这次的分享是关于如何在 AppStore 实现 App 的自动下载，理想中的目标是只需要一部手机，不需要人来干预，就可以模拟用户的真实下载，并在下载完成以后，可以自动更改手机参数，使之变为另外一部苹果手机，进行周而复始的下载工作。但是呢，本文的内容只包含如何去模拟用户的操作来完成下载，并不涉及抹机、IP 更换等内容。

最终效果见：https://pan.baidu.com/play/video#/video?path=%2F自动下载效果视频.mp4&t=-1

为什么做这个呢？

可能会有人问，为什么要做这么一个项目。主要是两点原因吧，第一点呢，是出于个人兴趣，逆向其实在开发中的用处还是蛮大的，比如帮助我们分析 Apple 操作系统，帮我们做好安全防御。通过这么一个项目的实践，可以加深自己对逆向开发的理解，第二点呢，就是 App Search Optimization 是一个一直比较热门的话题，有白帽子和黑帽子 ASO 之分，通过关键字和标题优化等手段来进行 ASO 的属于白帽子 ASO，而通过刷榜程序来进行 ASO 的属于黑帽子 ASO，ASO 的刷榜脚本是价值不菲的，可能价值几十万甚至几百万。通过这个项目也是小试牛刀，了解下灰产的一些技术手段。

什么是 ASO

ASO 的全称是 App Search Optimization，就是提升你 APP 在 AppStore 排行榜和搜索结果排名的过程。我们经常可以看到 AppStore 有一些奇怪的五星好评，也会遇到搜索关键字，排名第一的是一个看上去完全不相关的 App。这些都是 ASO 优化的手段，帮助提升产品的曝光量。

白帽子 ASO 常用的手段就是通过数据分析，来优化关键词、标题等，进而提高 App 的排名和曝光率。而黑帽子的手段则是，通过刷榜程序来实现 App 的大量搜索、下载、好评这一系列的过程来提升 App 的排名。

常见的刷榜手段主要有两种，一种是机刷，就是通过触动精灵或者代码注入的方式来实现模拟用户的真实操作，进而完成搜索、下载、评论等操作。再一种协议刷，就是破解 AppStore 的登陆、下载相关的网络协议，通过模拟真实的网络请求来实现登陆、下载等行为。据说在刷榜过程中，苹果会校验你的 Apple ID、IP 等信息，所以需要购买大量的 Apple ID 和不断更换 IP 地址。

如何实现 App 的自动下载

想要的效果：

1.进入 AppStore，切换 tab 到搜索界面

2.设置搜索关键字、搜索

3.进入列表页后，点击 App 进入详情页点击下载

4.根据提示完成登陆、下载，并在下载完成以后跳转到推荐 Tab

5.进入推荐 Tab 后，退出登陆

大概实现步骤：

1.准备越狱手机和 Mac 电脑

2.砸壳 dumpdecrypted，通常 PP助手、iTools 下载的 App 是经过砸壳的，同时 AppStore App 不需要砸壳

3.头文件获取：AppStore class-dump，系统库的头文件的获取：dyld_cache class-dump

4.定位关键函数：Reveal、Cycript、lldb

5.tweak 的注入

砸壳

我们的 App 上传到 AppStore 后，苹果会对 App 进行加密，要想去分析可执行文件，就必须要进行脱壳解密的操作，dumpdecrypted 是一款出色的脱壳工具，它的原理是将 App 运行起来，App 启动时，系统会对 Mach-O 文件进行加载，并完成对应的解密操作，dumpdecrypted 就可以在此时将解密后的 Mach-O dump 出来，从而达到解密的效果。

如果为了省事可以直接从 PP 助手、iTools 上下载对应的 App，一般情况下是已经经过砸壳的。同时，对于 AppStore 这样的系统程序有些特殊，他们 并不需要进行砸壳，可以直接拿来进行分析。

获取头文件

拿到一个砸壳后的可执行文件后，就可以使用 class-dump 来获取可执行文件的所有头文件，class-dump 会对 Mach-O 的格式进行分析，并将信息提取出来形成我们想要的头文件。

