在iOS逆向过程中代码的注入无非是一个最关键的步骤。只有把你的代码注入到别人的代码中才能实现你想实现的目的,才能算实现了逆向。那么怎么才能将自己的代码注入到别人的ipa 里边的?
代码注入原理
众所周知,iOS app 在打包的过程中将代码全部转换成了 可执行文件 Mach - O 文件,所以说我们直接改源码是万万不可能的(除非你拿到的源码,话说你源码都拿到了你还逆向个?)。那么我们可不可以以第三方 lib 的(之前的博客中可以看到 第三方的 lib 是独立的)方式注入呢?必须可以啊!!
那么怎么才能将第三方的lib 注入目标程序呢?这个我们要从二进制文件的结构说起,Mach-O文件的数据主体可分为三大部分,分别是头部(Header)、加载命令(Load commands)、和最终的数据(Data)。mobileloader会在目标程序启动时,会根据指定的规则检查指定目录是否存在第三方库,如果有,则会通过修改二进制的loadCommands,来把自己注入进所有的app当中,然后加载第三方库。
这样就结束了么?远远不是的,到这里我们只是把自己的动态库注入到了目标程序中,但是我们自己写的代码还没有执行的入口,所以我们还是不能搞事情。我们还需要一个”main”函数来执行我们自己的代码,这个”main”函数在oc里面称为构造函数,只要在函数前声明 “attribute((constructor)) static” 即可,这样我们就能搞事情了。
代码注入的方式
上边讲过了可以通过第三方的lib 来实现代码注入,那么第三方的lib怎么才能实现注入呢?下边来讲两种不同的注入方式:Framework 和 dylib:
一下两种注入的前提是先实现代码的重签名,具体方式可参照:iOS非越狱逆向– ipa重签名
通过 Framework 实现代码注入
- 创建一个framework 文件 并将这个文件添加引用
创建一个FrameWork文件
创建CopyFiles文件
导入创建的FrameWork文件, Destination属性 改为FrameWorks
- 在 framework中添加一个要注入的代码
- 在 + load 方法中实现你需要实现的方法
创建需要注入的代码文件,并在 + load 方法中需要实现的方法
- 编译之后找到 可行性文件 Mach - O ‘Products –> xxxx.app(show in Finder) – > 显示包内容’
- 增加 Mach - O 文件的执行权限:
chmod +x WeChat (微信为例)
更改 Mach - O 文件 (将自己写的framework 加入到 Mach - O中)
yololib WeChat Frameworks/自定义Framework文件名.framework/自定义Framework文件名重新打包 Payload 文件 可以直接压缩重新命名为 .ipa 格式
zip -ry WeChat.ipa Payload将ipa 包放到 APP 文件夹中 编译运行 Bingo
通过 dylib 实现代码注入
其实dylib 的注入方式几乎一样,无非就是创建个lib 然后添加到 targets 里边然后命令行注入,但是使用 dylib 需要设置几个权限属性,因为iOS 现在默认不支持 dylib 了需要手动设置属性。
- 创建一个 dylib 文件 并将这个文件添加引用
添加文件的方法参考 FrameWork 的引入的方法
- 修改 dulib 的Base SDK 属性和 Signing 属性
设置Base SDK 属
设置 Signing 属性
编译 执行注入命令
编译之后找到 可行性文件 Mach - O ‘Products –> xxxx.app(show in Finder) – > 显示包内容’
- 增加 Mach - O 文件的执行权限:
chmod +x WeChat (微信为例)
更改 Mach - O 文件 (将自己写的framework 加入到 Mach - O中)
yololib WeChat Frameworks/libxxxxx.dylib
编译运行 Bingo
脚本修改
为了以后能更方便的执行代码的注入 现将之前的脚本修改下
想了解之前脚本(代码重签名)的可以参考 iOS非越狱逆向 – ipa 重签名
# ${SRCROOT} 它是工程文件所在的目录
TEMP_PATH="${SRCROOT}/Temp"
#资源文件夹
ASSETS_PATH="${SRCROOT}/APP"
#ipa包路径
TARGET_IPA_PATH="${ASSETS_PATH}/*.ipa"
#新建Temp文件夹
rm -rf "${SRCROOT}/Temp"
mkdir -p "${SRCROOT}/Temp"
#----------------------------------------
# 1. 解压IPA到Temp下
unzip -oqq "$TARGET_IPA_PATH" -d "$TEMP_PATH"
# 拿到解压的临时的APP的路径
TEMP_APP_PATH=$(set -- "$TEMP_PATH/Payload/"*.app;echo "$1")
# echo "路径是:$TEMP_APP_PATH"
#----------------------------------------
# 2. 将解压出来的.app拷贝进入工程下
# BUILT_PRODUCTS_DIR 工程生成的APP包的路径
# TARGET_NAME target名称
TARGET_APP_PATH="$BUILT_PRODUCTS_DIR/$TARGET_NAME.app"
echo "app路径:$TARGET_APP_PATH"
rm -rf "$TARGET_APP_PATH"
mkdir -p "$TARGET_APP_PATH"
cp -rf "$TEMP_APP_PATH/" "$TARGET_APP_PATH"
#----------------------------------------
# 3. 删除extension和WatchAPP.个人证书没法签名Extention
rm -rf "$TARGET_APP_PATH/PlugIns"
rm -rf "$TARGET_APP_PATH/Watch"
#----------------------------------------
# 4. 更新info.plist文件 CFBundleIdentifier
# 设置:"Set : KEY Value" "目标文件路径"
/usr/libexec/PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"
#----------------------------------------
# 5. 给MachO文件上执行权限
# 拿到MachO文件的路径
APP_BINARY=`plutil -convert xml1 -o - $TARGET_APP_PATH/Info.plist|grep -A1 Exec|tail -n1|cut -f2 -d\>|cut -f1 -d\<`
#上可执行权限
chmod +x "$TARGET_APP_PATH/$APP_BINARY"
#----------------------------------------
# 6. 重签名第三方 FrameWorks
TARGET_APP_FRAMEWORKS_PATH="$TARGET_APP_PATH/Frameworks"
if [ -d "$TARGET_APP_FRAMEWORKS_PATH" ];
then
for FRAMEWORK in "$TARGET_APP_FRAMEWORKS_PATH/"*
do
#签名
/usr/bin/codesign --force --sign "$EXPANDED_CODE_SIGN_IDENTITY" "$FRAMEWORK"
done
fi
# -------------------在之前脚本后边添加以下脚本--------------------------------
# 7. 注入我们编写的动态库
echo "开始注入"
# 需要注入的动态库的路径 可以固定 也可以自己随工程修改
INJECT_FRAMEWORK_RELATIVE_PATH="Frameworks/libLinkHook.dylib"
#
## 通过工具实现注入
yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_RELATIVE_PATH"
echo "注入完成"
特别鸣谢: