微信抢红包（四）微信抢红包（四）

前言
【微信抢红包（四）】在微信抢红包（三）中，我们已经成功实现手动抢红包了，那接下来，自动抢红包怎么弄呢？从哪里开始呢？
分析自动抢红包逻辑
我们之前分析过，接收到消息调用的方法：

文章图片
image.png lldb 调试:

文章图片
image.png 通过调试可以看到相关的信息，如参数 arg1 为 CMessageWrap 等。
接着点开红包，继续查看抢红包代码中的 CMessageWrap

文章图片
image.png 可以看出这两个中间的 CMessageWrap 为同一个（对象内存地址不为一个，但是数据一样，暂且认为为同一个，猜测是 retain 了。不是同一个的话，这条路就走不通了），而抢红包代码中主要需要的就是 CMessageWrap 这个对象，那接下来就好办了：
直接把抢红包的代码拷贝到接收到消息调用的函数中不就 OK了？？？

文章图片
image.png 通过调试可以发现，真实的 type 字段为 m_uiMessageType，WeChat 重写了对象的 Description 方法。
期间会遇到的几个问题：

CMessageWrap 的问题解决了，和接收到消息调用的方法中的参数是一样的。
简化问题：获取 sessionUserName 简化

NSString *nsUsrName = [m_contact m_nsUsrName]; if (nsUsrName)// { NSLog(@"%@",nsUsrName); [mutableDic setObject:nsUsrName forKey:@"sessionUserName"]; }

文章图片
image.png 可以看出 wxid_erhumb6yg9yu22 和 CMessageWrap 的 m_nsFromUsr 属性和 m_nsRealChatUsr 属性都是一样的，可以直接用 CMessageWrap 来获取。

参数 timingIdentifier 和 agree_duty 的获取是依赖于 m_data 的。

怎么办呢？？？
分析拆红包逻辑
从上面的过程中可以看到，红包的最终调用的方法：

文章图片
image.png WCRedEnvelopesLogicMgr 这个红包逻辑管理者对象是比较关键的，那我们直接 Hook 一下，看看一看拆红包时的调用情况：

文章图片
image.png - (void)ReceiverQueryRedEnvelopesRequest:(id)arg1 方法汇编：

文章图片
image.png 汇编代码中可以看出，这个方法就调用了下面的方法- (void)GetHongbaoBusinessRequest:(id)arg1 CMDID:(unsigned int)arg2 OutputType:(unsigned int)arg3 ，传入两个参数 CMDID:3 OutputType:1。
第三个方法：- (void)OnWCToHongbaoCommonResponse:(id)arg1 Request:(id)arg2.
是不是就是前面两个方法的返回数数据呢？
接下来，我们可以大胆尝试一下，手动发送一个拆红包的请求试一下：

// 手动调用拆红包 // 拼接参数 NSMutableDictionary *paraDic = [NSMutableDictionary dictionary]; // 写死的 [paraDic setObject:@"0" forKey:@"agreeDuty"]; [paraDic setObject:@"1" forKey:@"inWay"]; [paraDic setObject:@"1" forKey:@"msgType"]; // 取上面的 [paraDic setObject:[url_dic objectForKey:@"channelid"] forKey:@"channelId"]; [paraDic setObject:c2cNativeUrl forKey:@"nativeUrl"]; [paraDic setObject:[url_dic objectForKey:@"sendid"] forKey:@"sendId"]; // 调用 // 红包逻辑管理者对象 WCRedEnvelopesLogicMgr * redEnveLogicMgr = [[%c(MMServiceCenter) defaultCenter] getService:[%c(WCRedEnvelopesLogicMgr) class]]; [redEnveLogicMgr ReceiverQueryRedEnvelopesRequest:paraDic];

经测试，手动拆红包成功了，在接收到消息时，自动拆成功，

文章图片
image.png 找到抢红包关键参数
通过上面分析得知这是第三个方法的相关信息：

[ OnWCToHongbaoCommonResponse: Request: ]

查看响应类 HongBaoRes 和请求类 HongBaoReq：

响应类 HongBaoRes

#import @class BaseResponse, NSString, SKBuiltinBuffer_t; @interface HongBaoRes : WXPBGeneratedMessage { }+ (void)initialize; // Remaining properties @property(retain, nonatomic) BaseResponse *baseResponse; // @dynamic baseResponse; @property(nonatomic) int cgiCmdid; // @dynamic cgiCmdid; @property(retain, nonatomic) NSString *errorMsg; // @dynamic errorMsg; @property(nonatomic) int errorType; // @dynamic errorType; @property(retain, nonatomic) NSString *platMsg; // @dynamic platMsg; @property(nonatomic) int platRet; // @dynamic platRet; @property(retain, nonatomic) SKBuiltinBuffer_t *retText; // @dynamic retText; @end

请求类 HongBaoReq

#import @class BaseRequest, SKBuiltinBuffer_t; @interface HongBaoReq : WXPBGeneratedMessage { }+ (void)initialize; // Remaining properties @property(retain, nonatomic) BaseRequest *baseRequest; // @dynamic baseRequest; @property(nonatomic) unsigned int cgiCmd; // @dynamic cgiCmd; @property(nonatomic) unsigned int outPutType; // @dynamic outPutType; @property(retain, nonatomic) SKBuiltinBuffer_t *reqText; // @dynamic reqText; @end

通过这些信息，我们 Hook - (void)OnWCToHongbaoCommonResponse:(HongBaoRes *)arg1 Request:(HongBaoReq *)arg2 这个方法：

文章图片
image.png 可以看到一个关键性的参数 timingIdentifier 又近了一步了。

文章图片
image.png 可以看到拆红包的 timingIdentifier 和开红包的 timingIdentifier 为同一个，这就好多了。
至此我们已经获取了抢红包所必备的所有参数，除了

id subscript = [m_dicBaseInfo objectForKey:@"agree_duty"];

其实这参数就不用去管了，外面抢红包用不到这个，调试结果也是 nil，暂时不用去理会。
但是不要高兴得太早，还有一些参数的变化：

文章图片
image.png

receiveStatus：0 自己没有抢的未拆开 receiveStatus：2 自己抢过的已拆开hbStatus：2 未拆开 hbStatus：4 已拆开的HongBaoRes 类中的 cgiCmdid 是不停变化的拆开没被抢过的红包时cgiCmdid 字段是 3isSender 判断是不是自己发的红包吧?？自己发的红包isSender : 1 别人发的红包isSender : 0

补充：破解对称加密算法思路!! MD5， RSA 等这些公开加密算法的函数是不是系统函数??
苹果的加密函数库

既然是的，fishHook能够HOOK吗? 肯定能了。
如：

CCCrypt(<#CCOperation op#>, <#CCAlgorithm alg#>, <#CCOptions options#>, <#const void *key#>, <#size_t keyLength#>, <#const void *iv#>, <#const void *dataIn#>, <#size_t dataInLength#>, <#void *dataOut#>, <#size_t dataOutAvailable#>, <#size_t *dataOutMoved#>)

RSA公钥非常重要--钥匙串访问(是否安全??)
调用的方法?? ?
调用的依然是苹果苹果的加密函数库中的方法，依然可以 Hook，所以明文直接调用系统的方法加密，经过 Hook 之后就可以很容易得到原文。
所以：核心的数据一定不要直接调用系统的方法加密，
进行封装!! 自定函数!加密!
A -- > 异或盐(一个账号一个盐) --> B
....
B -- > 系统加密算法 --> C
这样即使HOOK了系统的加密函数，也很难猜测到你在加密前的处理算法，越复杂越安全。