iOS逆向---抖音私信分析

qazx84265

这里分享下 抖音iOS APP聊天协议分析过程。

1. iOS逆向首先需要获取一个脱壳的APP，有越狱手机的可以从手机上脱壳，没有的话可以从pp助手上下载一个（记住需要是越狱的）。


2. 将下载后的ipa文件用解压缩软件（如7zip等）解压，从解压后的目录Payload/Aweme.app/找到Aweme可执行文件，拖入IDA进行反编译，ida可以检测objective-c语法。
然后进入主题，既然是聊天发消息，就尝试在ida里搜索"message"，看看能否找到对应的类或函数。
这里找到了messageBaseViewController，发现一个名为didSendContent: 的函数，根据名字可以大概推断出这应是发送消息的入口，此函数又调用了checkAndSendMessage，
应该是发送前的检查操作，如消息长度等，重点关注回调block，


3. 进入回调函数，可以看到这里出现了一些参数，如目标uid，消息类型等，最后调用sendMessage方法

4. 继续进入，sendMessage方法调用了prepareToSend 方法，以及一个回调


5. 先看看prepareToSend 方法，里面发现了createConversation方法，应该是创建对话，每个聊天都需要先创建一个会话，
也就是先检查跟目标用户之间是否已有对话（可以理解为聊天列表是否有记录）


6. 回到4中提到的prepareToSend 执行后的回调block（即创建对话完成后执行的操作）
可以看到这里继续调用了了sendMessage:conversation:方法（conversion即createConversation返回的会话对象）


7。整个消息发送的函数调用链还是比较长的，就不一一列举，只要跟着入口函数深入，就能看到整个过程


8。在调用链中，可以找到了构建消息体的过程


消息类型：


9。可以看到im消息是走的google的protobuf协议（不熟悉的可以找相关资料了解一下，就是一个序列化协议），发送消息的protobuf
消息结构大致如下图，消息内容，类型等参数都是设置在TIMPBNSendMessageRequestBody里。


10. 然后要做的就是找到上述几个结构是什么样的，这里我们可以通过逆向出抖音代码的头文件进行查看。
使用class-dump工具（使用方法请自行查找）从第1步中的可执行文件中dump出头文件。
这里贴出来，构建protobuf消息体只需要将头文件中的字段联系起来就行。






11。
构建出protobuf消息体后，剩下的发送过程就很简单了，
首先protobuf消息体序列化得到字节集，
然后使用常用的post操作就可以了，消息类型前面已经提到过了，这里补一张发送的名片、链接消息效果




12。总结一下：抖音聊天消息发送过程就是：
   第一步：调用cloud/token接口获取im token
   第二步：登录im服务，登录过程参考【7】的调用链
   第三步：构建创建对话protobuf，创建对话
   第四步：使用获取到的对话信息，构建发送消息protobuf，发送消息

   消息发送这块主要是找到消息体的构建方法，本身不涉及复杂的算法，只有发送post中才会用到通用算法as/mas、x-gorgon、x-ss-stub等，
这些算法有时间，可以整理一下源码（纯c源码），另外看到论坛上已经有朋友分享了用过hook 方式搭建webServer方式来调用app 内部api
来进行加密，也是很巧妙、省时省力的方式。

yy_yhzf

安卓抖音私信我也搞出来了，太艰难了

Boy77wapj

求大佬编译成deb越狱插件啊  谢谢  可以逆向微信的聊天吗 做成微信匿名群聊撒

lizongde

好强大！

derain

膜拜大佬

武胜造纸农

厉害厉害

qqzhen88

又是一个大佬

Makarove

是大佬了，学习到了

Joduska

能不能来个PHP的方式

mhsytalc

感谢分享，很有水平。

qq871053603

很不错的样子，学了不少东西！