](IOS 逆向 微信抢红包+微信运动步数修改+UI界面新增控件)
捣鼓几天搞出来的微信修改版,支持自动抢红包和修改微信运动步数,并且在设置里面可以开关功能。
环境 | 版本 |
---|---|
操作系统 | MacOSX Catalina 10.15.4 版本太新了不太好用很多工具用不了,我后面打算降级 |
手机系统 | Iphone7 IOS11 |
mac上面的 theos | 最新版 |
xcode | 11.5 |
MonkeyDev | - |
MonkeyDev集成在xcode上面,可以快速开发hook的代码,链接到Mach-O文件,支持修改ipa后的免越狱安装。配合lldb的调试效率高。
新建一个MonkeyDev项目,我的是WeChatDemo。
先把砸壳后的微信ipa拖拽进工程中的TargetApp目录。
真机调试执行run编译运行至手机,成功的话会看到手机多出一个微信,并且可以利用xcode来调试微信了!
首先完成设置页面UI新增“自动抢红包”和微信步数输入框的控件功能。
打开微信设置页面,xcode打开Debug View Hierarychy查看层级。
查找表格布局的数据源,发现Data Source是WCTableViewManager这个类,所以我们的新增控件功能要在这个类注入方法。
打开class-dump好之后的头文件WCTableViewManager.h
开发过ios的都知道,表格的实现需要实现UITableViewDelegate, UITableViewDataSource协议,用下面三个方法来控制cell
// 表格每一行的遍历 - (id)tableView:(id)arg1 cellForRowAtIndexPath:(NSIndexPath*)arg2; // 每组有多少行 - (long long)tableView:(id)arg1 numberOfRowsInSection:(long long)arg2 ; // 表格有多少组 - (long long)numberOfSectionsInTableView:(id)arg1 ;
注入这三个方法:
我新增了两个控件,所以numberOfSections加2
// 表格有多少组 - (long long)numberOfSectionsInTableView:(id)arg1 { NSLog(@"num2===%@", arg1); if ([[[[arg1 nextResponder] nextResponder] nextResponder] isKindOfClass:%c(MoreViewController)]) { NSLog(@"这是设置页面"); return %orig+2; } return %orig; }
我的每组是一行,所以第4个section和第5个section返回一行。
// 每组有多少行 - (long long)tableView:(id)arg1 numberOfRowsInSection:(long long)arg2 { NSLog(@"num===%lld", arg2); // 红包设置的行 if ([[[[arg1 nextResponder] nextResponder] nextResponder] isKindOfClass:%c(MoreViewController)]) { NSLog(@"红包section的行数"); if (arg2 == 4) { return 1; } else if (arg2 == 5) { // 微信运动的行数 return 1; } } return %orig; }
以下是具体每一个cell的实现。
// 表格每一行的遍历 - (id)tableView:(id)arg1 cellForRowAtIndexPath:(NSIndexPath*)arg2 { NSLog(@"indexPath===%@", arg2); if ([[[[arg1 nextResponder] nextResponder] nextResponder] isKindOfClass:%c(MoreViewController)]) { if (arg2.section == 4) { NSLog(@"红包的行cell"); UITableViewCell *cell = [[UITableViewCell alloc] initWithStyle:UITableViewCellStyleSubtitle reuseIdentifier:@"mycell"]; cell.textLabel.text=@"自动抢红包"; cell.backgroundColor =[UIColor whiteColor]; UISwitch *sw = [[UISwitch alloc] init]; sw.on = [Comm confIsRedEnvelopeSwitchEnable]; [sw addTarget:self action:@selector(redEnvelopeSwitchChange:) forControlEvents:UIControlEventValueChanged]; cell.accessoryView = sw; return cell; } else if (arg2.section == 5) { [MyMoreViewController setTableViewObject:arg1]; return [MyMoreViewController createWCSportTextField]; } } return %orig; }
其中
sw.on = [Comm confIsRedEnvelopeSwitchEnable];
是我新增的类方法,获取配置文件中的是否开启自动红包的配置。
[MyMoreViewController createWCSportTextField];
是指创建微信步数控件,具体代码这里我不列出来了。
网络上有很多分析拆红包代码流程,这里简述流程。
首先需要找到微信消息接收入口,就是CMessageMgr这个类的onNewSyncAddMessage方法,普通消息、表情、红包...等等大部分消息都走这个方法。
然后判断消息类型(m_uiMessageType),为49时确定为微信红包消息。
调用下面这个方法告诉微信服务器将要拆红包的请求。[redEnvelopesLogicMgr ReceiverQueryRedEnvelopesRequest:mutableDict];
mutableDict里面的字典数据就是我们要拼装的数据。
ReceiverQueryRedEnvelopesRequest调用成功后,微信会回调触发 [WCRedEnvelopesLogicMgr OnWCToHongbaoCommonResponse]这个方法,这个方法能获取到timingIdentifier这个参数,然后我们再调用[redEnvelopesLogicMgr OpenRedEnvelopesRequest:redParameter.params];
