本文來自于騰訊bugly開發者社群,非經作者同意,請勿轉載,原文位址:http://dev.qq.com/topic/5791da152168f2690e72daa4
“8小時内拼工作,8小時外拼成長”這是大家共同的理想。除了每天忙于工作外,我們都希望能更多地區吸收領域内的新知識與新技能,進而走向人生巅峰。
Dev Club 是一個交流移動開發技術,結交朋友,擴充人脈的社群,成員都是經過稽核的移動開發工程師。每周都會舉行嘉賓分享,話題讨論等活動。
上一期我們邀請了騰訊 WXG iOS 開發工程師“姚海波”分享了《微信讀書 iOS性能優化》。
本期,我們邀請了騰訊 CDG iOS 開發工程師“何兆林”為大家分享《iOS黑客技術大揭秘》。
如何加入 Dev Club?
移動端開發經驗 >= 2 年,微信掃描下方群管理微信二維碼,備注姓名-公司(或産品) 申請加入。
分享内容簡介:
在黑客的世界裡,沒有堅不可破的防護系統,也沒有無往不勝、所向披靡的入侵利器,有時候看似簡單的問題,破解起來也許花上好幾天、好幾個月,有時候看似很 low 的工具往往能解決大問題;我們以實作微信自動搶紅包為引子,逐漸展開 iOS 黑客入侵常用的幾種武器,并簡單的講解一些常用的反入侵政策,以及如何破解反入侵政策,雖然搶紅包的破解代碼網上有很多,但是我們要講的是這些代碼是用什麼工具分析出的,為什麼要這樣寫?
内容大體架構:
- 讓目标程式破繭而出 -- dumpdecrypted
- 運作時分析 -- cycript
- 追蹤神器 -- logify
- 反彙編工具 -- hopper
- 斷點調試工具 -- lldb+debugserver
-
注入工具 -- insert_dylib + install_name_tool
分享人介紹: 何兆林 通訊充值與彩票業務部 iOS開發工程師。
負責過的産品:QQ彩票、QQ電影票 iOS用戶端,目前主要負責 QQ彩票 iOS用戶端的開發。
下面是本期分享内容整理
大家晚上好,我是來自 CDG的 jolinhe,目前在做qq彩票項目,負責 iOS側的插件化和整體架構。
越獄和入侵是我的業餘愛好,正好08和09年的時候,在網龍積累了一些越獄開發經驗,是以今天跟大家分享一下 iOS入侵方面的工具和手段。
為了避免紙上談兵:
- 第一部分我們就拿微信來開刀,講解一下如何運用這些工具來找到和實作自動搶紅包功能的;
-
第二部分我們再總結一下常用的入侵原理和反入侵方法。
開始之前,我們需要把環境搞起,硬體方面,需要:
- 一台越獄手機
-
一台裝了開發環境的 Mac電腦
軟體方面内容提綱已經列出來了,需要注意的是它們有一些是手機端的,一些是 PC端的,用到的時候我會細講。
群裡不乏老司機,這裡我假設大家對于 ssh、theos、class_dump、hook這些工具和技術都已經有所涉獵了,如果有不清楚的,歡迎私下交流。
一、微信實作自動搶紅包功能
言歸正傳,要實作自動化搶紅包,首先我們需要理清思路:
- 第一步:需要攔截微信的消息流,在哪裡攔截?
- 第二步:在這些資訊流中分辨出哪些消息是紅包?
