如果你想了解更多,欢迎收看
项目背景与目标
作为B站的重度用户,Feed流中越来越多的竖屏视频与广告让人非常厌烦,于是决定逆向一把,过滤掉这些玩意。本文最后你将可以实现:
- 完全可自定义的过滤规则
- 自定显示或隐藏某些UI界面
- 更改播放器的默认行为
- 控制面板
逆向基础知识
本文只着重分享逆向的实战经验与过程。但在开始之前,笔者还是要先简单讲一下几个比较重要的知识点。
- 函数调用机制
在Objective-C中,简单来说,一个函数调用例如 [obj foo: arg]会在底层转变为obj_msgSend(obj, @selector(foo:), arg),接着在运行时按照 method cache → 本类方法列表 → 父类链 查这个 SEL 对应的 IMP(实现函数) 并调用。
Method Swizzle(方法交换)
这是OC中提供的一种可以在运行时修改“SEL → IMP”映射的机制,能够在查找IMP的过程中使后续消息派发跳转到开发者自定义的新实现。
如果需要更改App的行为,绝大多数情况下,都是通过此机制Hook原函数并加入自定义逻辑。所以我们的目标就是找到某些功能对应的函数实现,并且加入我们的自定义逻辑,下文我们就将通过多种不同途径来寻找对应的函数。 - 反射机制
反射能够在编译时不感知目标类型与方法签名的情况下,仅靠 String(类名/方法名/SEL)完成查找、实例化与方法调用。我们在写逻辑时,就要靠他来对原App的具体变量进行访问。 - 框架注入
在重新打包App时,可以注入我们自己写的framework,再在OC中使用+load函数即可让我们的代码在App启动后自动运行,实现上面的方法交换逻辑。
前期准备
砸壳
App Store 下载的安装包,都是通过加密的,我们无法直接逆向,所以需要通过砸壳来获取未加密的IPA文件。这里有两种途径:
- 准备一台越狱的iPhone,通过frida插件在App运行时提取未加密的IPA,https://github.com/AloneMonkey/frida-ios-dump
- 对于一些主流App,会有第三方网站提供IPA文件下载,例如:https://decrypt.day,不过安全性不受保证。
安装与调试 - 在安装IPA之前需要对App进行重签名,这里笔者习惯使用Sideloadly,注意非Apple Developer开发者账号单次签名有效期只有7天,反之是一年。在选择设备后就可以安装到自己的手机上了。
调试可直接在Xcode中打开空白工程,并连接iPhone,在Debug->Attach to Process->xxxxxx,例如这里B站的process name就是 bili-universal
在成功Attach上之后,就可以开始我们的逆向之旅了。
更改 UI 行为
首先暂停App之后,一个最简单的入手方法就是通过UI,我们在LLDB中输入po [[UIWindow keyWindow] recursiveDescription]
即可打印出目前屏幕上的UI树。
这里我们可以看到所有UIView的类名,属性,地址,甚至直接可以搜索屏幕上的元素。
例如此处搜索搜索框的文字,我们就能知道搜索框是由BBList.SearchControl实现。
如果我们仅仅需要Hook UI的一些行为,有了类名之后,到这里已经成功一大半了,下一步我们应该使用method swizzle找到一个合适的时机,将我们想要执行的代码塞进去就行了。那么我们一般寻找这个界面的ViewController就可以了,在VC中有各种生命周期可供Hook。
那么我们应该如何查找UIView对应的生命周期呢?简单来说就是递归调用NextResponder,由于篇幅篇幅原因,这里省略原理。总之nextResponder会按照 UIView → superview → ViewController 的顺序,所以例如这里的SearchControl,只需要在lldb中调用nextResponder,直到找到VC。
可以利用反射机制Hook该VC,并通过swizzle其生命周期函数,执行自己的逻辑,比如显示隐藏一个UIView,或者插入额外的view。
例如本项目的一个功能,禁止显示竖屏视频的按钮,就是通过Hook UIStackView的addArrangedSubView,再判断这些按钮是不是命中了类名,如果命中就拒绝执行。
@interface UIStackView (GSVStackBlock)
- (void)gsv_addArrangedSubview:(UIView *)view;
- (void)gsv_insertArrangedSubview:(UIView *)view atIndex:(NSUInteger)stackIndex;
@end
@implementation UIStackView (GSVStackBlock)
- (void)gsv_addArrangedSubview:(UIView *)view {
if (gsv_shouldBlockView(view)) {
return;
}
[self gsv_addArrangedSubview:view];
}
- (void)gsv_insertArrangedSubview:(UIView *)view atIndex:(NSUInteger)stackIndex {
if (gsv_shouldBlockView(view)) {
return;
}
[self gsv_insertArrangedSubview:view atIndex:stackIndex];
}
@end
@interface GSVStackHooker : NSObject
@end
@implementation GSVStackHooker
+ (void)load {
Class cls = [UIStackView class];
if (!cls) { return; }
gsv_swizzleInstance(cls, @selector(addArrangedSubview:), @selector(gsv_addArrangedSubview:));
