iOS逆向工程(十二):微信自动抢红包实战(方法一)
前言
基础知识都学完了,我们来实战一下微信自动抢红包的功能,最终实现的效果就是给微信增加一个开关,用来控制自动抢红包功能的开启,并且安装到非越狱手机上。
为了更清晰的展示逆向的过程,除了签名之外,其他的步骤尽量都用原生的工具去给大家展示 ,所以流程会比较繁琐,如果想省事的话,请直接看方法二,方法二里用的工具都高度封装好了,会非常省事
方法一用的Hook语法是:Logos语法 (想在Xcode的.xm文件中打断点,需要在右侧,更改type为Objective-C Source)
方法一用的主要工具是Hopper Disassembler、命令行的LLDB
一、逆向的整个流程
-
- 工具准备
-
硬件设备:一台Mac电脑、一台越狱手机
-
查看UI层级工具:
FLEXLoader,FLEXLoader在Cydia中直接搜索安装即可,需要在设置里开启(或者Cycript、Reveal) -
脱壳工具:frida-ios-dump一键脱壳
-
导出头文件工具:class-dump
-
反编译工具(静态分析):Hopper Disassembler (或者 MachOView、IDA)
-
动态调试工具:命令行LLDB + DebugServer (或者
Xcode的LLDB + DebugServer) -
签名工具:MonkeyDev (或者
codesign命令+ios-app-signer) -
辅助工具:
iFunBox、OpenSSH、Cydia
-
分析微信界面,使用
FLEXLoader分析微信的界面层级,或者用Cycript、Reveal,Cycript可以以文字的形式查看层级结构,Reveal可以以3D的视角查看层级结构,FLEXLoader可以在手机上查看UI层级 (如何使用这些工具请看这里)
-
分析微信界面,使用
- 脱壳,使用frida-ios-dump一键脱壳,拿到脱壳后的微信可执行文件(可执行文件是什么,内部放了什么,请看这里)
-
导出头文件,脱壳之后,使用
class-dump,导出微信的头文件,以便后续分析(如何使用class-dump请看这里)
-
导出头文件,脱壳之后,使用
- 静态分析,脱壳之后,使用MachOView、IDA 或者 Hopper Disassembler分析微信的可执行文件
-
动态调试,通过分析微信界面,找到聊天界面的类,通过
logify.pl,让此类的所有方法都打印参数和返回值,根据打印结果,找出与红包相关的类,通过打断点、看函数调用栈,逐步找出收到红包消息、打开红包的整个流程 (如何动态调试,请看这里;如何打断点,请看这里)
-
动态调试,通过分析微信界面,找到聊天界面的类,通过
-
编写逆向代码,根据动态调试的结果,使用 Logos语法,去
hook消息类和红包类,当收到红包消息时,自动调用抢红包的方法,以达到自动抢红包的目的 (如何使用Logos语法,请看这里)
-
编写逆向代码,根据动态调试的结果,使用 Logos语法,去
-
签名并安装到非越狱手机,使用
Xcode+ MonkeyDev ,给Framework、dylib、AppExtension、WatchApp、WeChat.app包重新签名,并安装到非越狱的手机上,此过程MonkeyDev已经帮我们封装好了,和Xcode正常开发项目基本一致,详情可以查看MonkeyDev官方文档
-
签名并安装到非越狱手机,使用
我们把主要精力放在动态调试和编写逆向代码即可,其他步骤都是固定死的,按部就班来即可。
二、动态调试微信,分析收到红包消息的流程
下面的过程其实非常简单,就是找到聊天界面对应的类,打印出此类的函数调用流程,找到与消息处理有关的类,分析出处理消息的函数,找到红包消息的消息类型
-
1 .在越狱手机上安装
FLEXLoader,查看微信聊天界面的类名BaseMsgContentViewController,在class-dump导出的头文件里面寻找此类,并用logify.pl xx.h > xx.xm命令,让BaseMsgContentViewController类的所有方法打印参数和返回值
微信聊天界面UI层级.png
-
2 .打开微信聊天界面,接受一个红包消息,通过Mac上的控制台APP,查看
BaseMsgContentViewController类的打印结果,发现每次接受消息都会走- (void)addMessageNode:(id)arg1 layout:(_Bool)arg2 addMoreMsg:(_Bool)arg3方法,给这个方法打断点,分析函数调用栈,想打断点,需要找到这个函数的基地址,还有ASLR偏移地址
image.png
- (1)开启动态调试,进入
lldb环境,先找到ASLR的偏移地址,如下所示,本次加载的ASLR偏移地址是0x2c28000
- (1)开启动态调试,进入
在Mac上打开命令行窗口,让10011端口与10011端口映射、10010与22端口映射
`$ sh usb.sh`
在Mac上新建命令行窗口,然后SSH登陆到手机
`$ sh login.sh`
登录到手机后,启动手机的debugserver服务,让其与App建立交互
`iPhone7ceshiji:~ root# debugserver 127.0.0.1:10011 -a WeChat`
在Mac上新建命令行窗口,进入lldb工具,并且让LLDB与debugserver建立交互
`$ lldb`
`(lldb) process connect connect://localhost:10011`
使用LLDB命令c,先让程序继续运行
`(lldb) c`
