iOS微信自動(dòng)搶紅包(非越獄）

      現(xiàn)在微信紅包很流行，尤其在微信群里發(fā)紅包，如果沒(méi)有及時(shí)搶紅包，根本搶不到，于是就想是不是能寫(xiě)個(gè)插件之類(lèi)的實(shí)現(xiàn)自動(dòng)搶紅包呢，經(jīng)過(guò)在網(wǎng)上查詢(xún)資料，實(shí)現(xiàn)了該功能，如下：

微信紅包

前言：最近筆者在研究iOS逆向工程，順便拿微信來(lái)練手，在非越獄手機(jī)上實(shí)現(xiàn)了微信自動(dòng)搶紅包的功能。

題外話(huà)：此教程是一篇嚴(yán)肅的學(xué)術(shù)探討類(lèi)文章，僅僅用于學(xué)習(xí)研究，也請(qǐng)讀者不要用于商業(yè)或其他非法途徑上，筆者一概不負(fù)責(zé)喲~~

好了，接下來(lái)可以進(jìn)入正題了！

此教程所需要的工具/文件

1. yololib
2. class-dump
3. dumpdecrypted
4. iOSOpenDevi
5. Tools
6. OpenSSH(Cydia)
7. iFile(Cydia)
8. Cycript(Cydia)
9. Command Line Tools
10. Xcode

蘋(píng)果開(kāi)發(fā)者證書(shū)或企業(yè)證書(shū)一臺(tái)越獄的iPhone

是的，想要實(shí)現(xiàn)在非越獄iPhone上達(dá)到自動(dòng)搶紅包的目的，工具用的可能是有點(diǎn)多（工欲善其事必先利其器^_^）。不過(guò)，沒(méi)關(guān)系，大家可以按照教程的步驟一步一步來(lái)執(zhí)行，不清楚的步驟可以重復(fù)實(shí)驗(yàn)，畢竟天上不會(huì)掉餡餅嘛。

解密微信可執(zhí)行文件(Mach-O)

因?yàn)閺腁ppstore下載安裝的應(yīng)用都是加密過(guò)的，所以我們需要用一些工具來(lái)為下載的App解密，俗稱(chēng)砸殼。這樣才能便于后面分析App的代碼結(jié)構(gòu)。

首先我們需要一臺(tái)已經(jīng)越獄的iPhone手機(jī)(現(xiàn)在市面上越獄已經(jīng)很成熟，具體越獄方法這里就不介紹了)。然后進(jìn)入Cydia，安裝OpenSSH、Cycript、iFile(調(diào)試程序時(shí)可以方便地查看日志文件)這三款軟件。

PS：筆者的手機(jī)是iPhone 6Plus，系統(tǒng)版本為iOS9.1。

在電腦上用iTunes上下載一個(gè)最新的微信，筆者當(dāng)時(shí)下載的微信版本為6.3.13。下載完后，iTunes上會(huì)顯示出已下載的app。

iTunes

連上iPhone，用iTunes裝上剛剛下載的微信應(yīng)用。

打開(kāi)Mac的終端，用ssh進(jìn)入連上的iPhone(確保iPhone和Mac在同一個(gè)網(wǎng)段，筆者iPhone的IP地址為192.168.8.54)。OpenSSH的root密碼默認(rèn)為alpine。

ssh

接下來(lái)就是需要找到微信的Bundle id了，，這里筆者有一個(gè)小技巧，我們可以把iPhone上的所有App都關(guān)掉，唯獨(dú)保留微信，然后輸入命令 ps -e

微信bundle id

這樣我們就找到了微信的可執(zhí)行文件Wechat的具體路徑了。接下來(lái)我們需要用Cycript找出微信的Documents的路徑，輸入命令cycript -p WeChat

cycript

編譯dumpdecrypted

先記下剛剛我們獲取到的兩個(gè)路徑(Bundle和Documents)，這時(shí)候我們就要開(kāi)始用dumpdecrypted來(lái)為微信二進(jìn)制文件(WeChat)砸殼了。

