图片来源网络
要是不需要越狱,就可以用Reveal实时查看他人APP的UI、阅读并修改他们APP的代码、甚至使用Method Swizzling掉包他人APP的方法,那还要啥自行车?
事实上这真的是可以做到的,而且非常简单,因为我们拥有大杀器IPAPatch。
效果展示
(仅供学习参考,请支持正版,亲测做程序员真的很辛苦)
Lovedays是一款不错的交公粮记日器,界面简约美观,尤其底部的广告栏更是美如画。
Lovedays截图
当然,App内部提供了请咖啡去广告的功能,不过咖啡喝多了不健康,为了开发者的身体考虑,笔者决定帮他省下这杯咖啡钱。
逆向去除广告的Lovedays截图
准备工作
首先你需要一台越狱手机
基础工具:MacOS,XCode,非越狱iPhone
Hopper Disassembler
超级强大的反编译软件,不仅可以把机器码解析成汇编,还能解析出相似与Objc的伪代码。总之就是太强大了,强大到我们几乎连class-dump都用不上了。本文使用了史蒂芬周的破解版本,把Hopper Disassembler v4.app拖进HopperV4Patcher即可破解。
Reveal
Mac下的UI调试工具,后来因为XCode自带了UI调试工具,所以Reveal逐渐转入了地下使用,主要用来调试别人的UI(滑稽)。网盘下载。安装只需把Reveal.app拖到/Applications目录下即可。
逆向分析
首先明确我们的目标——去除广告。
那就必须找到设置广告的代码所在,既然在设置页面有买咖啡去广告的选项,那我们可以尝试从设置页入手。
下载IPAPatch到桌面上。
准备好lovedays.ipa,网盘下载。
特别说明
.ipa文件是iOS的安装包文件,类似于.dmg文件,可以当做.zip文件解压。
从App Store下载的.ipa文件是加密过的,需要砸壳才能进行逆向开发,但砸壳这一操作目前需要越狱手机才能进行。
幸运的是很多第三方助手提供砸壳后的ipad安装包(因为他们要签上自己的名然后安装到用户的手机上),本文使用的Lovedays.ipa是PP助手下载的版本。
PP助手下载砸壳后的ipa
把
Lovedays.ipa改名为app.ipad,并复制到/IPAPatch/Assets目录下,替换原有的app.ipa文件。拷贝Reveal框架文件
/Applications/Reveal.app/Contents/SharedSupport/iOS-Libraries到IPAPatch项目中IPAPatch/Assets/Frameworks。用XCode打开
IPAPatch.xcodeproj工程文件。设置一个自己的
Bundle ID,并用自己的开发团队设置签名。
设置签名
然后就是接上手机——
RUN一下就好了!
运行IPAPatch+Lovedays
IPAPatch就是这么强大,Hacked弹窗是IPAPatch自带特效,在IPAPatchEntry.m文件中实现了IPAPatch的入口类IPAPatchEntry,当然也开方便作为我们Hook的入口。然而IPAPatch的强大远不止于此——在Mac上运行Reveal!
Reveal查看Lovedays的UI
别人的APP就像拔了毛的鸡一样躺在饭桌上了,那就开动吧。
在设置页点击
Remove Ads弹出点餐页。在
Reveal中刷新显示,可以获得当前视图的UI,随便选择一个view,在右侧栏可以看到管理当前选择view的控制器,是一个名为AdblockViewController的类。
调试点餐页UI
接下去就是逆向最激动人心的过程了——
端上朕的机器码!
用MacOS自带
归档实用工具.app将Lovedays.ipa解压到桌面上,在目录中找到lovedays.app文件,右键显示包内容,找到lovedays文件,不带任何后缀,这就是个二进制的Mach-O,推荐拷贝到桌面上方便使用。运行
Hopper Disassembler,选择File-Read Excutable to Disassemble...,读取方才的lovedays二进制文件。
一百年后。
Hopper界面
Hopper的处理进度条走完了,我们获得了lovedays的汇编代码。
在左侧栏搜索AdblockViewController,得到AdblockViewController的内部和外部方法。
在Hopper中搜索指定类的方法
如果你一眼看不到关键词就再看一眼,即使在人群中千百次擦肩而过,也总会有一次回眸让你看到
-[AdblockViewController productPurchased:]这个方法,感谢ObjC,从函数名来判断,这应该是支付成败的回调方法。这大概是你码农生涯以来第一次看代码只看注释了,珍惜机会,看什么汇编。
在注释中可以看到发送了
@selector(sharedData)这一消息,应该对象是某个单例,从Data关键词来猜测,估计是个管理设置数据的单例。往下看,又发送了个
@selector(setHideAd:)消息,这就是司马昭之心了——咖啡交易,隐藏广告的方法在此!