- 第三步:在合适的地方插入自己的“搶”紅包代碼。
1、讓目标程式破繭而出——dumpdecrypted
因為直接從 AppStore下載下傳下來的二進制檔案都是加了殼的,是以為了讓它的核心破繭而出,我們需要砸殼操作。
是以第一個工具就是 dumpdecrypted,這個工具是手機端的,可以通過 cydia安裝,安裝後檔案路徑是:
/usr/lib/dumpdecrypted.dylib
在實際使用時,可以通過 pp助手把這個檔案 copy到目标程式的 documents目錄,然後ssh進手機終端,cd到 documents目錄,執行:
DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib WeChatPath
執行完後會再 documents目錄生成一個砸完殼後的二進制檔案
2、運作時分析——cycript
砸完殼之後,我們再 dump出頭檔案,但是微信的類太多了,頭檔案有幾百個,如此多的頭檔案,讓人眼花缭亂,是以要找到突破口,我們得縮小範圍,我喜歡用的思路是從 ui入手,先找到微信對話界面的 controller,然後再追蹤 controller中對應的消息處理函數。
這樣第二個工具 cycript 隆重出場了,它也是個手機端的工具,用于檢視 app運作時資料,大夥兒可以通過 cydia安裝,安裝完之後,ssh到越獄手機的終端。
先找到微信的程序id:ps aux | grep WeChat
再執行:cycript -p 微信的pid
完成了注入,進入到 cycript提供的終端。
這時候進入在手機上進入微信的聊天視窗,例如:
然後在 cycript的終端輸入:
UIApp.keyWindow.recursiveDescription().toString()
結果如下:
列印的是目前的ui樹,随便找一個節點(樹的中間,為什麼要在中間,大家可以思考下),copy它的記憶體位址,例如 0x14da3f000
執行:[#0x14da3f000 nextResponder]
會輸出目前節點的下一級事件響應鍊,然後對輸出節點再次調用 nextResponder,直到找到它的視圖控制器 xxxcontroller:
看到了吧,微信的聊天頁對應的類名是 BaseMsgContentViewController。
3、追蹤神器 -- logify
目前為止我們已經鎖定了大緻的突破口,下面還需繼續追蹤,找到這個類裡面的消息處理函數,這裡的思路就是通過向群裡發送一個消息,然後觀察 controller中哪些方法被調用了。
第三個工具 Logify就是幹這個事情的,它是 theos的一個元件,和 theos一起安裝在 pc端的,在 pc的終端輸入:
logify.pl /path/to/BaseMsgContentViewController.h > /out/path/to/Tweak.xm
打開生成的 tweak.xm檔案,可以看到它其實就是 hook了這個類所有的方法,在方法中注入了 nslog,列印方法的入參和傳回值,最後把這個檔案用 theos打包并安裝到手機中,再次向群裡發消息,手機連上 xcode觀察手機控制台輸出。
輸出内容很多,需要仔細過濾一下,例如我們發的消息是一個文本“test”,在控制台搜尋它,你會在它附近找到下面這個函數調用:
addMessageNode:layout:addMoreMsg
從函數名字來看,這個應該就是用來處理消息資料的,從表面來看我們已經找到消息的攔截點了,但是大家想一下,如果我們hook這個方法,在裡面自動搶紅包,會有什麼緻命的缺陷?
老司機們已經看出來了吧,這個方法是 BaseMsgContentViewController類裡面的,而這個類進入聊天頁面才會被建立。
hook這裡會有兩個缺陷:
- 第一,必須進特定的群的聊天頁面才能生效;
-
第二,兩個群同時有紅包來,沒法并發的搶。
為了追求更加上流的功能,我們需要再向上追溯消息的源頭,最好 hook那種微信啟動後就存在的對象,怎麼追溯呢?
我的思路是通過在這個方法中設定斷點,通過調用棧,來找到上層的調用者。
4、反彙編工具——hopper & 斷點調試工具——lldb + debugserver
第五個工具 lldb + debugserver顧名思義,debugserver是手機端的(隻要你的手機有連過 xcode進行 debug,這個玩意就自動有了),用于監聽 pc端 lldb的連接配接,來實作遠端調試。
這個工具要和第四個 hooper(反彙編工具)結合起來用。
首先 ssh進手機的終端,輸入:
debugserver *:19999 -a WeChat
監聽 lldb的連接配接
然後打開pc的終端,啟動 lldb并連接配接:
lldb
process connect connect://deviceIP:19999
如果連接配接成功,我們就正式進入 debug狀态了。
那麼問題來了,要精确的設定斷點,必須知道這個函數的記憶體位址,這個記憶體位址怎麼搞出來呢?
有個公式:
記憶體位址=程序記憶體基位址+函數在二進制中的偏移量
上面我們已經連上了 lldb調試環境,擷取基位址在 lldb中輸入下面的指令:
image list -o -f
這時會輸出很多行資料,找到檔案名為 WeChat的子產品位址,這裡第一行就是了:
偏移量需要借助 hooper,pc端的反彙編利器,用 hooper打開微信的二進制檔案,等幾分鐘,反彙編完成後,在搜尋框輸入剛找到的函數名: addMessageNode,定位到相應的彙編代碼,第一列就是偏移量了:
兩個參數都找到後,在lldb中輸入:
br s -a ‘基位址+偏移量’
然後用 “br l” 确認一下斷點是否設定成功
進入聊天界面,再次向群發送一個消息,會發現 ui卡住了,觀察 lldb控制台,會提示程序被斷住了,在 lldb中繼續輸入 bt指令,重點觀察子產品名是 WeChat的棧,但是由于沒有符号表,我們隻能看到棧的記憶體位址:
想要把記憶體位址還原成函數名,需要兩步:
- 第一要把記憶體位址轉換成二進制檔案偏移量
-
第二步再使用 hooper根據偏移量找到函數名
也就是上面公式的逆向過程:
函數在二進制中的偏移量=記憶體位址 - 程序記憶體基位址
這裡我們棧位址是0x0000000101ad02f4,基位址是0x00000000000e8000,做下減法,得到結果0x1019E82F4,然後在 hooper中搜尋這個位址就能得到方法名:
以此類推,最後得到棧頂的調用是這個:
[CMessageMgr MainThreadNotifyToExt:]
CMessageMgr這個類,從名字來看,就是消息管理器,而且是單例的,我們終于找到了真正需要 hook的類,但是這個方法是用來異步發送通知的,不像是消息的源頭,是以我們用上面說的 logify元件繼續追蹤一下這個類
過程不再重複講,最後的目标終于浮出水面:
(void)AsyncOnAddMsg:(id)message MsgWrap:(CMessageWrap* )msgWrap
第一步消息的攔截點終于找到了,接下來是第二步:
第二步:我們需要知道哪些消息是紅包,這個就比較簡單,向群裡發一個普通消息和紅包消息,通過 logify元件觀察 message參數的内容,發現它裡面有一個 type字段,如果是紅包,值是49,其他語音和文本各不相同,是以,這裡輕松搞定。
第三步:需要實作搶紅包代碼,這一步稍微複雜一點,先講一下思路,首先進入微信開紅包的界面:
根上面講過的一樣,通過 cycript+logify我們可以輕松拿到開紅包的入口函數,下一步,我們需要自己從 AsyncOnAddMsg的參數中構造搶紅包函數的入參。
找注入點我就不再重複講,直接上結果:
[WCRedEnvelopesReceiveHomeView OnOpenRedEnvelopes]
這顯然是一個事件處理函數,它裡面肯定會調用真正的拆紅包邏輯
是以我們打開 hooper,找到這個方法然後觀察方法體,發現它在最後調用了一個 selector:
WCRedEnvelopesReceiveHomeViewOpenRedEnvelopes
這應該是真正的拆紅包邏輯,但是這個 selector沒有參數,是以我猜想這個方法的作用應該是自己封裝拆紅包所需的資料,并調用底層服務來拆紅包。
在hooper中搜尋這個方法,觀察一下,果然是這樣的:
函數開始部分的彙編代碼都是在構造dictionary,隻有在最後調用了一個可以函數:
這裡說明一下,由于微信這一塊的代碼全都是 oc的,而 hooper可以直接将 oc反彙編到接近源碼的水準,是以,還原過程基本不需要掌握多少彙編知識,具體的還原過程可以看下我之前發的文章:http://blog.csdn.net/heiby/article/details/51792151
最後一步,編寫 tweak,替換 AsyncOnAddMsg函數并把自己的成果注入進去就 ok了。
6、注入工具——insert_dylib + install_name_tool
對于越獄機器來說,到這裡已經大功告成了,但是想要在非越獄機器上跑,還需要幾個步驟:
在非越獄機上面,一切都要靠自己,首先手動把你的庫注入到目标二進制中,這一步使用 insert_dylib就可以了,它運作在 pc端,在指令行 cd到微信的二進制目錄,執行指令:
insert_dylib @executable_path/xxx.dylib WeChat
因為我們的 hook代碼是基于 cydiaSubstrate的,用
l -L xxx.dylib
來檢查一下你的 tweak,這個依賴庫在正版機上是沒有的,我們需要把它從越獄機充 cp出來和你的 tweak一起拖進目标 app目錄,并通過install_name_tool指令修改你的 tweak中對他的引用路徑。
最後,用 codesign指令對微信 bundle裡面所有的 dylib進行簽名:
codesign -f -s “iPhone Developer:xxx” xxx.dylib
打包成ipa:
xcrun -sdk iphoneos PackageApplication -v WeChat.app -o ~/WeChat.ipa
再使用 iResign對 ipa進行簽名,就可以安裝到非越獄的機器上了。
注意一下,如果你不想使用 iResign,在執行 xcrun之前,還需要對微信的二進制檔案進行簽名:
codesign -f -s “iPhone Developer:xxx” —entitlements Entitlements.plist WeChat.app
經常有人問 Entitlements.plist檔案怎麼寫?照着這個來就行了,把 teamed和 bundle id改成你自己的:
簽名完成後可以通過ldid指令檢視簽入的内容:
ldid -e /path/to/WeChat
到這裡入侵圓滿結束!