使用LLDB命令image list -o -f | grep Mach-O文件名称,查看本次的ASLR偏移量
(lldb) image list -o -f | grep WeChat
结果是:0x0000000002c28000 /private/var/containers/Bundle/Application/F8A60B41-E821-4F80-94F8-E45B7D5EB7B2/WeChat.app/WeChat(0x0000000102c28000)
-
(2)用Hopper Disassembler打开微信的可执行文件,搜索
- (void)addMessageNode:(id)arg1 layout:(_Bool)arg2 addMoreMsg:(_Bool)arg3方法名称,找到函数的基地址,基地址是0x100e41984
函数基地址.png
-
(3)在
lldb环境中,使用LLDB指令breakpoint set -a 函数地址打断点,这里的函数地址指的是虚拟内存中的真实函数地址,是ASLR偏移量+静态分析的函数基地址
(lldb) breakpoint set -a 0x100e41984+0x2c28000
-
3 .打完断点之后,发送一条微信消息,程序就会暂停,进入到
lldb环境中,使用bt命令,查看addMessageNode函数调用栈,由于没有符号表,所以不会像Xcode一样给出具体的方法名称,需要我们自己找,这里的函数地址都是虚拟内存中的真正的函数地址,减去ASLR偏移地址,才是函数的基地址
* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.1
* frame #0: 0x0000000103a69984 WeChat`___lldb_unnamed_symbol47595$$WeChat
frame #1: 0x0000000111e9c008 WeChatTest.dylib`_logos_method$_ungrouped$BaseMsgContentViewController$addMessageNode$layout$addMoreMsg$(self=0x000000010eb56800, _cmd="addMessageNode:layout:addMoreMsg:", arg1=0x0000000125569600, arg2=true, arg3=false) at BaseMsgContentViewController.xm:375:362
frame #2: 0x00000001030643f8 WeChat`___lldb_unnamed_symbol15009$$WeChat + 460
frame #3: 0x0000000104b24228 WeChat`___lldb_unnamed_symbol100217$$WeChat + 356
frame #4: 0x0000000102c42538 WeChat`___lldb_unnamed_symbol239$$WeChat + 476
frame #5: 0x0000000102ce775c WeChat`___lldb_unnamed_symbol1834$$WeChat + 552
frame #6: 0x00000001a507f22c Foundation`__NSThreadPerformPerform + 232
frame #7: 0x00000001a4c14a00 CoreFoundation`__CFRUNLOOP_IS_CALLING_OUT_TO_A_SOURCE0_PERFORM_FUNCTION__ + 24
frame #8: 0x00000001a4c14958 CoreFoundation`__CFRunLoopDoSource0 + 80
frame #9: 0x00000001a4c140f0 CoreFoundation`__CFRunLoopDoSources0 + 180
frame #10: 0x00000001a4c0f23c CoreFoundation`__CFRunLoopRun + 1080
frame #11: 0x00000001a4c0eadc CoreFoundation`CFRunLoopRunSpecific + 464
frame #12: 0x00000001aeb94328 GraphicsServices`GSEventRunModal + 104
frame #13: 0x00000001a8d09ae0 UIKitCore`UIApplicationMain + 1936
frame #14: 0x0000000102e35910 WeChat`___lldb_unnamed_symbol7084$$WeChat + 492
frame #15: 0x00000001a4a98360 libdyld.dylib`start + 4
-
虚拟内存中的函数地址-ASLR偏移地址=基地址,分别拿到
上述frame的基地址,一一去Hopper中查找,按G键,跳转到指定地址,查看这个地址对应的函数,如下所示:
'函数基地址 = 虚拟内存中的函数地址 - ASLR偏移地址
frame #0 = 0x0000000103a69984 - 0x2c28000 = 0x100E41984
frame #1 = 0x0000000111e9c008 - 0x2c28000 = 0x10F274008
frame #2 = 0x00000001030643f8 - 0x2c28000 = 0x10043C3F8