AppStore 的可执行文件也略有特殊，class dump之后会发现 AppStore 中包含的代码极少。App Store 的很多关键代码逻辑都不在 AppStore 这个可执行文件当中，而是在系统的动态库中，我们需要分析动态库的头文件信息进而定位到关键函数。可以获取对应系统dyld_cache 中的动态库，然后 dump 出头文件。AppStore UI 有关的逻辑都在 StoreKitUI 动态库中，这个动态库是分析的重点。

Reveal

Reveal 是一款 UI 调试工具，官方的定义是：See your iOS application's view hierarchy at runtime with advanced 2D and 3D visualisations，当然对于逆向安全人员，查看自己 App 的布局是完全不够的，我们可以在 Cydia 中下载 Reveal Loader，在同一网段下，通过 Mac 的 Reveal 和 iOS 上的 Reveal Loader 就可以查看任意 App 的 UI 布局。

但是，有时候我们不仅想要去看这个 UI 布局，还想要去动态调试这个布局，去看它的 Controller 是谁，去挖掘界面下的真正的代码逻辑。这个就涉及到 Cycript 这个工具。

Cycript

Cycript 是由 Cydia 创始人 Saurik 推出的一款脚本语言，它混合了Objective-C 与 JavaScript 两种语法，很容易上手，我们可以通过 Cycript 来进行动态调试，比如查看函数运行的效果，寻找 View 的 Controller 等。

就拿上面 Reveal 详情页为例， Reveal 可以看到获取按钮是 SKUIOfferView，列表页是一个 SKUICollectionView ，那么就通过 Cycript 来看看控制这个 SKUICollectionView 的 Controller 是谁。首先通过 OpenSSH 来连接 iPhone，通过 cycript -p AppStore 来对 AppStore 进行注入调试，UIApp.keyWindow.recursiveDescription().toString() 来打印视图层级。（注：此截图和后面的地址对不上，因为不是同一次打印，大家了解下大概意思就成）

可以发现 SKUICollectionView，并且它的内存地址是 0x13fa00e00，可以通过 cycript 脚本来找到它的 Controller 是哪一个，有多种方案，比如通过它的 delegate 来找，或者通过 nextResponder 来找都可以。

cy# [#0x13fa00e00 delegate]#""cy# [#0x13fa00e00 nextResponder]#""cy# [#0x140f5f540 nextResponder]#""

同时也可以借助一些私有 API 来实现快速查找 ViewController，使用[[[UIWindow keyWindow] rootViewController] _printHierarchy].toString()，可以发现打印结果中同样可以找到 SKUIStorePageSectionsViewController

cy# [[[UIWindow keyWindow] rootViewController] _printHierarchy].toString()`, state: appeared, view:    | , state: disappeared, view:  not in the window
   |    | , state: disappeared, view:  not in the window
   |    |    | , state: disappeared, view:  not in the window
   |    |    |    | , state: disappeared, view:  not in the window
   |    |    |    |    | , state: disappeared, view:  not in the window
   | , state: disappeared, view:  not in the window
   | , state: disappeared, view:  not in the window
   | , state: appeared, view:    |    | , state: disappeared, view:  not in the window
   |    |    | , state: disappeared, view:  not in the window
   |    |    |    | , state: disappeared, view:  not in the window
   |    | , state: appeared, view:    |    |    | , state: appeared, view:    |    |    |    | , state: appeared, view:    | , state: disappeared, view:  not in the window
   |    | , state: disappeared, view:  not in the window`

从上面的分析可以知道，SKUICollectionView 的控制器是 SKUIStorePageSectionsViewController，「获取」按钮的类是 SKUIOfferView，下一步是分析头文件，看看有没有可以比较明显的方法可以为我们所用。下载是最关键的一步，那么首先来看看 SKUIOfferView 类的情况，它的头文件大致如此。

#import #import @class NSMapTable, NSMutableArray, NSString;@protocol SKUIOfferViewDelegate;@interface SKUIOfferView : SKUIViewReuseView  {    unsigned long long _alignment;    NSMapTable *_buttonElements;    NSMapTable *_buyButtonDescriptorToButton;    struct UIEdgeInsets _contentInset;
}
- (void)_buttonAction:(id)arg1;
- (void)itemOfferButtonWillAnimateTransition:(id)arg1;
- (void)itemOfferButtonDidAnimateTransition:(id)arg1;
- (struct CGSize)sizeThatFits:(struct CGSize)arg1;

