iOS逆向工程之Theos

如果你对iOS逆向工程有所了解，那么你对Tweak并不陌生。那么由Tweak我们又会引出Theos, 那么什么是Theos呢，简单一句话，Theos是一个越狱开发工具包，Theos是越狱开发工具的首先，因为其最大的特点就是简单。大道至简，Theos的下载安装、编译发布都比较简单，越狱开发中另一个常用的工具是iOSOpenDev，因为本篇的主题是Theos，所以对iOSOpenDev不做过多赘述。本篇博客的主题是Thoes的安装及其使用。

一、Theos的配置与安装

Theos的配置与安装算是比较简单的，按照官方给的步骤来操作，问题不大。Theos的官方文档地址“官方Wiki”，其中给出了如何安装和配置Theos, 本部分内容也是按照官方的Wiki来提供的，当然进行该部分操作时，要保证你本地已经安装了Homebrew, 可以使用brew命令来安装一些依赖包。brew其实类似于Linux中的yum或者apt-get，就是一个包管理工具。如果你本地没有安装brew，那么请求自行Google，从而完成对brew的安装。

1.安装dpkg

sudo brew install dpkg

dpkg是Theos依赖的工具之一，dpkg是Debian Packager的缩写。我们可以使用dpkg来制作deb，Theos开发的插件都将会以deb的格式进行发布的。所以我在安装Theos之前要安装dpkg, 当然此处我们使用强大的brew来完成dpkg的安装。安装的具体过程如下所示：

　　

2.安装ldid

sudo brew install ldid

在Theos开发插件中，iOS文件的签名是使用ldid工具来完成的，也就是说ldid取代了Xcode自带的Codesign。下方就是ldid的安装过程。

　　

3.Theos安装

git clone --recursive https://github.com/theos/theos.git

因为我们的Theos一般是安装在/opt/目录下的，所以先cd到/opt目录下，然后从github上相关的地址clone下来即可，步骤如下（下方安装过程挺长，请耐心等待）：

　　

下载好Theos后，要修改一下文件的权限，如下命令

sudo chown $(id -u):$(id -g) theos

至此，Theos安装完毕，就可以开启你的Theos之旅了。

二、使用Theos创建、编译、安装使用工具

上面我们搭建好Theos的环境后，接下来就开始使用我们的Theos来做些事情了。接下来我们将要使用Theos来创建一个使用工具，并进行编译，编译后安装到我们的越狱手机上。接下来来看一下这一系列的步骤。

1.配置$THEOS

export THEOS=theos文件所在路径

进入到我们要创建实用工具的目录中，使用export定义如下的环境变量，如下所示。下方命令比较简单，你可以这么理解，就是使用export定义了一个变量这个变量的名字是THEOS，该变量中存储的值是/opt/theos。后边这个路径就是上述我们安装theos的路径了，如果你要使用该路径的话，使用$THEOS代替即可。当然该变量只在当前终端中可用。如下所示。

　　

2.新建工程

$THEOS/bin/nic.pl

接下来我们就要使用theos来创建我们的工程了，创建工程也是比较简单的，就是调用我们theos目录中bin下的nic.pl命令。具体执行如下所示。在执行nic.pl命令后，会让你选择新建工程的模板，目前theos中内置的是12套模板，当然你可以从网上下载其他的模板。当然我们此处创建的是application_modern类型的工程，所以我们就选2即可，当然，如果你想创建tweak，那么就选11即可，下方我们选择的是第二个模板。

在选择模板后，紧接着会让你做一系列的操作，这一些列的操作和Xcode新建iOS工程的步骤类似。

（1）输入你的工程的名字（Project Name，必选项），此处我们工程的名字是FirstTheosApplication。

（2）输入包名（Package Name），包名的命名规则一般是你们公司域名的倒写，然后后边加上你的工程名字，此处我就随便写了一个，就是下方的com.ludashi.firsttheosapplication。

（3）输入作者的名字（Author/Maintainer Name）, 此处我们输入的是Mr.LuDashi

（4）然后如数类名的前缀（Class name prefix）, 此处我们输入的是CE。

经过上述配置后，我们的工程就创建好了。

　　

下方是我们创建后的工程文件目录，当然packages文件夹是我们编译打包后才生成的文件，其中的deb就是我们的安装文件。可以将该安装包安装到我们的越狱手机上。

　　

3.编译打包前的准备工作

export SDKVERSION=9.3

export THEOS_DEVICE_IP=ios_device_ip

接着我们要做一些编译打包前的准备工作，SDKVERSION是编译工程时所使用的SDK，因为本机Xcode中是9.3的SDK，所以我们知道的SDKVERSION是9.3。指定完编译所需的SDK后，我们需要指定打包后的文件所安装设备的IP地址，使用THEOS_DEVICE_IP来指定。下方的IP地址是一个越狱手机的IP地址。

在指定这个设备IP之前，你要保证你的越狱设备安装了OpenSSH，并且可以在Mac的终端上进行ssh登录。

　　

4.进行编译

make

做好编译前的准备工作后，紧接着就是编译我们刚才创建的工程了。首先进入到我们的firsttheosapplication目录中，执行make命令进行编译。如下所示。

　　