確保我們從Github上下載了最新的dumpdecrypted源碼，進(jìn)入dumpdecrypted源碼的目錄，編譯dumpdecrypted.dylib，命令如下:

dumpdecrypted.dylib

這樣我們可以看到dumpdecrypted目錄下生成了一個(gè)dumpdecrypted.dylib的文件。

scp

拷貝dumpdecrypted.dylib到iPhone上，這里我們用到scp命令.

scp 源文件路徑 目標(biāo)文件路徑 。具體如下：

scp

開(kāi)始砸殼

dumpdecrypted.dylib的具體用法是：DYLD_INSERT_LIBRARIES=/PathFrom/dumpdecrypted.dylib /PathTo

dumpdecrypted

這樣就代表砸殼成功了，當(dāng)前目錄下會(huì)生成砸殼后的文件，即WeChat.decrypted。同樣用scp命令把WeChat.decrypted文件拷貝到電腦上,接下來(lái)我們要正式的dump微信的可執(zhí)行文件了。

dump微信可執(zhí)行文件

從Github上下載最新的class-dump源代碼，然后用Xcode編譯即可生成class-dump(這里比較簡(jiǎn)單，筆者就不詳細(xì)說(shuō)明了)。

導(dǎo)出微信的頭文件

使用class-dump命令,把剛剛砸殼后的WeChat.decrypted,導(dǎo)出其中的頭文件。./class-dump -s -S -H ./WeChat.decrypted -o ./header6.3-arm64

導(dǎo)出的頭文件

這里我們可以新建一個(gè)Xcode項(xiàng)目，把剛剛導(dǎo)出的頭文件加到新建的項(xiàng)目中，這樣便于查找微信的相關(guān)代碼。

微信的頭文件

找到CMessageMgr.h和WCRedEnvelopesLogicMgr.h這兩文件，其中我們注意到有這兩個(gè)方法：- (void)AsyncOnAddMsg:(id)arg1 MsgWrap:(id)arg2; ，- (void)OpenRedEnvelopesRequest:(id)arg1;。沒(méi)錯(cuò)，接下來(lái)我們就是要利用這兩個(gè)方法來(lái)實(shí)現(xiàn)微信自動(dòng)搶紅包功能。其實(shí)現(xiàn)原理是，通過(guò)hook微信的新消息函數(shù)，我們判斷是否為紅包消息，如果是，我們就調(diào)用微信的打開(kāi)紅包方法。這樣就能達(dá)到自動(dòng)搶紅包的目的了。哈哈，是不是很簡(jiǎn)單，我們一起來(lái)看看具體是怎么實(shí)現(xiàn)的吧。

新建一個(gè)dylib工程，因?yàn)閄code默認(rèn)不支持生成dylib，所以我們需要下載iOSOpenDev，安裝完成后(Xcode7環(huán)境會(huì)提示安裝iOSOpenDev失敗，請(qǐng)參考iOSOpenDev安裝問(wèn)題)，重新打開(kāi)Xcode，在新建項(xiàng)目的選項(xiàng)中即可看到iOSOpenDev選項(xiàng)了。

iOSOpenDev

dylib代碼

選擇Cocoa Touch Library，這樣我們就新建了一個(gè)dylib工程了，我們命名為autoGetRedEnv。

刪除autoGetRedEnv.h文件，修改autoGetRedEnv.m為autoGetRedEnv.mm，然后在項(xiàng)目中加入CaptainHook.h