gsv_swizzleInstance(cls, @selector(insertArrangedSubview:atIndex:), @selector(gsv_insertArrangedSubview:atIndex:));
}
@end
更改 App 逻辑
在打包后的App中,虽然绝大多数函数名都被strip掉,但是对于OC类,仍然保留了methodDescption, 可以由一个实例的地址,拿到OC的类中方法与属性签名
例如在本项目中禁止短视频播放器的视频播放,就是通过播放器的UIView,找到他的ViewController,接着尝试打印他的方法,发现里面有setLooping方法,所以按照推测我们将viewDidAppear的时候强制setLooping为false,即可实现。
@implementation UIViewController (GSVHook)
- (void)gsv_viewDidAppear:(BOOL)animated {
[self gsv_viewDidAppear:animated];
NSString *className = NSStringFromClass(self.class);
GSVSettingsManager *settings = [GSVSettingsManager sharedManager];
// 功能1:强制设置循环为false(针对BBStoryPlayerContainer)
if ([className isEqualToString:@"BBStoryPlayerContainer"] && settings.forceSetLoopingFalse) {
SEL loopingSel = NSSelectorFromString(@"setLooping:");
if ([self respondsToSelector:loopingSel]) {
((void (*)(id, SEL, BOOL))objc_msgSend)(self, loopingSel, NO);
} else {
NSLog(@"[GSV] %@ 不响应 setLooping:,跳过", className);
}
}
}
@end
目前看起来逆向也太简单了,但并不是所有情况下,都能这么简单直接的找到所需要的类或函数,例如过滤Feed流中的短视频。
进阶
Feed流的显示,无非就是一个UICollectionView,然后有若干个Cell不断的进行替换,所以我有下面几个思路:
- 暴力隐藏UIView
最简单的方案就像是上文中一样,直接暴力判断UIView的className是否等于xxxxx,然后再递归遍历其子View,如果发现有text为竖屏的UILabel,就强制设置isHidden = true,然后再该Cell移除屏幕 prepareForReuse的时候恢复其透明度。防止下次用的时候默认被隐藏了。
这个方法极其的简单粗暴,但也非常不完美,因为并不能改变layout,所以feed流上会出现一块一块的白补丁,Pass。
static NSString *gsv_firstPortraitLabelPath(UIView *root, BOOL isContentViewRoot) {
if (!root) { return nil; }
NSString *rootSeg = isContentViewRoot ? @"contentView" : NSStringFromClass(root.class);
return gsv_findPortraitLabelPathRecursive(root, rootSeg);
}
- CollectionView的DataSource
如果你了解CollectionView的工作方式,就是不停的到DataSource delegate中去询问需要展示几个Cell,每个Cell的内容等参数。所以在DataSource中,一定会有真正数据源的访问。接着我们可以顺着这条线寻找到真正的数据源。
这里我们就要通过上面method Description中打印出的方法地址,设置断点。切记给你的断点-N 加个名字,因为全是地址,断点多了不然会忘了是哪个。
接着操作一下app,就能命中这个断点。
在命中之后,使用di命令即可显示该函数下的汇编代码,这里我们可以借助AI进行分析,并在可疑的地址前下断点,再去访问加载到寄存器中的实例类名,并且通过偏移再去寻找其属性,这里略去具体过程。
分析得出该 CollectionView的dataSource就是VC,同时在运行 cellForItemAtIndexPath时,访问了viewController->viewModel->dataFatcher->cardData Array。
但不幸的是,从viewModel开始,就是Swift类了,Swift静态派发的方法,并不能像OC一样使用Swizzle进行替换,并且可用的信息也非常之少。所以最后这条路也行不通了。
- 网络库
既然从UI下手行不通,那我们就尝试两头堵,从网络库入手试试看。首先我们使用Charles抓包抓到负责Feed流的网络请求,得到他的URL。
接着我们Hook NSURLSession的delegate,打印出看否有符合我们要求的域名,结果果然是没有。看起来他也没有走自带的网络库,后来我想会不会是从前端将数据传递进来的,我还Hook了JSRuntime相关的函数,结果依然令人失望。
- IDA
似乎我们两头堵也不行,那咋办呢,这个时候就需要碰碰运气了。比如我又想到,获取数据一定跟刷新有关系,那么在CollectionView中如果想刷新,一定要调用 reload方法,所以我们在reload方法下断点。
这里我们使用backtrace展开调用栈。我们可以看到reload是由app中一些堆栈调用上来的,我们想知道下面的那些frame到底是什么。这里我们就搬出IDA了,IDA 可以将所有汇编代码映射到静态地址中。并且解析出所有符号。
所以我们只需要通过目前App运行的动态地址,计算出静态地址,再在IDA中通过地址查询,就可以找到地址对应的函数。
如何计算IDA中的静态地址呢?