5.进行打包

make package

编译完成后，我们要讲项目进行打包，这样我们的越狱设备才能进行安装。下方是调用make package命令进行项目的打包。打包后会生成后缀名为deb的安装包。

　　

6.安装

make install

将该安装包，安装到相应的越狱设备。因为上面我们已经配置了越狱设备的IP地址，并且保证该台越狱设备可以通过ssh进行连接，所以我们直接调用make install命令就可以进行项目的安装。在安装过程中会让你输入ssh登录设备的密码，输入后会显示安装成功的操作，如下所示。

　　

7.安装后的效果

下方就是我们项目安装后的效果。打开Cydia，选择已安装Tab, 会看到我们刚才安装的FirstTheosApplication（实用工具），我们可以点进去进行查看，其中的一些信息大部分是我们刚才配置的信息。到此我们一个完整的流程就走完了。

　　   

三、Tweak创建、编译、打包与安装

接下来我们要创建Tweak类型的工程，步骤与上述过程大同小异。也是需要使用nic.pl来创建，使用make编译，使用make package打包，使用make install安装。接下来就来看一下这一过程。

1.最终效果

开门见山，下方就是我们要实现的效果。接下来我们就要使用Theos来创建Tweak工程，下方就是我们Tweak工程要做的事情。就是当你的iPhone锁屏开启后，给你弹一个框，这个弹框就是我们Tweak工程Hook的代码，下方就是我们最终实现的效果。

　　

2.Tweak工程创建

下方就是我们Tweak工程的创建，与上述工程的创建类似，不过我们在此选择的是Tweak模板。如下所示，我们将该Tweak工程命名为LockScreenAlter，其他配置项使用默认值即可。然后进入到我们的LockScreenAlter工程目录中，主要有下方四个文件。

　　

3.Makefile文件

该文件类似于配置文件，用来指定工程用到的文件、框架、库、使用的SDK等等，将整个编译、打包、安装的过程进行自动化。下方就是我们Makefile中的内容，下方红框中是创建完工程后默认的配置，上面红框中是后来我们添加的配置。这些项指定了编译、安装时所需的参数，使其自动化。因为我本地的Xcode中是iOS9.3的SDK，所以下方指定的SDKVESION是9.3。

　　

4.Tweak.xm文件的编写

（1）写hook代码前的分析

分析这一步是至关重要的，因为这一步可以让你明白你的代码作用于何处。因为我们要在锁屏的页面进行弹框，所以我们要在相应的锁屏页面添加hook。下方就是我们的分析过程。经过浏览系统的头文件，我们从下方路径中找到了SBLockScreenManager.h这个文件，从文件名不难推测出该文件就是负责iPhone系统锁屏的文件，于是乎我们对其进行hook实现。

　　

下方是上述头文件的内容，从内容我们更加坚信SBLockScreenManager类就是用来管理系统锁屏的，因为其中有个字段是用来表示是否已经锁屏的isUILocked。该头文件中还有一个类方法和一个对象方法。当然这个类方法明眼一看就是用来获取该类的单例的。而对象方法lockUIFromSource……应该是用来锁屏和解锁的。于是乎想要在锁屏中弹框就要在SBLockScreenManager类中的唯一的对象方法中进行操作了。

　　

（2）hook代码的实现

下方就是在Tweak.xm中的所有代码。是Logos语法，使用起来是比较简单的。%hook与%end成对出现，%hook后方跟的是我们要修改的类名，此处我们要对SBLockScreenManager进行修改，类似于OC中的继承操作。%orig，用来执行修改函数的原始函数，此处可以看做是OC语法中的super，类似于调用父类的方法。下方代码就用到这些Logos语法就足以在锁屏出进行弹框了。

　　

常用Logos语法简介：

• %hook 指定需要hook的类名，以%end结尾
• %log 用来打印log的,将信息输入到syslog中，如%log((NSString *)@"ZeluLi")
• %orig 执行被hook函数的原始代码，类似于super.method功能
• %group 该指令用于%hook的分组，%group后边跟的是组名，%group也是必须以%end结尾，其中可以包含多个%hook
• %init 该指令用来初始化某个%group，一个group只有被初始化后才可生效，init必须在hook中进行执行。
• %ctor tweak的构造器，用来初始化，如果不显式定义，Theos就会自动生成一个%ctor,并在其中调用%init(_ungrouped). 如：%ctor { %init(_ungrouped)}
• %new 该指令用来给现有的class添加一个新的函数。与Runtime中的class_addMethod相同。
• %c 该指令用来获取一个类的名称，类似于objc_getClass。

上述就先涉及这么多，更详细的请参加：http://iphonedevwiki.net/index.php/Logos

5. control文件

control文件中存储的内容记录了deb包管理系统所需的基本信息，会被打包进deb包里。下方就是control中内容，其中存储的就是一些包名、工程名、版本、作者等等，与打包安装后在Cydia中看到的信息相同。

　　

6、进行编译、打包、安装

编译打包安装的过程与上一部分类型，在此就只展示一下过程，不做过多赘述了。

（1）使用make命令进行编译

　　

（2）打包：make package

　　

（3）安装到手机： make install

　　

7.从Cydia中进行查看

下方就是我们成功安装后在Cydia中查看的截图，安装成功后，当你锁屏时就会弹出一个Alter。