應用代碼注入

原創 朗清风 2020-06-22 09:28

瞭解了對砸殼應用重簽名之後,發現在一些應用中做了對bundle identifier的校驗,自定的bundle identifer並不能通過校驗,這時候就需要嘗試添加一些代碼了.以下討論接着應用重簽名中QQ的重簽名繼續.

準備

在iOS的應用中,每個應用都會有一個elf(excutable and linkable file)類型的可執行文件,這個文件屬於apple獨有的mach O文件.這個文件保存在xxx.app路徑中,與應用同名.所以自定的代碼和系統函數的調用,都是通過這個文件來進行查找的.通過查看工具(例如MachOView).通過查看工具可以看到文件的內部組織形式:

每一個實現都會有一個路徑,來告訴系統該去哪裏加載這個庫文件的具體實現.所以如果可以將自定義的類庫寫入到這個文件中,系統就會主動加載自定義的實現文件,這樣就有機會對原始的實現做一些自定義的事情.假設你已經瞭解了:

  • Mach O文件的基本組織形式;
  • DYLD的基本工作原理;
  • 瞭解yololib的實現機制.

不瞭解也沒關係,幹就完了.

開始

在之前創建的myQQDemo項目裏,

  • 添加自定義的類庫(這裏使用framework爲例):

取名叫做EWInject.

  • 替換獲取bundle identifier的實現代碼:

創建一個繼承自NSObject的類,hook方法(實現有很多種方法,可以參考動態交換方法實現):

BOOL (*ori_application_didFinishLaunchingWithOptions)(id, SEL,UIApplication *, NSDictionary *);
BOOL ericy_application_didFinishLaunchingWithOptions(id self, SEL _cmd, UIApplication * application, NSDictionary *options) {
    NSDictionary *infoDictionary =  [[NSBundle mainBundle] infoDictionary];
    [infoDictionary setValue:@"com.tencent.mqq" forKey:@"CFBundleIdentifier"];
    ori_application_didFinishLaunchingWithOptions(self, _cmd, application, options);
    NSLog(@"infoDictionary == %@", infoDictionary);
    return true;
}
+ (void)load {
    //替換啓動方法
    NSLog(@"開始進行方法替換");
    Class class = objc_getClass("QQAddressBookAppDelegate");
    SEL sel = sel_registerName("application:didFinishLaunchingWithOptions:");
    Method method = class_getInstanceMethod(class, sel);
    ori_application_didFinishLaunchingWithOptions = (BOOL(*)(id, SEL, UIApplication *,NSDictionary *))method_setImplementation(method, (IMP)ericy_application_didFinishLaunchingWithOptions);
    
}
  • 使用Xcode進行編譯(cmd+B),獲取到生成的EWInject.framework文件,放入QQ.app/Frameworks路徑中;
  • 使用yololib寫入EWInject.framework的實現文件路徑:
yololib  Payload/QQ.app/QQ Frameworks/EWInject.framework/EWInject

不出意外的話,你可以看到:

不放心的話,可以使用

tool -l QQ | grep "EWInject"

或者MackOView進行確認:

  • 退回到QQ.app目錄,對QQ.app進行重新簽名
codesign -fs $certificate QQ.app --entitlements=ent.plist
  • 退回Payload目錄,將整個目錄所有文件壓縮爲QQ.ipa
zip -ry QQ.ipa Payload
  • 使用Xcode安裝到手機.

不出意外的話,就可以正常安裝打開了. 

使用shell腳本重簽名

除了手動進行簽名外,還可以使用Xcode進行一部分工作.這樣的話,QQ.app的簽名就可以由Xcode來完成,減少了手動的工作.大致的步驟如下:

  • 使用Xcode創建一個新的工程,名字隨便取(例如WeChatDemo);
  • 在項目功能文件同級目錄
    • 創建APP文件夾,並將下載的ipa文件放入文件夾中;
    • 將腳本resign.sh放入工程文件同級目錄;
  • 在Target--->XXX--->Build Phases,點擊 "+",選擇 "New Run Script Phases" 創建一個Phases; 

  • 然後在新創建的Phases中;

  • 運行項目到手機.

附腳本代碼

#!/bin/sh

#  Resign.sh
#  WeChat
#
#  Created by Ericydong on 2020/1/7.
#  Copyright © 2020 EricyDong. All rights reserved.

#臨時存放解壓後文件的目錄
TEMP_PATH=${SRCROOT}/Temp
#存放原始ipa文件的目錄
ASSETS_PATH=${SRCROOT}/APP
#原始ipa文件的路徑
TARGET_IPA_PATH=${ASSETS_PATH}/*.ipa
if [ -d $TEMP_PATH ];then
rm -rf $TEMP_PATH
else
mkdir -p $TEMP_PATH
fi

#解壓ipa到Temp文件夾
unzip -oqq $TARGET_IPA_PATH -d $TEMP_PATH
#獲取解壓之後的app文件
TEMP_APP_PATH=`find ./Temp -maxdepth 2 -iname *.app`
echo "HERE $TEMP_APP_PATH"
if [ -d $TEMP_APP_PATH ];then
echo ".app文件存在:$TEMP_APP_PATH"
else
echo ".app不存在,請檢查原始ipa文件是否存在"
exit 0;
fi



#將.app移動到BUILT_PRODUCTS_DIR

TARGET_APP_PATH=$BUILT_PRODUCTS_DIR/${TARGET_NAME}.app
#獲取簽名證書
if [ -z $EXPANDED_CODE_SIGN_IDENTITY ]; then
    echo "$EXPANDED_CODE_SIGN_IDENTITY 變量爲空"
    EXPANDED_CODE_SIGN_IDENTITY=`codesign -d -vv $TARGET_APP_PATH 2>&1 | grep --after-context=1 "Signature size="`
    EXPANDED_CODE_SIGN_IDENTITY=${EXPANDED_CODE_SIGN_IDENTITY##*=}
fi



#拷貝文件中的描述文件進行保存
cp "$TARGET_APP_PATH/embedded.mobileprovision"  "$TARGET_APP_PATH/../embedded.mobileprovision"




rm -rf $TARGET_APP_PATH
cp -rf $TEMP_APP_PATH $TARGET_APP_PATH

#拷貝之前保存的描述文件到文件夾中
cp "$TARGET_APP_PATH/../embedded.mobileprovision" "$TARGET_APP_PATH/embedded.mobileprovision"
##刪除Plugin和Watch中的插件
rm -rf $TARGET_APP_PATH/Watch
rm -rf $TARGET_APP_PATH/PlugIns

#修改bundleidentifier
PlistBuddy -c "Set :CFBundleIdentifier $PRODUCT_BUNDLE_IDENTIFIER" "$TARGET_APP_PATH/Info.plist"

#echo "EXECUTABLE_NAME == $EXECUTABLE_NAME"
#二進制文件添加可執行權限

EXECUTABLE_NAME_REAL=`PlistBuddy -c "Print :CFBundleExecutable" "$TARGET_APP_PATH/Info.plist"`
chmod u+x $TARGET_APP_PATH/$EXECUTABLE_NAME_REAL

#簽名frameworks
TARGET_APP_FRAMEWORKS_PATH=$TARGET_APP_PATH/Frameworks
echo "TARGET_APP_FRAMEWORKS_PATH == $TARGET_APP_FRAMEWORKS_PATH"
if [ -d $TARGET_APP_FRAMEWORKS_PATH ];then
    cd $TARGET_APP_FRAMEWORKS_PATH
    allFrameworks=`ls $TARGET_APP_FRAMEWORKS_PATH`
    for framework in ${allFrameworks[@]}
    do
        codesign -fs "$EXPANDED_CODE_SIGN_IDENTITY" "$framework"
    done
fi

# 5. 添加自定義framework加載
    #獲取可執行文件的名稱
    EXECUTABLEFILE=`PlistBuddy -c "Print :CFBundleExecutable" "$TARGET_APP_PATH/Info.plist"`
#    echo "EXECUTABLEFILE == $EXECUTABLEFILE"
    
yololib  $TARGET_APP_PATH/$EXECUTABLEFILE Frameworks/EWInject.framework/EWInject

注意事項:

  • 腳本中,爲了方便使用,將PlistBuddy,yololib等工具均做了全局配置.如果你不知道相關的工具在本機上否存在,可以使用以下命令進行全局查找,如果查找到了相關文件,只需要將拷貝在/usr/local/bin目錄下即可.如果本機上沒有相關文件,需要進行下載安裝.
find / -iname PlistBuddy -type f
  • 腳本中,如果將新添加的framework名字固定了名字爲EWInject,如果使用了不同的自定義framework名稱,請自行修改代碼.
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Mac 下使用 Shell 批量安裝 app

版權聲明:本文章原創於 RamboPan ,未經允許,請勿轉載。 最近碰到一個情況,就是需要在一個 Android 設備上安裝很多應用,大家開發 Android 的都知道使用 adb install 來執行 Apk 的安裝。

RamboPan 2020-07-07 10:31:04

shell 之 gawk (二) 高級篇

一、內置變量 1、字段和記錄分隔符變量 FIELDWIDTHS   以空格分隔的數字列表,用空格定義每個數據字段的精確寬度 FS  輸入字段的分隔符    (默認空格) RS 輸入記錄的分隔符   (默認換行符) OFS 輸出字段的分隔符

xiatian6032 2020-07-08 10:21:58

script錄製與回放終端會話

 之前上培訓班,老師總是在課上輸入了很多的命令,上課如果記筆記的話,又記不下來~ 老師也沒有用script錄製什麼的~很不好~ 而且那時候也沒有接觸shell,還根本不知道很多基本命令~ 汗~下次上課之前,跟老師們說說,讓他們錄製一下 $

chessloveyou 2020-07-07 20:00:13

40 個實用的 Mac OS X Shell 腳本和終端命令

這裏有一堆的 Mac OS X 下的終端命令,我將這些命令進行了簡單的分類,這裏很多命令在其他系統(Windows、Linux)一樣有效,特別是 Linux/Unix。希望這些命令對你有幫助。   系統   重啓 Mac OS

游戏码头 2020-07-07 14:51:32

Shell-HelloWorld案例

腳本格式: 腳本以#!/bin/bash開頭(指定解析器) 第一個Shell腳本hello world # 新建一個文件 touch helloworld.sh # 編輯該腳本文件 vim helloworld.sh # 寫入以下

TomQuan0820 2020-07-07 04:45:48

Shell-解析器

Shell解析器 在linux操作系統中執行以下命令: sudo cat /etc/shells #會看到以下內容 /bin/sh /bin/bash /sbin/nologin /usr/bin/sh /usr/bin/bash

TomQuan0820 2020-07-07 04:45:48

unzip解壓文件中文亂碼問題的解決方案

linux下解壓縮文件中文亂碼問題的解決原因解決問題: 原因 在windows上壓縮的文件,是以系統默認編碼中文來壓縮文件。由於zip文件中沒有聲明其編碼,所以linux上的unzip一般以默認編碼解壓,中文文件名會出現亂碼。 雖

徊忆羽菲 2020-07-07 03:45:29

解決linux安裝中文字體的方法

解決linux安裝中文字體的方法查看系統字體安裝字體 查看系統字體 在開始安裝之前,我們先查看系統中已經安裝的字體。 要查看系統中已經安裝的字體,我們可以使用fc-list命令進行查看。如果系統中沒有該命令的話,我們需要先安裝相關

徊忆羽菲 2020-07-07 03:45:29

iOS逆向學習四:符號表還原

本文的部分理論支持,節選自這裏:iOS符號表恢復。 前言 符號表歷來是逆向工程中的“必爭之地”,而iOS應用在上線前要裁去符號表,以避免被逆向分析。 這些可以通過配置xcode的編譯選項來達到效果。具體操作請看這:Xcode中和s

Sharon張 2020-07-07 11:12:40

iOS逆向學習三:強大的LLDB

1、強大的lldb 上文我們說到了調試。在iOS逆向中,很多人推薦debugserver + lldb 其實調試只需要lldb就夠了。 debugserver配置的文章有很多,從14年到18年不等,但大部分都過時了。所以我也沒用。

Sharon張 2020-07-07 11:12:40

iOS逆向學習二:實踐篇

1、先定一個小目標:修改查找好友功能 比如,我們想修改的功能是:在查找好友頁面,輸入特定字符串 (如: 0921),然後我們在請求發起之前,改成 “130 xxxx xxxx”,再去進行真實的好友手機號請求。別問我爲什麼hook

Sharon張 2020-07-07 11:12:40

iOS逆向學習一:原理工具篇

1、前言 提到iOS逆向,網上的文章鋪天蓋地,創作時間從2014年到2019年不等。絕大部分的工具或命令都過時了。書籍更不用說。 我剛剛結束了爲期1月的零基礎iOS逆向研究,現已經成功逆向了微信的一些稍複雜邏輯(複雜主要是因爲我想

Sharon張 2020-07-07 11:12:40

App Store審覈失敗,失敗的22個原因。

1、Terms and conditions(法律與條款)  作爲App Store的應用開發者,你必須接受如下條款:Program License Agreement(PLA),Human Interface Guidelines(HI

theFeng- 2020-07-08 07:14:34

ios開發 - Xcode升級後的警告、錯誤的解決辦法

<span style="font-size:24px;">1, 錯誤信息: "_OBJC_CLASS_$ xxxxx ", referenced from: objc-class-ref in ViewContro

theFeng- 2020-07-08 07:14:34

X-code 6中使用iOS7 SDK的方法

從XCODE 5的目錄中: /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs 把iPhoneOS7.1.sdk

theFeng- 2020-07-08 07:14:33