最终实现收获红包的调用。redParameter.params就是请求的参数。
下面代码实现:
%hook CMessageMgr // 收到微信消息 - (void)onNewSyncAddMessage:(id)arg1{ %orig; [MyRedEnvelopesProcc onNewSyncAddMessageProcc:arg1]; } %end
[MyRedEnvelopesProcc onNewSyncAddMessageProcc:arg1];是我写的类方法。
// 红包处理类 @implementation MyRedEnvelopesProcc +(void) onNewSyncAddMessageProcc:(id)arg1 { //arg1 = (NSObject)arg1; CMessageWrap * wrap = arg1; NSLog(@"红包==========%@\n%@",arg1,[arg1 class]); NSLog(@"类型==========%d\n",wrap.m_uiMessageType); if (wrap.m_uiMessageType != 49) { NSLog(@"不是红包消息"); return; } if (![Comm confIsRedEnvelopeSwitchEnable]) { NSLog(@"不启用抢红包功能"); return; } //收到红包消息 NSString *nsFromUsr = [wrap m_nsFromUsr]; // 只有是红包消息类型才会有m_oWCPayInfoItem WCPayInfoItem *payInfoItem = [wrap m_oWCPayInfoItem]; NSLog(@"payInfoItem==========%@\n",payInfoItem); if (payInfoItem == nil){ return; } NSString * m_c2cNativeUrl = [payInfoItem m_c2cNativeUrl]; if (m_c2cNativeUrl == nil){ NSLog(@"m_c2cNativeUrl是nil !!!!!!!!!"); return; } NSInteger length = [@"wxpay://c2cbizmessagehandler/hongbao/receivehongbao?" length]; NSString *subString = [m_c2cNativeUrl substringFromIndex: length]; NSDictionary *dict = [objc_getClass("WCBizUtil") dictionaryWithDecodedComponets:subString separator:@"&"]; NSMutableDictionary *mutableDict = [NSMutableDictionary dictionary]; [mutableDict setObject:@"1" forKey:@"msgType"]; NSString *sendId = dict[@"sendid"]; [mutableDict safeSetObject:sendId forKey:@"sendId"]; NSString *channelId = dict[@"channelid"]; [mutableDict safeSetObject:channelId forKey:@"channelId"]; CContactMgr *service = [[objc_getClass("MMServiceCenter") defaultCenter] getService:[objc_getClass("CContactMgr") class]]; CContact *contact = [service getSelfContact]; NSString *displayName = [contact getContactDisplayName]; [mutableDict safeSetObject:displayName forKey:@"nickName"]; NSString *headerImg = [contact m_nsHeadImgUrl]; [mutableDict safeSetObject:headerImg forKey:@"headImg"]; id nativeUrl = [payInfoItem m_c2cNativeUrl]; [mutableDict safeSetObject:nativeUrl forKey:@"nativeUrl"]; // 之前获取m_nsUsrName的方式只有在聊天窗口才有能获得变量,不人性的做法,改 /*MMMsgLogicManager *logicManager = [[objc_getClass("MMServiceCenter") defaultCenter] getService:[objc_getClass("MMMsgLogicManager") class]]; BaseMsgContentLogicController *logicController = [logicManager GetCurrentLogicController]; id m_contact = [logicController m_contact]; id sessionUserName = [m_contact m_nsUsrName]; //wxid_wps5gzsp30an32 */ NSString *sessionUserName = [wrap m_nsFromUsr]; [mutableDict safeSetObject:sessionUserName forKey:@"sessionUserName"]; if ([nsFromUsr hasSuffix:@"@chatroom"]){ //群红包 [mutableDict safeSetObject:@"0" forKey:@"inWay"]; //0:群聊,1:单聊 }else { //个人红包 [mutableDict safeSetObject:@"1" forKey:@"inWay"]; //0:群聊,1:单聊 } [mutableDict safeSetObject:@"0" forKey:@"agreeDuty"]; if (sendId.length > 0) { SPRedParameter *redParameter = [[SPRedParameter alloc] init]; redParameter.params = mutableDict; [[SPRedManager sharedInstance] addParams:redParameter]; } NSLog(@"SPRedManager------mutableDict=%@",mutableDict); WCRedEnvelopesLogicMgr *redEnvelopesLogicMgr = [[objc_getClass("MMServiceCenter") defaultCenter] getService:[objc_getClass("WCRedEnvelopesLogicMgr") class]]; [redEnvelopesLogicMgr ReceiverQueryRedEnvelopesRequest:mutableDict]; }