frame #3 = 0x0000000104b24228 - 0x2c28000 = 0x101EFC228
frame #4 = 0x0000000102c42538 - 0x2c28000 = 0x10001A538
’在Hopper中,按G键,跳转到指定地址,查看这个地址对应的函数
frame #0:[BaseMsgContentViewController addMessageNode:layout:addMoreMsg:]
frame #1:[BaseMsgContentLogicController DidAddMsg:]
frame #2:[BaseMsgContentLogicController OnAddMsg:MsgWrap:]
frame #3:MMCommon`_callExtension + 480 //扩展函数,排除
frame #4:[CMessageMgr MainThreadNotifyToExt:]
-
4 .每次收到微信消息,就会调用
(void)addMessageNode:(id)arg1 layout:(_Bool)arg2 addMoreMsg:(_Bool)arg3方法,而这个方法又会调用[CMessageMgr MainThreadNotifyToExt:]方法,通过观察类名,我们可以判断出,CMessageMgr类,就是处理消息的类,使用logify.pl xx.h > xx.xm命令,让CMessageMgr类的所有方法打印参数和返回值,进行观察 -
5 .经过观察,我们发现,
CMessageMgr类最终又会去调用本类中的-(void)AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2方法去处理消息,我们对此方法进行hook,如下所示,经过多次发送消息,可以得知,红包消息的Type=49
%hook CMessageMgr
-(void)AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2{
NSLog(@"AsyncOnAddMsg的第一个参数 = %@ , 第二个参数 = %@", arg1, arg2);
NSLog(@"AsyncOnAddMsg的第一个参数的类型 = %@ , 第二个参数的类型 = %@", [arg1 class], [arg2 class]);
%orig;
}
%end
打印结果是:
AsyncOnAddMsg的第一个参数 = 17385678347@chatroom , 第二个参数 = {m_uiMesLocalID=2066, m_ui64MesSvrID=7603262124305168898, m_nsFromUsr=17385678347@chatroom, m_nsToUsr=wxi*l21~19, m_uiStatus=3, type=47, createTime=1590045768 msgSource="<msgsource><sequence_id>695455296</sequence_id>
<silence>1</silence>
<membercount>484</membercount>
</msgsource>
"}
AsyncOnAddMsg的第一个参数的类型 = __NSCFString , 第二个参数的类型 = CMessageWrap
总结一下:上述过程其实非常简单,就是找到聊天界面对应的类BaseMsgContentViewController,打印出此类的函数调用流程,发现发送消息时,会调用- (void)addMessageNode:(id)arg1 layout:(_Bool)arg2 addMoreMsg:(_Bool)arg3方法,而addMessageNode是被[CMessageMgr MainThreadNotifyToExt:]方法调用的,通过打印追踪,又发现MainThreadNotifyToExt被[CMessageMgr AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2]调用的 ,hook此方法,找出红包消息类型,调用流程如下所示:
微信发送/接受消息时:
先调用这个:[CMessageMgr AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2]
->
再调用这个:[CMessageMgr MainThreadNotifyToExt:]
->
再调用这个:[BaseMsgContentViewController addMessageNode:(id)arg1 layout:(_Bool)arg2 addMoreMsg:(_Bool)arg3:]
三、动态调试微信,分析抢红包的流程
接收消息的方法已经找到了,接下来只需要在接受消息的方法里,调用抢红包的方法,就可以实现自动抢红包了
-
1 .使用
FLEXLoader,找到抢红包的View是WCRedEnvelopesReceiveHomeView,使用logify.pl,打印函数调用流程,发现会调用OnOpenRedEnvelopes函数 -
2 .那么
OnOpenRedEnvelopes函数内部究竟做了什么呢?我们就需要查看汇编代码了,使用Hopper打开WeChat可执行文件,搜索函数[WCRedEnvelopesReceiveHomeView OnOpenRedEnvelopes],就可以看到如下汇编代码,发现内部调用了WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes方法,给这三个方法都打上断点,调试发现其调用了
