一步一步實現iOS微信自動搶紅包(非越獄)

發表於2016-04-04

iOS

微信紅包

前言：最近筆者在研究iOS逆向工程，順便拿微信來練手，在非越獄手機上實現了微信自動搶紅包的功能。

題外話：此教程是一篇嚴肅的學術探討類文章，僅僅用於學習研究，也請讀者不要用於商業或其他非法途徑上，筆者一概不負責喲~~

好了，接下來可以進入正題了！

此教程所需要的工具/檔案

yololib
class-dump
dumpdecrypted
iOSOpenDev
iTools
OpenSSH(Cydia)
iFile(Cydia)
Cycript(Cydia)
Command Line Tools
Xcode
蘋果開發者證書或企業證書
一臺越獄的iPhone

是的，想要實現在非越獄iPhone上達到自動搶紅包的目的，工具用的可能是有點多（工欲善其事必先利其器^_^）。不過，沒關係，大家可以按照教程的步驟一步一步來執行，不清楚的步驟可以重複實驗，畢竟天上不會掉餡餅嘛。

解密微信可執行檔案(Mach-O)

因為從Appstore下載安裝的應用都是加密過的，所以我們需要用一些工具來為下載的App解密，俗稱砸殼。這樣才能便於後面分析App的程式碼結構。

首先我們需要一臺已經越獄的iPhone手機(現在市面上越獄已經很成熟，具體越獄方法這裡就不介紹了)。然後進入Cydia，安裝OpenSSH、Cycript、iFile(除錯程式時可以方便地檢視日誌檔案)這三款軟體。

PS：筆者的手機是iPhone 6Plus，系統版本為iOS9.1。

在電腦上用iTunes上下載一個最新的微信，筆者當時下載的微信版本為6.3.13。下載完後，iTunes上會顯示出已下載的app。

iTunes

連上iPhone，用iTunes裝上剛剛下載的微信應用。

開啟Mac的終端，用ssh進入連上的iPhone(確保iPhone和Mac在同一個網段，筆者iPhone的IP地址為192.168.8.54)。OpenSSH的root密碼預設為alpine。

ssh

接下來就是需要找到微信的Bundle id了，，這裡筆者有一個小技巧，我們可以把iPhone上的所有App都關掉，唯獨保留微信，然後輸入命令 ps -e

微信bundle id

這樣我們就找到了微信的可執行檔案Wechat的具體路徑了。接下來我們需要用Cycript找出微信的Documents的路徑，輸入命令cycript -p WeChat

cycript

編譯dumpdecrypted
先記下剛剛我們獲取到的兩個路徑(Bundle和Documents)，這時候我們就要開始用dumpdecrypted來為微信二進位制檔案(WeChat)砸殼了。
確保我們從Github上下載了最新的dumpdecrypted原始碼，進入dumpdecrypted原始碼的目錄，編譯dumpdecrypted.dylib，命令如下:

dumpdecrypted.dylib

這樣我們可以看到dumpdecrypted目錄下生成了一個dumpdecrypted.dylib的檔案。

scp
拷貝dumpdecrypted.dylib到iPhone上，這裡我們用到scp命令.
scp 原始檔路徑目標檔案路徑 。具體如下：

scp

開始砸殼
dumpdecrypted.dylib的具體用法是：DYLD_INSERT_LIBRARIES=/PathFrom/dumpdecrypted.dylib /PathTo

dumpdecrypted

這樣就代表砸殼成功了，當前目錄下會生成砸殼後的檔案，即WeChat.decrypted。同樣用scp命令把WeChat.decrypted檔案拷貝到電腦上,接下來我們要正式的dump微信的可執行檔案了。

dump微信可執行檔案

從Github上下載最新的class-dump原始碼，然後用Xcode編譯即可生成class-dump(這裡比較簡單，筆者就不詳細說明了)。
匯出微信的標頭檔案
使用class-dump命令,把剛剛砸殼後的WeChat.decrypted,匯出其中的標頭檔案。./class-dump -s -S -H ./WeChat.decrypted -o ./header6.3-arm64

匯出的標頭檔案

這裡我們可以新建一個Xcode專案，把剛剛匯出的標頭檔案加到新建的專案中，這樣便於查詢微信的相關程式碼。

微信的標頭檔案

找到CMessageMgr.h和WCRedEnvelopesLogicMgr.h這兩檔案，其中我們注意到有這兩個方法：- (void)AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2; ，- (void)OpenRedEnvelopesRequest:(id)arg1;。沒錯，接下來我們就是要利用這兩個方法來實現微信自動搶紅包功能。其實現原理是，通過hook微信的新訊息函式，我們判斷是否為紅包訊息，如果是，我們就呼叫微信的開啟紅包方法。這樣就能達到自動搶紅包的目的了。哈哈，是不是很簡單，我們一起來看看具體是怎麼實現的吧。

