylib
這樣我們可以看到dumpdecrypted目錄下生成了一個(gè)dumpdecrypted.dylib的文件。
scp
拷貝dumpdecrypted.dylib到iphone上,這里我們用到scp命令.
scp 源文件路徑 目標(biāo)文件路徑 。具體如下:
scp
開(kāi)始砸殼
dumpdecrypted.dylib的具體用法是:dyld_insert_libraries=/pathfrom/dumpdecrypted.dylib /pathto
dumpdecrypted
這樣就代表砸殼成功了,當(dāng)前目錄下會(huì)生成砸殼后的文件,即wechat.decrypted。同樣用scp命令把wechat.decrypted文件拷貝到電腦上,接下來(lái)我們要正式的dump微信的可執(zhí)行文件了。
dump微信可執(zhí)行文件
從github上下載最新的class-dump源代碼,然后用xcode編譯即可生成class-dump(這里比較簡(jiǎn)單,筆者就不詳細(xì)說(shuō)明了)。
導(dǎo)出微信的頭文件
使用class-dump命令,把剛剛砸殼后的wechat.decrypted,導(dǎo)出其中的頭文件。./class-dump -s -s -h ./wechat.decrypted -o ./header6.3-arm64
導(dǎo)出的頭文件
這里我們可以新建一個(gè)xcode項(xiàng)目,把剛剛導(dǎo)出的頭文件加到新建的項(xiàng)目中,這樣便于查找微信的相關(guān)代碼。
微信的頭文件
找到cmessagemgr.h和wcredenvelopeslogicmgr.h這兩文件,其中我們注意到有這兩個(gè)方法:- (void)asynconaddmsg:(id)arg1 msgwrap:(id)arg2; ,- (void)openredenvelopesrequest:(id)arg1;。沒(méi)錯(cuò),接下來(lái)我們就是要利用這兩個(gè)方法來(lái)實(shí)現(xiàn)微信自動(dòng)搶紅包功能。其實(shí)現(xiàn)原理是,通過(guò)hook微信的新消息函數(shù),我們判斷是否為紅包消息,如果是,我們就調(diào)用微信的打開(kāi)紅包方法。這樣就能達(dá)到自動(dòng)搶紅包的目的了。哈哈,是不是很簡(jiǎn)單,我們一起來(lái)看看具體是怎么實(shí)現(xiàn)的吧。
新建一個(gè)dylib工程,因?yàn)閤code默認(rèn)不支持生成dylib,所以我們需要下載iosopendev,安裝完成后(xcode7環(huán)境會(huì)提示安裝iosopendev失敗,請(qǐng)參考iosopendev安裝問(wèn)題),重新打開(kāi)xcode,在新建項(xiàng)目的選項(xiàng)中即可看到iosopendev選項(xiàng)了。
iosopendev
dylib代碼
選擇cocoa touch library,這樣我們就新建了一個(gè)dylib工程了,我們命名為autogetredenv。
刪除autogetredenv.h文件,修改autogetredenv.m為autogetredenv.mm,然后在項(xiàng)目中加入captainhook.h
因?yàn)槲⑿挪粫?huì)主動(dòng)來(lái)加載我們的hook代碼,所以我們需要把hook邏輯寫(xiě)到構(gòu)造函數(shù)中。
__attribute__((constructor)) static void entry(){ //具體hook方法}
hook微信的asynconaddmsg: msgwrap:方法,實(shí)現(xiàn)方法如下:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
//聲明cmessagemgr類(lèi)chdeclareclass(cmessagemgr);chmethod(2, void, cmessagemgr, asynconaddmsg, id, arg1, msgwrap, id, arg2){ //調(diào)用原來(lái)的asynconaddmsg:msgwrap:方法 chsuper(2, cmessagemgr, asynconaddmsg, arg1, msgwrap, arg2); //具體搶紅包邏輯 //... //調(diào)用原生的打開(kāi)紅包的方法 //注意這里必須為給objc_msgsend的第三個(gè)參數(shù)聲明為nsmutabledictionary,不然調(diào)用objc_msgsend時(shí),不會(huì)觸發(fā)打開(kāi)紅包的方法 ((void (*)(id, sel, nsmutabledictionary*))objc_msgsend)(logicmgr, @selector(openredenvelopesrequest:), params);}__attribute__((constructor)) static void entry(){ //加載cmessagemgr類(lèi) chloadlateclass(cmessagemgr); //hook asynconaddmsg:msgwrap:方法 chclasshook(2, cmessagemgr, asynconaddmsg, msgwrap);} |