[WCRedEnvelopesReceiveControlLogic WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes]方法
image.png
-
3 .通过
Hopper查看[WCRedEnvelopesReceiveControlLogic WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes]方法的伪代码,如下所示,可以得知,这个方法拼接了抢红包所需的参数,并且通过[[MMServiceCenter defaultCenter] getService: "WCPayLogicMgr"],获取了WXPayLogicMgr的实例对象,并调用[WCPayLogicMgr checkHongbaoOpenLicense:acceptCallback:denyCallback:]方法
WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes的伪代码1.png
WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes的伪代码2
WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes的伪代码3.png
-
3 .我们继续用Hopper查看
[WCPayLogicMgr的 checkHongbaoOpenLicense:acceptCallback:denyCallback:]方法的汇编代码,并对此方法进行hook,发现微信为了防止逆向,特意做了消息转发,在acceptCallback中,把消息转发给了[WASearchFromGlobalProxy的 onOpenWeAppPage:]方法,然后在这个方法内部又调用了[WCRedEnvelopesLogicMgr的 OpenRedEnvelopesRequest:]方法
微信做了消息转发
onOpenWeAppPage内部调用了OpenRedEnvelopesRequest.png
-
4 .从上面的分析,我们知道了抢红包最终会调用
[WCRedEnvelopesLogicMgr的 OpenRedEnvelopesRequest:]方法,那么可不可以在接收到红包消息后,直接调用这个方法呢,答案是不可以,因为通过打印了这个方法的参数,我们可以得知,想要安全的调用这个参数必须凑齐以下参数,而在收到消息的[CMessageMgr AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2]方法里,是无法获取到timingIdentifier参数的,所以我们得想办法获取到timingIdentifier,然后在调用[WCRedEnvelopesLogicMgr的 OpenRedEnvelopesRequest:]
image.png
-
5 .我们通过
logify.pl打印出来WCRedEnvelopesLogicMgr所有方法的调用,发现每次抢红包时,都会走以下流程,通过观察类名,我们大致可以判断出,每次抢红包,会先发起查询红包请求,然后得到红包返回的CommonResponse,然后再去发起打开红包请求,所以可以判断出timingIdentifier参数应该在OnWCToHongbaoCommonResponse返回过来的
抢红包时,WCRedEnvelopesLogicMgr类的调用顺序:
ReceiverQueryRedEnvelopesRequest
GetHongbaoBusinessRequest
OnWCToHongbaoCommonResponse
OpenRedEnvelopesRequest
GetHongbaoBusinessRequest
OnWCToHongbaoCommonResponse
addReceiveSystemMsgWithDic
-
6 .通过上述动态分析,我们大致可以得出以下逆向逻辑,分为两步:
-
第一步:首先在收到红包消息的
[CMessageMgr的 AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2]方法中,调用[WCRedEnvelopesLogicMgr的 ReceiverQueryRedEnvelopesRequest]去发起查询红包的请求 -
第二步:然后在
[WCRedEnvelopesLogicMgr的 OnWCToHongbaoCommonResponse]回调方法中,拿到timingIdentifier参数,与其他参数拼接在一起后,再调用[WCRedEnvelopesLogicMgr的 OpenRedEnvelopesRequest]方法
-
总结一下:逆向工程的最核心的地方就是动态调试分析逻辑的过程,这一步做完,剩下写代码反而是最简单的一个环节了
四、根据动态调试的结果,编写逆向代码
- 安装好MonkeyDev后,使用
Xcode新建一个MonkeyApp项目,项目名称叫做:WXTweak,将脱壳后的微信ipa文件,拖入TargetApp文件夹
- 安装好MonkeyDev后,使用
- 在
WXTweakDylib.xm中使用 Logos语法,对接受消息的方法和得到红包的通用响应的方法进行Hook
- 在
- 仿照