可以从头文件中看到一个 _buttonAction 方法，感觉上是 「获取」按钮点击后的响应方法，对于这种猜测，可以使用 Cycript 来进行调试，测试一下这个函数执行的效果到底如何
在终端执行 [#0x156c69cc0 _buttonAction:#0x156cb4d20]后查看效果如下，App 已经开始进行下载了，说明这个方法的效果我们猜对了，在调试过程中，可以多多使用 Cycript 提高效率。

lldb

上面我们使用 Cycript 测试了 _buttonAction 的效果，但是这个方法有一个参数，我们要搞清楚它正确的参数类型，传入正确的值。这时候可以借助 LLDB ，来帮助我们找到这个参数的正确类型。 可以使用 b function 来针对 _buttonAction 方法打断点，然后打印它的参数。

传统的做法是使用LLDB 和 IDA 等工具找到 ASLR 和 基地址等信息，然后计算出符号的地址，这样做起来比较繁琐，还是可以继续使用一些私有方法快速定位  _buttonAction 的符号地址来进行断点。

我们想要断点的方法是  _buttonAction，它所在的类是 SKUIOfferView，那么可以使用 LLDB 输入po [SKUIOfferView _shortMethodDescription]来看下效果：（更多强大的黑科技私有函数可以参考这里：http://iosre.com/t/powerful-private-methods-for-debugging-in-cycript-lldb/3414http://iosre.com/t/powerful-private-methods-for-debugging-in-cycript-lldb/3414）

(lldb) po [SKUIOfferView _shortMethodDescription]:in SKUIOfferView:
    Class Methods:
        + (void) requestLayoutForViewElement:(id)arg1 width:(double)arg2 context:(id)arg3; (0x194719470)
        + (CGSize) sizeThatFitsWidth:(double)arg1 viewElement:(id)arg2 context:(id)arg3; (0x1947197a8)
    Properties:        @property (weak, nonatomic) * delegate;  (@synthesize delegate = _delegate;)        @property (nonatomic) long metadataPosition;  (@synthesize metadataPosition = _metadataPosition;)        @property (readonly, nonatomic, getter=isShowingConfirmation) BOOL showingConfirmation;  (@synthesize showingConfirmation = _isShowingConfirmation;)
    Instance Methods:
        - (BOOL) setImage:(id)arg1 forArtworkRequest:(id)arg2 context:(id)arg3; (0x19471a8c8)
        - (BOOL) updateWithItemState:(id)arg1 context:(id)arg2 animated:(BOOL)arg3; (0x19471a8d0)
        - (void) _buttonAction:(id)arg1; (0x19471bb5c)
        - (BOOL) _shouldHideNoticesWithBuyButtonDescriptor:(id)arg1 context:(id)arg2; (0x19471c368)
        - (void) _positionNoticeForItemOfferButton:(id)arg1; (0x19471c234)
(SKUIViewReuseView ...)

可以看到 - (void) _buttonAction:(id)arg1; (0x19471bb5c)，那么直接使用b 0x19471bb5c为 _buttonAction 加断点即可。断点到以后，再打印它的参数，对于 Objective-C 来说消息有两个隐含参数，也就是 self 和 _cmd，那么我们想要的参数就在第三个位置，可以通过 po $x2来查看它的具体信息（ARM64 下函数的参数是存放在 X0 到 X7 这 8 个寄存器里面的，如果超过8个参数,就会入栈）。

Process 7839 stopped
* thread #1, queue = 'com.apple.main-thread', stop reason = breakpoint 1.1 2.1 3.1
    frame #0: 0x000000019471bb5c StoreKitUI`-[SKUIOfferView _buttonAction:]StoreKitUI`-[SKUIOfferView _buttonAction:]:
->  0x19471bb5c :  stp    x24, x23, [sp, #-0x40]!
    0x19471bb60 :  stp    x22, x21, [sp, #0x10]
    0x19471bb64 :  stp    x20, x19, [sp, #0x20]
    0x19471bb68 : stp    x29, x30, [sp, #0x30]Target 0: (AppStore) stopped.
(lldb) po $x0(lldb) po $x2

由上可知，参数类型是 SKUIItemOfferButton，也就是 SKUIOfferView 的 subView，其实点击的是 SKUIItemOfferButton，只是 SKUIItemOfferButton 将处理往上抛而已。