主要功能是调用下面这个方法告诉微信将要拆红包的请求:[redEnvelopesLogicMgr ReceiverQueryRedEnvelopesRequest:mutableDict];
然后再注入这个方法
%hook WCRedEnvelopesLogicMgr // [redEnvelopesLogicMgr ReceiverQueryRedEnvelopesRequest:mutableDict] 请求后的响应,拆红包请求的回调 - (void)OnWCToHongbaoCommonResponse:(id)hongBaoRes Request:(id)hongBaoReq { %orig; [MyRedEnvelopesProcc OnWCToHongbaoCommonResponseProcc:hongBaoRes Request:hongBaoReq]; } %end
[MyRedEnvelopesProcc OnWCToHongbaoCommonResponseProcc:hongBaoRes Request:hongBaoReq];是我自己写的方法。最终实现抢红包的调用。
+(void) OnWCToHongbaoCommonResponseProcc:(id)hongBaoRes Request:(id)hongBaoReq { HongBaoRes * response = hongBaoRes; HongBaoReq * request = hongBaoReq; NSLog(@"request------=%@",request); NSLog(@"response------=%@",response); NSError *err; NSDictionary *bufferDic = [NSJSONSerialization JSONObjectWithData:response.retText.buffer options:NSJSONReadingMutableContainers error:&err]; NSLog(@"bufferDic------=%@",bufferDic); if (response == nil || bufferDic == nil){ return; } if (request == nil){ return; } if (request.cgiCmd == 3){ int receiveStatus = [bufferDic[@"receiveStatus"] intValue]; int hbStatus = [bufferDic[@"hbStatus"] intValue]; /* 可抢状态:cgiCmdid = 3 自己可抢 , cgiCmdid = 5 自己已抢过 红包状态:hbStatus = 2 可抢红包, hbStatus = 4 自己抢过 ,hbStatus=5 过期红包 是否自己发的:“isSender”:0 别人发的,“isSender”:1 自己发的 是否群红包:“hbType”:1 群红包,“hbType”:0 个人红包 自己是否抢过:“receiveStatus”:0 未抢过 , “receiveStatus”:2 已抢过 */ if (receiveStatus == 0 && hbStatus == 2){ // 没有timingIdentifier字段会被判定为使用外挂 NSString *timingIdentifier = bufferDic[@"timingIdentifier"]; NSString *sendId = bufferDic[@"sendId"]; if (sendId.length > 0 && timingIdentifier.length > 0){ SPRedParameter *redParameter = [[SPRedManager sharedInstance] getParams:sendId]; if (redParameter != nil){ redParameter.timingIdentifier = timingIdentifier; // 抢的太快也会被判定为使用外挂 sleep(1); WCRedEnvelopesLogicMgr *redEnvelopesLogicMgr = [[objc_getClass("MMServiceCenter") defaultCenter] getService:[objc_getClass("WCRedEnvelopesLogicMgr") class]]; if (nil != redEnvelopesLogicMgr){ // 真正抢红包的请求 NSLog(@"redParameter------=%@",redParameter.params); [redEnvelopesLogicMgr OpenRedEnvelopesRequest:redParameter.params]; } } } } } }
// 微信步数 %hook WCDeviceStepObject - (unsigned int)m7StepCount { int count = [[Comm confWcWalkNumberString] intValue]; NSLog(@"步数:%d", count); if (count) { return count; } return %orig; } - (unsigned int)hkStepCount { int count = [[Comm confWcWalkNumberString] intValue]; NSLog(@"步数:%d", count); if (count) { return count; } return %orig; } %end
[Comm confWcWalkNumberString]是读取我配置文件中的步数。
具体其他代码我上传到github吧。
我会把这系列的文章更新到这个入口里面,分享我的心得,大家互相学习。
2020年 IOS 逆向 反编译 注入修改游戏或APP的调用参数新手系列教程主目录入口