新建一個dylib工程，因為Xcode預設不支援生成dylib，所以我們需要下載iOSOpenDev，安裝完成後(Xcode7環境會提示安裝iOSOpenDev失敗，請參考iOSOpenDev安裝問題)，重新開啟Xcode，在新建專案的選項中即可看到iOSOpenDev選項了。

iOSOpenDev

dylib程式碼
選擇Cocoa Touch Library，這樣我們就新建了一個dylib工程了，我們命名為autoGetRedEnv。

刪除autoGetRedEnv.h檔案，修改autoGetRedEnv.m為autoGetRedEnv.mm，然後在專案中加入CaptainHook.h

因為微信不會主動來載入我們的hook程式碼，所以我們需要把hook邏輯寫到建構函式中。

__attribute__((constructor)) static void entry()
{
  //具體hook方法
}

__attribute__((constructor)) static void entry()

{

//具體hook方法

}

hook微信的AsyncOnAddMsg: MsgWrap:方法，實現方法如下：

//宣告CMessageMgr類
CHDeclareClass(CMessageMgr);
CHMethod(2, void, CMessageMgr, AsyncOnAddMsg, id, arg1, MsgWrap, id, arg2)
{
  //呼叫原來的AsyncOnAddMsg:MsgWrap:方法
  CHSuper(2, CMessageMgr, AsyncOnAddMsg, arg1, MsgWrap, arg2);
  //具體搶紅包邏輯
  //...
  //呼叫原生的開啟紅包的方法
  //注意這裡必須為給objc_msgSend的第三個引數宣告為NSMutableDictionary,不然呼叫objc_msgSend時，不會觸發開啟紅包的方法
  ((void (*)(id, SEL, NSMutableDictionary*))objc_msgSend)(logicMgr, @selector(OpenRedEnvelopesRequest:), params);
}
__attribute__((constructor)) static void entry()
{
  //載入CMessageMgr類
  CHLoadLateClass(CMessageMgr);
  //hook AsyncOnAddMsg:MsgWrap:方法
  CHClassHook(2, CMessageMgr, AsyncOnAddMsg, MsgWrap);
}

//宣告CMessageMgr類

CHDeclareClass(CMessageMgr);

CHMethod(2, void, CMessageMgr, AsyncOnAddMsg, id, arg1, MsgWrap, id, arg2)

{

//呼叫原來的AsyncOnAddMsg:MsgWrap:方法

CHSuper(2, CMessageMgr, AsyncOnAddMsg, arg1, MsgWrap, arg2);

//具體搶紅包邏輯

//...

//呼叫原生的開啟紅包的方法

//注意這裡必須為給objc_msgSend的第三個引數宣告為NSMutableDictionary,不然呼叫objc_msgSend時，不會觸發開啟紅包的方法

((void (*)(id, SEL, NSMutableDictionary*))objc_msgSend)(logicMgr, @selector(OpenRedEnvelopesRequest:), params);

}

__attribute__((constructor)) static void entry()

{

//載入CMessageMgr類

CHLoadLateClass(CMessageMgr);

//hook AsyncOnAddMsg:MsgWrap:方法

CHClassHook(2, CMessageMgr, AsyncOnAddMsg, MsgWrap);

}

專案的全部程式碼，筆者已放入Github中。

完成好具體實現邏輯後，就可以順利生成dylib了。

重新打包微信App

為微信可執行檔案注入dylib
要想微信應用執行後，能執行我們的程式碼，首先需要微信加入我們的dylib，這裡我們用到一個dylib注入神器:yololib，從網上下載原始碼，編譯後得到yololib。
使用yololib簡單的執行下面一句就可以成功完成注入。注入之前我們先把之前儲存的WeChat.decrypted重新命名為WeChat，即已砸完殼的可執行檔案。
./yololib 目標可執行檔案需注入的dylib
注入成功後即可見到如下資訊：

dylib注入

新建Entitlements.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
  <key>application-identifier</key>
  <string>123456.com.autogetredenv.demo</string>
  <key>com.apple.developer.team-identifier</key>
  <string>123456</string>
  <key>get-task-allow</key>
  <true/>
  <key>keychain-access-groups</key>
  <array>
      <string>123456.com.autogetredenv.demo</string>
  </array>
</dict>
</plist>

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

<dict>

<key>application-identifier</key>

<string>123456.com.autogetredenv.demo</string>

<key>com.apple.developer.team-identifier</key>

<key>get-task-allow</key>

<true/>

<key>keychain-access-groups</key>

<array>

<string>123456.com.autogetredenv.demo</string>

</array>

</dict>

</plist>

這裡大家也許不清楚自己的證書Teamid及其他資訊，沒關係，筆者這裡有一個小竅門，大家可以找到之前用開發者證書或企業證書打包過的App(例如叫Demo)，然後在終端中輸入以下命令即可找到相關資訊，命令如下：
./ldid -e ./Demo.app/demo

給微信重新簽名
接下來把我們生成的dylib(libautoGetRedEnv.dylib)、剛剛注入dylib的WeChat、以及embedded.mobileprovision檔案(可以在之前打包過的App中找到)拷貝到WeChat.app中。
命令格式：codesign -f -s 證書名字目標檔案

PS:證書名字可以在鑰匙串中找到

分別用codesign命令來為微信中的相關檔案簽名,具體實現如下：

重新簽名
打包成ipa
給微信重新簽名後，我們就可以用xcrun來生成ipa了，具體實現如下：
xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa