Theos-tweak工程

最新推荐文章于 2022-11-15 17:54:54 发布

yahibo

最新推荐文章于 2022-11-15 17:54:54 发布

阅读量769

点赞数

CC 4.0 BY-SA版权

分类专栏： iOS逆向文章标签：逆向 Theos-tweak

本文链接：https://blog.youkuaiyun.com/yahibo/article/details/96292455

iOS逆向专栏收录该内容

16 篇文章

订阅专栏

本文介绍如何使用Theos创建tweak工程，在越狱的iOS设备上实现屏幕弹框功能。涵盖准备工作、工程搭建步骤、Logos语法说明等内容。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1、查看《iOS逆向开发工具》 Theos的使用方法做准备工作；
2、创建tweak工程，实现在屏幕上添加弹框（越狱手机）；
3、Logos语法。
完成该工程，我们可以实现在任意地方添加我们想要的功能。任性，吼吼。

###一、给屏幕添加弹框
项目目录：/Users/yanghaibo/Documents/iOS逆向/Theos/

1、创建tweak工程，进入工程目录执行命令：

/opt/theos/bin/nic.pl

会出现列表：

NIC 2.0 - New Instance Creator
------------------------------
  [1.] iphone/activator_event
  [2.] iphone/application_modern
  [3.] iphone/application_swift
  [4.] iphone/cydget
  [5.] iphone/flipswitch_switch
  [6.] iphone/framework
  [7.] iphone/ios7_notification_center_widget
  [8.] iphone/library
  [9.] iphone/notification_center_widget
  [10.] iphone/preference_bundle_modern
  [11.] iphone/tool
  [12.] iphone/tool_swift
  [13.] iphone/tweak
  [14.] iphone/xpc_service
Choose a Template (required):

2、选择13创建一个tweak工程；
3、输入tweak的工程名称Project Name: first
4、输入deb包的名字，Package Name: com.yahibo.first
5、输入tweak作者的名称，Author: yahibo
6、输入作用对象的bundle identifier: com.apple.springboard
7、安装完成后需要重启应用，以进程名表示命令：使用空格
项目创建完成如下：

8、修改Tweak.xm文件

%hook SpringBoard

-(void)applicationDidFinishLaunching:(id)application{
    %orig;
    UIAlertView *alert = [[UIAlertView alloc] initWithTitle:@"提示" message:@"我来了，哈哈哈" delegate:nil cancelButtonTitle:@"不见" otherButtonTitles:@"好的", nil];
    [alert show];
}

%end

9、修改Makefile文件，指定设备IP，指定处理器架构，指定SDK版本，导入framework，多个framework 空格添加。

THEOS_DEVICE_IP = 192.168.0.105
ARCHS = armv7 arm64
TARGET = iphone:latest:8.0
	
include $(THEOS)/makefiles/common.mk

TWEAK_NAME = first
first_FILES = Tweak.xm
first_FRAMEWORKS = UIKit

include $(THEOS_MAKE_PATH)/tweak.mk

after-install::
	install.exec "killall -9 SpringBoard"

10、配置完后终端进入工程文件执行安装命令：

make package install

执行如下：

手机端显示如下：

以上大功告成，完成了锁屏状态下加弹框。

11、工程被打包到：./packages/com.yahibo.first_0.0.1-23+debug_iphoneos-arm.deb中，可使用dpkg 查看deb包信息：

dpkg -I ./packages/com.yahibo.first_0.0.1-23+debug_iphoneos-arm.deb

12、在Cydia应用中搜索syslogd to/var/log/syslog并安装；搜索Core Utilities并安装，安装后可以使用tail命令查看文件。
13、项目打包成一个.dylib动态库在越狱手机/Library/MobileSubstrate/DynamicLibraries/目录下。

修改内容需要清除包

make clean
rm -rf packages

重启SpringBoard杀死进程会自动重启

killall -9 SpringBoard

卸载动态库：

make package uninstall

###二、常用的Logos语法简介

1、%hook指定需要hook的类名，以%end结尾。

%hook SpringBoard

-(void)applicationDidFinishLaunching:(id)application{
    %orig;//执行原始操作
    UIAlertView *alert = [[UIAlertView alloc] initWithTitle:@"提示" message:@"我来了，哈哈哈" delegate:nil cancelButtonTitle:@"不见" otherButtonTitles:@"好的", nil];
    [alert show];
}

%end

示例代码为钩住SpringBoard类的applicationDidFinishLaunching函数，先执行原始操作，再显示弹框。

2、%log用来打印log的,将信息输入到syslog中，格式%log([(<type><expr>，...)])。

%hook SpringBoard
-(void)applicationDidFinishLaunching:(id)application{
    %orig;//执行原始操作
    %log((NSString *)@"iOSRE",(NSString *)@"Debug");
}
%end

3、%orig执行被hook函数的原始代码，类似于super.method功能，如果去掉，原始代码不会执行。还可以使用该函数更改原始函数的参数：

%hook SBLockScreenDateViewController
-(void)setCustomSubtitleText:(id)arg1 withColor:(id)arg2{
    %orig(@"hello I am hibo",arg2);
}
%end

4、%group该指令用于%hook的分组，%group后边跟的是组名，%group也是必须以%end结尾，其中可以包含多个%hook。

5、%init该指令用来初始化某个%group，一个group只有被初始化后才可生效，init必须在hook中进行执行。

6、%ctor tweak的构造器，用来初始化，如果不显式定义，Theos就会自动生成一个%ctor,并在其中调用%init(_ungrouped).如：%ctor { %init(_ungrouped)}。

7、%new该指令用来给现有的class添加一个新的函数。与Runtime中的class_addMethod相同。

8、%c该指令用来获取一个类的名称，类似于objc_getClass。

从越狱手机中我们可以拿到苹果设备的桌面程序SpringBoard.app，砸壳后获取到SpringBoard对应的头文件。根据头文件我们可以大致猜测到类及类方法的作用，因此使用以上方法，我们也可以更改其他一些显示，修改桌面时间文本、颜色、电池状态、电量，当然这些可能没有实用价值，我们只是通过这种方式来进一步了解逆向。
苹果设备桌面头文件