項(xiàng)目的全部代碼,(源碼下載地址)。
完成好具體實(shí)現(xiàn)邏輯后,就可以順利生成dylib了。
重新打包微信app
為微信可執(zhí)行文件注入dylib
要想微信應(yīng)用運(yùn)行后,能執(zhí)行我們的代碼,首先需要微信加入我們的dylib,這里我們用到一個(gè)dylib注入神器:yololib,從網(wǎng)上下載源代碼,編譯后得到y(tǒng)ololib。
使用yololib簡(jiǎn)單的執(zhí)行下面一句就可以成功完成注入。注入之前我們先把之前保存的wechat.decrypted重命名為wechat,即已砸完殼的可執(zhí)行文件。
./yololib 目標(biāo)可執(zhí)行文件 需注入的dylib
注入成功后即可見(jiàn)到如下信息:
dylib注入
新建entitlements.plist
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
<?xml version="1.0" encoding="utf-8"?><!doctype plist public "-//apple//dtd plist 1.0//en" "http://www.apple.com/dtds/propertylist-1.0.dtd"><plist version="1.0"><dict> <key>application-identifier</key> <string>123456.com.autogetredenv.demo</string> <key>com.apple.developer.team-identifier</key> <string>123456</string> <key>get-task-allow</key> <true/> <key>keychain-access-groups</key> <array> <string>123456.com.autogetredenv.demo</string> </array></dict></plist> |
這里大家也許不清楚自己的證書(shū)teamid及其他信息,沒(méi)關(guān)系,筆者這里有一個(gè)小竅門(mén),大家可以找到之前用開(kāi)發(fā)者證書(shū)或企業(yè)證書(shū)打包過(guò)的app(例如叫demo),然后在終端中輸入以下命令即可找到相關(guān)信息,命令如下:
./ldid -e ./demo.app/demo
給微信重新簽名
接下來(lái)把我們生成的dylib(libautogetredenv.dylib)、剛剛注入dylib的wechat、以及embedded.mobileprovision文件(可以在之前打包過(guò)的app中找到)拷貝到wechat.app中。
命令格式:codesign -f -s 證書(shū)名字 目標(biāo)文件
ps:證書(shū)名字可以在鑰匙串中找到
分別用codesign命令來(lái)為微信中的相關(guān)文件簽名,具體實(shí)現(xiàn)如下:
重新簽名
打包成ipa
給微信重新簽名后,我們就可以用xcrun來(lái)生成ipa了,具體實(shí)現(xiàn)如下:
xcrun -sdk iphoneos packageapplication -v wechat.app -o ~/wechat.ipa
安裝擁有搶紅包功能的微信
以上步驟如果都成功實(shí)現(xiàn)的話,那么真的就是萬(wàn)事俱備,只欠東風(fēng)了~~~
我們可以使用itools工具,來(lái)為iphone(此iphone device id需加入證書(shū)中)安裝改良過(guò)的微信了。
itools
大工告成!!
好了,我們可以看看hook過(guò)的微信搶紅包效果了~
自動(dòng)搶紅包
項(xiàng)目的全部代碼,(源碼下載地址)。
哈哈,是不是覺(jué)得很爽啊,"媽媽再也不用擔(dān)心我搶紅包了。"。大家如果有興趣可以繼續(xù)hook微信的其他函數(shù),這樣既加強(qiáng)了學(xué)習(xí),又滿(mǎn)足了自己的特(zhuang)殊(bi)需求嘛。
感謝閱讀,希望能幫助到大家,謝謝大家對(duì)本站的支持!