特别说明
对于-[xxx setXXX]方法,一般来说并不是一个通过- (void)setXXX:(id)arg;语法声明的方法,而更可能是@property id xxx;的set方法。
因此在左侧栏,我们重新搜索关键词hideAd。
搜索hideAd方法
搜索结果越少越好,这说明我们离靶心越来越近。仔细看,对于UserData这个类,有hideAd方法也有setHideAd:方法,因此我们猜测UserData持有_hideAd这一属性,也许我们可以尝试修改这个BOOL属性的值,或者其get方法。
HOOK
回到XCode中,希望你还没有把IPAPatch工程关掉。
我们的目标是把-[UserData hideAd]方法调包,使用一个永远return YES;的方法替代它,就是ObjC的Method Swizzling。虽然IPAPatch自带了Facebook的fishhook,但笔者没用过,还是觉得jrswizzle比较顺手,所以先git clone一份,拷贝到工程目录下。
特别注意
把jrswizzle拖入工程的时候,记得在Add to targets中勾上IPAPatchFramwork
勾上IPAPatchFramework
顺便建立两个文件夹Header和Hook分别用来放原App中类的头文件和Hook的文件。
文件结构
在Header文件夹下创建UserData.h头文件,假装我们是lovedays的开发者,虽然实际上我们只需知道UserData有hideAd这一get方法。因此在UserData.h中写入如下内容。(先清空原文件中内容)
#import <Foundation/Foundation.h>
@interface UserData: NSObject
- (BOOL)hideAd;
@end
特别注意
在添加新文件的时候也别忘了添加targets。
记得勾上target
在Hook新建UserData+Hook.h和UserData+Hook.m文件(别忘了targets要勾上IPAPatchFramework),用于执行Hook方法。
UserData+Hook.h代码如下,仅仅是暴露了Hook方法——
#import <Foundation/Foundation.h>
@interface NSObject(UserDataHook)
+ (void)hookUserData;
@end
UserData+Hook.m的代码如下,实现了Hook方法,以及用来调包的my_hideAd方法——
#import "UserData+Hook.h"
#import "UserData.h"
@implementation NSObject(UserDataHook)
+ (void)hookUserData {
}
- (BOOL)my_hideAd {
return YES;
}
@end
Hook方法调用的时机实在类对象load的时候,在此我们使用IPAPAtch提供的入口类IPAPatchEntry。在IPAPatchEntry.m中导出Hook的头文件UserData+Hook.h,把打招呼方法[self for_example_showAlert]注释掉,换成调用hook的方法[self hook]——
#import "UserData+Hook.h"
@implementation IPAPatchEntry
+ (void)load
{
[self hook];
}
+ (void)hook {
[NSClassFromString(@"UserData") hookUserData];
}
@end
特别说明
对+ (void)load;方法不了解的话可以阅读一下这篇文章,做逆向工程的话经常跟load方法py的。
回到UserData+Hook.m中实现方法调包Method Swizzling——
#import "JRSwizzle.h"
...
+ (void)hookUserData {
NSError *error;
[self jr_swizzleMethod:@selector(hideAd) withMethod:@selector(my_hideAd) error:&error];
if (error) {
NSLog(@"++++++++++Swizzling Error: %@", error);
}
}
特别提醒
jr_开头的方法有四个,不要选错。
代码都写完了——
RUN一下吧!
if (没有崩溃) {
那应该能看到的就是App还是那个App,但是底下的广告栏不见了!
} else {
那就继续往下看吧。
}
其实各个类的load方法也是有先后的,如果遇到因为unrecognized selector hookUserData或者找不到hideAd方法而崩溃,只需要调整一下文件的编译顺序。据说编译顺序和load调用顺序是一致的,因此只需要让IPAPatchEntry.m的编译顺序排在最后就可以了。
修改编译顺序
后记
本来只是在做公司产品的竞品分析,不小心误入歧途搞起了非越狱hook,但初衷还是以共同实现伟大祖国的现代化建设为主要主要目的,所以大家支持正版,咖啡不贵。
代码也上传到Git,欢迎批评指正。
网友评论