[WCRedEnvelopesReceiveControlLogic的 WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes]中获取参数的伪代码,在接收消息的[CMessageMgr的 AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2]中进行拼接,然后调用[WCRedEnvelopesLogicMgr的 ReceiverQueryRedEnvelopesRequest]去发起查询红包的请求,如下所示:
- 仿照
%hook CMessageMgr
- (void)AsyncOnAddMsg:(NSString *)msg MsgWrap:(id)wrap {
%orig;
CMessageWrap * wrap1 = wrap;
NSInteger uiMessageType = [wrap1 m_uiMessageType];
if (uiMessageType == 49){
//收到红包消息
NSString *nsFromUsr = [wrap m_nsFromUsr];
WCPayInfoItem *payInfoItem = [wrap m_oWCPayInfoItem];
if (payInfoItem == nil){
return;
}
NSString * m_c2cNativeUrl = [payInfoItem m_c2cNativeUrl];
if (m_c2cNativeUrl == nil){
NSLog(@"m_c2cNativeUrl是nil !!!!!!!!!");
return;
}
NSInteger length = [@"wxpay://c2cbizmessagehandler/hongbao/receivehongbao?" length];
NSString *subString = [m_c2cNativeUrl substringFromIndex: length];
NSDictionary *dict = [%c(WCBizUtil) dictionaryWithDecodedComponets:subString separator:@"&"];
NSMutableDictionary *mutableDict = [NSMutableDictionary dictionary];
[mutableDict setObject:@"1" forKey:@"msgType"];
NSString *sendId = dict[@"sendid"];
[mutableDict safeSetObject:sendId forKey:@"sendId"];
NSString *channelId = dict[@"channelid"];
[mutableDict safeSetObject:channelId forKey:@"channelId"];
CContactMgr *service = [[%c(MMServiceCenter) defaultCenter] getService:[%c(CContactMgr) class]];
CContact *contact = [service getSelfContact];
NSString *displayName = [contact getContactDisplayName];
[mutableDict safeSetObject:displayName forKey:@"nickName"];
NSString *headerImg = [contact m_nsHeadImgUrl];
[mutableDict safeSetObject:headerImg forKey:@"headImg"];
id nativeUrl = [payInfoItem m_c2cNativeUrl];
[mutableDict safeSetObject:nativeUrl forKey:@"nativeUrl"];
MMMsgLogicManager *logicManager = [[%c(MMServiceCenter) defaultCenter] getService:[%c(MMMsgLogicManager) class]];
BaseMsgContentLogicController *logicController = [logicManager GetCurrentLogicController];
id m_contact = [logicController m_contact];
id sessionUserName = [m_contact m_nsUsrName];
[mutableDict safeSetObject:sessionUserName forKey:@"sessionUserName"];
if ([nsFromUsr hasSuffix:@"@chatroom"]){
//群红包
[mutableDict safeSetObject:@"0" forKey:@"inWay"]; //0:群聊,1:单聊
}else {
//个人红包
[mutableDict safeSetObject:@"1" forKey:@"inWay"]; //0:群聊,1:单聊
}
[mutableDict safeSetObject:@"0" forKey:@"agreeDuty"];
if (sendId.length > 0) {
SPRedParameter *redParameter = [[SPRedParameter alloc] init];
redParameter.params = mutableDict;