- 先在lldb中获取我们App,运行的基地址,例如这次是 0x104e14000:
2. 使用frame中的地址减去基地址得到偏移量,在使用偏移量加上0x100000000
3. 在IDA中使用静态地址中搜索
经过一番尝试,还真找到了底层的Request
接着查看这个函数的伪代码,好家伙,连NSJSONSerialization都出来了,那基本上证明了这就是我们需要找的函数。
接着直接Hook这个函数,如果判断是这个接口的话,先手动把Data序列化一遍,然后递归遍历是否有广告或者竖屏视频,如果有的话直接移除,最后再给他反序列回Data,透传给原函数的实现,这样就完美了。
"config": {
"auto_refresh_by_behavior": 1,
"auto_refresh_time": 1200,
"auto_refresh_time_by_active": 1800,
"auto_refresh_time_by_appear": 1800,
"auto_refresh_time_by_behavior": 5,
"autoplay_card": 11,
"card_density_exp": 1,
"close_small_window": 1,
"column": 2,
"enable_rcmd_guide": true,
"exposure_duration_end_ratio": 0.800000011920929,
"exposure_duration_min_ms": 1,
"exposure_duration_start_ratio": 0.800000011920929,
"feed_clean_abtest": 0,
"history_cache_size": 10,
"home_transfer_test": 0,
"inline_sound_cold_state": 2,
"is_back_to_homepage": true,
"rcmd_label_mng_entrance": 1,
"show_inline_danmaku": 1,
"single_autoplay_flag": 1,
"small_cover_wh_ratio": 1.333333,
"space_enlarge_exp": 1,
"story_mode_v2_guide_exp": 6,
"three_point_style": 1,
"toast": {},
"trigger_loadmore_left_line_num": 1,
"video_mode": 1,
"visible_area": 80
},
"interest_choose": null,
"items": [
{
"args": {
"aid": 114902270222302,
"tid": 76859374,
"tname": "鬼畜星探企划第二十二期",
"up_id": 1722956360,
"up_name": "会跳舞的杰哥"
},
"can_play": 1,
"card_goto": "inline_av_v2",
"card_type": "large_cover_v9",
"cover": "http://i0.hdslb.com/bfs/archive/2a45b6c09a3f51e9cc5f0ae237a2a1cc28e2be1c.jpg",
"cover_left_1_content_description": "119.3K观看",
"cover_left_2_content_description": "4694弹幕",
"cover_left_icon_1": 1,
"cover_left_icon_2": 3,
"cover_left_text_1": "119.3K",
"cover_left_text_2": "4694",
"cover_right_content_description": "9分钟34秒",
"cover_right_text": "9:34",
"goto": "av",
"idx": 1758725170,
"inline_progress_bar": {
"icon_drag": "https://i0.hdslb.com/bfs/archive/c1461e2c6ca97783ac0298b6ebb2d85d94b8f37c.json",
"icon_drag_hash": "31df8ce99de871afaa66a7a78f44deec",
"icon_stop": "https://i0.hdslb.com/bfs/archive/6ee2f9b016f20714705cb5b8f15da1446587d172.json",
"icon_stop_hash": "5648c2926c1c93eb2d30748994ba7b96"
},
"like_button": {
"aid": 114902270222302,
"count": 4291,
"dislike_night_resource": {
"content_hash": "c370e8d031381f4716d7564956a8b182",
"url": "https://i0.hdslb.com/bfs/archive/c9a20055b712068bfe293878639dc9066ba2690b.json"
},收尾工作
最后我们用AI写个开关面板,然后再Hook一下UITableView,把B站讨厌的会员购icon与界面换成弹出我们的设置面板。
因为我们的代码都写在一个Framework里,我们只需要构建出产物,接着在打包的时候,选择Inject frameworks,接着把产物添加进去就OK了。
好了,现在终于可以在不看广告的情况下愉快的刷B站了。
关于我:
前不知名数码博主/独立开发者/客户端程序员
全网同名,欢迎关注