Tweak 注入

Cydia 创始人 Saurik 同时为我们提供了一个 Cydia Substrate 这么一个工具，官方的定义是：The powerful code modification platform behind Cydia。我们可以基于 Cydia Substrate 来开发具有各种功能的代码注入程序。

Cydia Substrate 由 MobileHooker、MobileLoader、Safe mode 三个模块组成。MobileHooker 主要用来替换函数的实现，可以想象成 Runtime 的 Method Swizzle。MobileLoader 是用来加载第三方 dylib 的，我们写的破解程序会在目标程序启动时注入到目标程序。Safe mode 就是安全模式，我们写 tweak 的时候可能会造成 Crash，比如万一造成 SpringBoard 无限 Crash 手机岂不是就没法用了，所以提供了这么一个安全模式。

MobileHooker 提供了一些函数来让我们完成 Hook 的工作，但是我们不直接使用 它们，我们使用基于他们封装的 Logos 工具，Logos 的语法很简单直观，易于上手。比如 %hook 可以指定要 Hook 的类、%orig 可以执行被钩住的函数的原始实现、%new 给一个现成的 class 添加新函数（效果与 class_addMethod 类似）。

Tweak AppStore

那我们来使用  Logos 实现下载的功能，当进入 SKUIStorePageSectionsViewController 页面后，找到下载按钮，然后点击下载，当下载按钮的文字由「获取」变为「打开」，代表下载已完成，然后继续执行后续操作。

%hook SKUIStorePageSectionsViewController- (void)viewDidAppear:(BOOL)animated {  
    %log;
    %orig;     
    // 遍历所有子 View，找到 offerButton 、offerView
    [self findAllSubviews:self.view];    if (offerButton && offerView) {        // 执行下载操作
        [offerView _buttonAction:offerButton];        // 每秒去 check 一下，是否下载完成
        downloadTimer = [NSTimer scheduledTimerWithTimeInterval:1.0 target:self selector:@selector(timerAction) userInfo:nil repeats:YES];
    }       
}
%new
-(void)timerAction {    if ([offerButton.title isEqualToString:@"打开"]) {        // 发送下载完成的通知
        [[NSNotificationCenter defaultCenter] postNotificationName:@"textChangedAction" object:nil];
        downloadTimer = nil;
    }
}
%new
-(void)findAllSubviews:(UIView *)view
 {    for (UIView *subView in view.subviews) {        if (subView.subviews.count) {
            [self findAllSubviews:subView];
        }        
        if ([subView isKindOfClass:NSClassFromString(@"SKUIOfferView")]) {
            offerView = (SKUIOfferView*)subView;
        }        if ([subView isKindOfClass:NSClassFromString(@"SKUIItemOfferButton")]) {
            offerButton = (SKUIItemOfferButton*)subView;
        }
    }
}
%end

其他的操作，与上述其实很类似，比如搜索、跳转都是利用静态或者动态分析找到关键函数，通过 tweak 来实现想要的效果即可。其中还有一个较难的点，就是弹窗提示我们登陆怎么办？如何实现自动登录功能？

Tweak SpringBoard

首先，想到的就是在 AppStore App 中注入代码，Hook UIAlertAction 和 UIAlertController 的代码，会发现并没有产生作用。AppStore 中的弹窗不是它来控制的，而是另外一个进程 SpringBoard，所以要想实现 Hook AppStore 的弹窗，必须对 SpringBoard 进行代码注入。

我们正常如果要实现一个这种弹窗，代码一般是这么写

UIAlertController *actionSheet = [UIAlertController alertControllerWithTitle:@"标题" message:@"注释信息" preferredStyle:UIAlertControllerStyleActionSheet];  
UIAlertAction *action1 = [UIAlertAction actionWithTitle:@"标题1" style:UIAlertActionStyleDefault handler:^(UIAlertAction * _Nonnull action) {  
    NSLog(@"点击了按钮 1");  
}];  
UIAlertAction *action2 = [UIAlertAction actionWithTitle:@"取消" style:UIAlertActionStyleCancel handler:^(UIAlertAction * _Nonnull action) {  
    NSLog(@"点击了按钮 2");  
}];  
  
[actionSheet addAction:action1];  
[actionSheet addAction:action2];  
[self presentViewController:actionSheet animated:YES completion:nil];