[[SPRedManager sharedInstance] addParams:redParameter];
}
NSLog(@"SPRedManager------mutableDict=%@",mutableDict);
WCRedEnvelopesLogicMgr *redEnvelopesLogicMgr = [[%c(MMServiceCenter) defaultCenter] getService:[%c(WCRedEnvelopesLogicMgr) class]];
[redEnvelopesLogicMgr ReceiverQueryRedEnvelopesRequest:mutableDict];
}
}
%end
- 接下来Hook
WCRedEnvelopesLogicMgr类的 OnWCToHongbaoCommonResponse:(HongBaoRes *)hongBaoRes Request:(HongBaoReq *)hongBaoReq方法,由于前边发起了查询红包请求,所以一定会回调红包通用响应这个方法,我们在这个方法里拼接好红包参数,然后调用打开红包请求的方法[WCRedEnvelopesLogicMgr类的 OpenRedEnvelopesRequest:redParameter.params]方法,如下所示:
- 接下来Hook
%hook WCRedEnvelopesLogicMgr
- (void)OnWCToHongbaoCommonResponse:(id)hongBaoRes Request:(id)hongBaoReq{
%orig;
HongBaoRes * response = hongBaoRes;
HongBaoReq * request = hongBaoReq;
NSError *err;
NSDictionary *bufferDic = [NSJSONSerialization JSONObjectWithData:response.retText.buffer options:NSJSONReadingMutableContainers error:&err];
if (response == nil || bufferDic == nil){
return;
}
if (request == nil){
return;
}
if (request.cgiCmd == 3){
int receiveStatus = [bufferDic[@"receiveStatus"] intValue];
int hbStatus = [bufferDic[@"hbStatus"] intValue];
/*
可抢状态:cgiCmdid = 3 自己可抢 , cgiCmdid = 5 自己已抢过
红包状态:hbStatus = 2 可抢红包, hbStatus = 4 自己抢过 ,hbStatus=5 过期红包
是否自己发的:“isSender”:0 别人发的,“isSender”:1 自己发的
是否群红包:“hbType”:1 群红包,“hbType”:0 个人红包
自己是否抢过:“receiveStatus”:0 未抢过 , “receiveStatus”:2 已抢过
*/
if (receiveStatus == 0 && hbStatus == 2){
// 没有timingIdentifier字段会被判定为使用外挂
NSString *timingIdentifier = bufferDic[@"timingIdentifier"];
NSString *sendId = bufferDic[@"sendId"];
if (sendId.length > 0 && timingIdentifier.length > 0){
SPRedParameter *redParameter = [[SPRedManager sharedInstance] getParams:sendId];
if (redParameter != nil){
redParameter.timingIdentifier = timingIdentifier;
// 抢的太快也会被判定为使用外挂
sleep(1);
WCRedEnvelopesLogicMgr *redEnvelopesLogicMgr = [[%c(MMServiceCenter) defaultCenter] getService:[%c(WCRedEnvelopesLogicMgr) class]];
if (nil != redEnvelopesLogicMgr){
[redEnvelopesLogicMgr OpenRedEnvelopesRequest:redParameter.params];
}
}
}
}
}
}
%end
- 到此整个自动抢红包的核心代码都写完了,我们还可以加上一个开关,控制是否开启自动抢红包,这就非常简单了,这里就不贴出来了,全部代码都放在
github上了,点击这里查看WXTweak
- 到此整个自动抢红包的核心代码都写完了,我们还可以加上一个开关,控制是否开启自动抢红包,这就非常简单了,这里就不贴出来了,全部代码都放在
五、将动态库注入到微信,并重签名,安装到非越狱手机
因为MonkeyDev已经帮我们封装好了codesign命令重签名,所以我们只需要选择好证书就可以了,过程如下:
-
在Xcode修改
WXTweak项目的Bundle ID为com.tencent.xin,选择好自己的付费开发证书,在Edit Scheme中设置为Release模式,Command+R安装到手机即可 -
效果图:
image.png