二、常用入侵原理和反入侵方法總結
下面我們總結一下用到的幾個工具: - dumpdecrypted
- insert_dylib
-
cycript
第一個工具是砸殼用的,代碼是開源的,而且相當簡單,它并沒有破解 appstore的加密算法,而是把自己注入到已經通過系統加載器解密的 mach-o檔案,再把解密後的記憶體資料 dump出來,詳細的原理這篇文章寫的很清楚:http://bbs.iosre.com/t/dumpdecrypted/465
那他是怎麼注入的呢?就是利用了 iOS系統中 DYLD_INSERT_LIBRARIES這個環境變量,如果設定了 DYLD_INSERT_LIBRARIES 環境變量,那麼在程式運作時,動态連結器會先加載該環境變量所指定的動态庫;也就是說,這個動态庫的加載優先于任何其它的庫,包括 libc。
由于這個環境變量指定的動态庫加載的時機實在是太早了,是以對于 app來說,除了代碼混淆外,無良策;
但是我們可以在代碼中通過判斷環境變量來檢測是不是被注入:
charchar *env = getenv(“DYLD_INSERT_LIBRARIES”);
如果方法傳回非空,我們可以做一些上報之類的。
後面兩個工具都是用來注入的:
insert_dylib通過向 mach-o檔案的 loadcommand段插入 LC_LOAD_DYLIB資料來加載第三方庫。
對于 insert_dylib,我們可以通過在 Xcode的Build Settings中找到“Other Linker Flags”在其中加上
-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null
指令來繞過 dylib加載額外的第三方庫,具體的原理可參考 http://bbs.iosre.com/t/tweak-app-app-tweak/438
但是破解這一招也非常簡單,上面的連結也說了,用 0xED打開二進制檔案,把
__RESTRICT
全局替換成其它名字即可。
cycript個人感覺是比較神奇的,它在程序運作時動态注入。
沒有細看它的源碼,網上資料稱,它通過 taskfor_pid函數擷取目标程序句柄,然後通過在程序内建立新線程并執行自己的代碼。
對于 cycript這種 bt的行為,利用系統的 root權限在程序中建立線程并執行自己的代碼,目前還沒想到好的對策,如果有老司機有方法,希望能指導一下~
最後再說說 lldb反調試,網上大多都提到 ptrace系列函數,原理我就不多說,這裡主要講如何繞過它,有兩種方法,先說第一種,直接通過彙編代碼修改 ptrace的第一個參數,這樣我們需要先知道在哪裡調用了 ptrace。
用backboard服務啟動啟動目标程式:
debugserver -x backboard *:19999 /path/to/binary
在pc端用lldb連接配接:
然後在lldb中下符号斷點
b ptrace,
在lldb中輸入c指令之後看ptrace第一行代碼的位置,繼續輸入指令:
p/x $lr
找到函數傳回位址,然後用:
找到目标程式的基位址,這樣就能用上面說的公式計算出偏移量,最後在 hooper中找到調用 ptrace的彙編代碼
找到彙編代碼的位置後,把 ptrace的第一個參數 1F,替換成 0A即可,下面是我的調試過程:
手機端:
pc端:
第二種簡單又暴力,注入tweak,讓 ptrace直接傳回0即可,具體的代碼非常簡單,直接發出來:
//Tweak.xm #import <substrate.h> #import <mach-o/dyld.h> #import <dlfcn.h> static int (*oldptrace)(int request, pid_t pid, caddr_t addr, int data); static int newptrace(int request, pid_t pid, caddr_t addr, int data){ printf("newptrace:%d\n\n",request); return 0; } %ctor { printf("Tweak for SkipPtrace Start!\n\n"); MSHookFunction((void *)MSFindSymbol(NULL,"_ptrace"), (void *)newptrace, (void **)&oldptrace); }
總結
入侵的路有很多條,關鍵是要在開始階段定好目标,并理清思路,不然很容易走進各種死胡同,還要學會面對失敗,不要一條路走不通就放棄,最後呢,我們要善于借助各種工具,能用工具,幹嘛還要去費力氣。
今天分享就到這裡,下面大家有問題可以提問哦!