基于上面的代码分析可得，我们要想实现自动登录，就要实现自动点击「使用现有的 Apple ID」执行系统的原 action 操作，然后在账号和密码的 TextField 中填入账号密码，点击「好」执行系统的原始 action 操作。其实可以发现，要执行的 action 其实是在初始化 UIAlertAction 过程中，handler block 中加入的逻辑。那么我们就可以 Hook  actionWithTitle:style:handler: 然后将 handler 保存下来，当填写好账号密码后，主动触发 handler 即可。

上面那种方法也可以奏效，但是需要自己额外处理下 alertView 的出现和消失， 为了简单可以直接尝试第二种方法，在分析 UIKit 框架中 UIAlertController 类的头文件时发现 _dismissWithAction:这个方法，然后我就试了一下发现可以完成 dismiss 和 执行 handler 两项功能，所以我就直接使用了这个 API 来模拟点击。核心代码如下：

typedef void(^CDUnknownBlockType)(UIAlertAction *action);CDUnknownBlockType testBlock;static UIAlertAction *keepAction;static int atimers;%hook UIAlertController- (void)viewDidAppear:(BOOL)animated {    %log;    %orig;    if ([keepAction.title isEqualToString:@"使用现有的 Apple ID"]) {        dispatch_after(dispatch_time(DISPATCH_TIME_NOW, (int64_t)(3 * NSEC_PER_SEC)), dispatch_get_main_queue(), ^{            ((void ( *)(id, SEL, UIAlertAction*))objc_msgSend)(self, NSSelectorFromString(@"_dismissWithAction:"),keepAction);        });    }     if ([keepAction.title isEqualToString:@"好"]) {        dispatch_after(dispatch_time(DISPATCH_TIME_NOW, (int64_t)(3 * NSEC_PER_SEC)), dispatch_get_main_queue(), ^{                        if (self.textFields.count > 1) {                self.textFields.firstObject.text = @"[email protected]";                self.textFields.lastObject.text = @"Joyme0304&&&";                ((void ( *)(id, SEL, UIAlertAction*))objc_msgSend)(self, NSSelectorFromString(@"_dismissWithAction:"),keepAction);            }        });    }}%end%hook UIAlertAction+ (id)_actionWithTitle:(id)arg1 descriptiveText:(id)arg2 image:(id)arg3 style:(long long)arg4 handler:(CDUnknownBlockType)arg5 shouldDismissHandler:(CDUnknownBlockType)arg6 {    id obj = %orig;    UIAlertAction *action = (UIAlertAction *)obj;    if ([action.title isEqualToString:@"使用现有的 Apple ID"]) {        testBlock = arg6;        keepAction = obj;    }     if ([action.title isEqualToString:@"好"]) {        testBlock = arg6;        keepAction = obj;    }    return obj;}%end

从代码可以看出我们在 Hook UIAlertAction 的 _actionWithTitle 方法时，并没有 HookactionWithTitle:style:handler:，因为我测试的时候发现在我操作过程中并没有触发，怀疑是苹果没有使用这个 API，直接使用了下面这个方法。

+ (id)_actionWithTitle:(id)arg1 descriptiveText:(id)arg2 image:(id)arg3 style:(long long)arg4 handler:(CDUnknownBlockType)arg5 shouldDismissHandler:(CDUnknownBlockType)arg6 {}

Thinking About The Future

适当增加对 App 安全的精力的投入，像现在业界的很多 App 都处于被破解的状态，网上随处可见各种 App 的破解版，比如爱奇艺会员破解、钉钉远程打卡等。从客户端角度出发，需要增加代码混淆、反调试等手段保证运行环境的安全，同时与后端人员合作增加保证网络数据链路、反作弊的手段。

Summary

本文首先介绍了常见的攻击手段：

1.通过静态分析和动态分析掌握 App 的内部逻辑，通过代码注入实现我们想要的功能，比如自动下载、自动跳转等功能

2.通过分析 App 的网络请求，破解网络协议，模拟真实的网络请求来达到某种目的，比如批量下载，批量评论等功能。

然后介绍了 ASO 的影响因素都有哪些，以及黑帽子和白帽子都是怎么进行 ASO 优化的。最后重点写了如何一步步通过代码注入，实现 AppStore App 的自动登录。