因?yàn)槲⑿挪粫?huì)主動(dòng)來(lái)加載我們的hook代碼，所以我們需要把hook邏輯寫(xiě)到構(gòu)造函數(shù)中。

__attribute__((constructor)) static void entry(){ //具體hook方法}

hook微信的AsyncOnAddMsg: MsgWrap:方法，實(shí)現(xiàn)方法如下：

//聲明CMessageMgr類(lèi)
CHDeclareClass(CMessageMgr);
CHMethod(2, void, CMessageMgr, AsyncOnAddMsg, id, arg1, MsgWrap, id, arg2)
{
 //調(diào)用原來(lái)的AsyncOnAddMsg:MsgWrap:方法
 CHSuper(2, CMessageMgr, AsyncOnAddMsg, arg1, MsgWrap, arg2);
 //具體搶紅包邏輯
 //...
 //調(diào)用原生的打開(kāi)紅包的方法
 //注意這里必須為給objc_msgSend的第三個(gè)參數(shù)聲明為NSMutableDictionary,不然調(diào)用objc_msgSend時(shí)，不會(huì)觸發(fā)打開(kāi)紅包的方法
 ((void (*)(id, SEL, NSMutableDictionary*))objc_msgSend)(logicMgr, @selector(OpenRedEnvelopesRequest:), params);
}
__attribute__((constructor)) static void entry()
{
 //加載CMessageMgr類(lèi)
 CHLoadLateClass(CMessageMgr);
 //hook AsyncOnAddMsg:MsgWrap:方法
 CHClassHook(2, CMessageMgr, AsyncOnAddMsg, MsgWrap);
}

項(xiàng)目的全部代碼，（源碼下載地址）。

完成好具體實(shí)現(xiàn)邏輯后，就可以順利生成dylib了。

重新打包微信App

為微信可執(zhí)行文件注入dylib
要想微信應(yīng)用運(yùn)行后，能執(zhí)行我們的代碼，首先需要微信加入我們的dylib，這里我們用到一個(gè)dylib注入神器:yololib，從網(wǎng)上下載源代碼，編譯后得到y(tǒng)ololib。

使用yololib簡(jiǎn)單的執(zhí)行下面一句就可以成功完成注入。注入之前我們先把之前保存的WeChat.decrypted重命名為WeChat，即已砸完殼的可執(zhí)行文件。
./yololib 目標(biāo)可執(zhí)行文件 需注入的dylib
注入成功后即可見(jiàn)到如下信息：

dylib注入

新建Entitlements.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
 <key>application-identifier</key>
 <string>123456.com.autogetredenv.demo</string>
 <key>com.apple.developer.team-identifier</key>
 <string>123456</string>
 <key>get-task-allow</key>
 <true/>
 <key>keychain-access-groups</key>
 <array>
 <string>123456.com.autogetredenv.demo</string>
 </array>
</dict>
</plist>

這里大家也許不清楚自己的證書(shū)Teamid及其他信息，沒(méi)關(guān)系，筆者這里有一個(gè)小竅門(mén)，大家可以找到之前用開(kāi)發(fā)者證書(shū)或企業(yè)證書(shū)打包過(guò)的App(例如叫Demo)，然后在終端中輸入以下命令即可找到相關(guān)信息，命令如下：
./ldid -e ./Demo.app/demo

給微信重新簽名
接下來(lái)把我們生成的dylib(libautoGetRedEnv.dylib)、剛剛注入dylib的WeChat、以及embedded.mobileprovision文件(可以在之前打包過(guò)的App中找到)拷貝到WeChat.app中。

命令格式：codesign -f -s 證書(shū)名字 目標(biāo)文件

PS:證書(shū)名字可以在鑰匙串中找到

分別用codesign命令來(lái)為微信中的相關(guān)文件簽名,具體實(shí)現(xiàn)如下：

重新簽名

打包成ipa
給微信重新簽名后，我們就可以用xcrun來(lái)生成ipa了，具體實(shí)現(xiàn)如下：
xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa

安裝擁有搶紅包功能的微信

以上步驟如果都成功實(shí)現(xiàn)的話(huà)，那么真的就是萬(wàn)事俱備，只欠東風(fēng)了~~~

我們可以使用iTools工具，來(lái)為iPhone(此iPhone Device id需加入證書(shū)中)安裝改良過(guò)的微信了。

iTools

大工告成！！

好了，我們可以看看hook過(guò)的微信搶紅包效果了~

自動(dòng)搶紅包

項(xiàng)目的全部代碼，（源碼下載地址）。

哈哈，是不是覺(jué)得很爽啊，"媽媽再也不用擔(dān)心我搶紅包了。"。大家如果有興趣可以繼續(xù)hook微信的其他函數(shù)，這樣既加強(qiáng)了學(xué)習(xí)，又滿(mǎn)足了自己的特(zhuang)殊(bi)需求嘛。

感謝閱讀,希望能幫助到大家，謝謝大家對(duì)本站的支持！

最新評(píng)論