問答環節
Q1:其實我挺好奇,這個能被破解,應該也會有被封堵的問題吧?
我們這裡隻是僞造了自己的參數,并調用微信原有的邏輯自動拆紅包,是以技術上出了微信更新版本,是封不了的,但是如果你搶的太暴力,賬号有可能被封,這裡我們可以通過随機的延遲等操作來避免
Q2:我在分析 UI時候多用了一個 reveal的工具。
reveal的可視化做的比較強大,用來分析 ui很不錯,有需要可以用
Q3:想問問那些安全類軟體是如何防止 tweak,對微信支付寶的程序保護?
防止tweak上面我也講到一些,不過都是從目标 app的代碼層級來講的,例如反 gdb和反注入,對于安全類軟體來說,在非越獄的系統上,基本起不了作用,在越獄機上面,由于有 root權限,這時就能做很多事情了,例如檢查 mach-o檔案的 loadcommand、檢查 DYLD_INSERT_LIBRARIES這種環境變量等
Q4:各種微信分身版能被微信背景準确的識别出來嗎?如果可以識别,有哪些方方法可以去識别?
您指的是一機多裝吧,ios系統通過 app的 bundleid來唯一識别一個 app,分身版大多是通過改 bundleid并重新簽名和釋出,在代碼中可以通過監控自己 info.plist裡面的 bundle id來識别是否被篡改,但是這也是不可靠的,因為黑客們還是可以通過 hook你的監控函數來繞開
Q5:看到你不少是根據方法名字面上來猜想它的意思,要是有的 app代碼寫的爛,我們反而不好弄了吧?還有如果紅包的核心代碼是用 C/C++的代碼,這是不是就不能這樣反彙編了?
确實會這樣,代碼寫得爛,有點類似于“代碼混淆”,會增加入侵的難度,如果核心代碼是 c/c++,在彙編層面會增加閱讀難度,但是隻是難度增加了而已
Q6:對于哪些包括 watch和 extension的 App,在重簽名時有哪些需要注意的呢? 重簽名安裝成功但啟動就閃退可能是什麼原因?
有 extension的app,在重簽名時,需要記住每個 extension都需要用同樣的證書單獨簽名,然後再對外層的 ipa進行簽名,重簽名後啟動閃退,可以通過 xcode連接配接裝置,點選 window->devices檢視裝置控制台,在控制台,會輸出你那一個 dylib校驗失敗,還有失敗的原因
Q7:聽你分析逆向這麼容易,那 ios防反編譯有哪些方案?
ios防止反編譯主要還是代碼混淆,但是混淆的代價大家是知道的,而且混淆也不能完全阻止入侵,是以會得不償失,因為這樣,現在 ios開發很少用;還有一個方案就是反注入,上面講過的,但是很容易被繞過
Q8:Android的一個安全加強保護是通過設定 PTRACEME來防止外部程式來 ptrace自己,如果 iOS APP也這樣設定了,會不會導緻其中一些逆向機制失效呢?
ptrace隻是反調試的,不會影響逆向過程
更多精彩内容歡迎關注bugly的微信公衆賬号:
騰訊 Bugly是一款專為移動開發者打造的品質監控工具,幫助開發者快速,便捷的定位線上應用崩潰的情況以及解決方案。智能合并功能幫助開發同學把每天上報的數千條 Crash 根據根因合并分類,每日日報會列出影響使用者數最多的崩潰,精準定位功能幫助開發同學定位到出問題的代碼行,實時上報可以在釋出後快速的了解應用的品質情況,适配最新的 iOS, Android 官方作業系統,鵝廠的工程師都在使用,快來加入我們吧!