iOS逆向之人脸识别绕过

　　达到目的的手段有很多种，也许存在优劣之分，我只是选择了其中一种我认为好玩的方式。人脸识别校验状态存储在服务端，因此即使通过该种方法绕过客户端人脸识别，由于并未获得合法session，因此无任何危害，仅做为IOS逆向学习思路。0×01 准备
　　本文所使用环境：
　　越狱IOS手机1个（本文所用为12.4.4）
　　appstore下载的app一个:
　　登录时存在人脸识别：
　　0×02 脱壳
　　apple在上架应用时，appstore会为上架的app加一层壳。在加壳状态下进行分析极为困难。但该层壳较为简单，可以通过各种自动化工具进行脱壳。如Clutch，CrackerXI+等。 Clutch -i #查看包名 Clutch -d 包名  #脱壳
　　因为本文所用IOS版本为12.4.4，Clutch存在兼容性问题，故使用CrackerXI+进行脱壳，脱出未加壳版本：
　　在CrackerXI+中选择该app脱壳后：
　　把未加壳的ipa包下载到本地：
　　0×03 破解
　　ipa实际上是个压缩包，可以直接通过压缩软件打开，解压其中的二进制文件：
　　用ida反编译ios中的二进制文件
　　分析代码后发现:XXXXBaseViewController loginSuccessIsNeedBind:WithInfo:
　　是登录后，人脸识别的函数，伪代码： void __cdecl -[XXXXAPPBaseViewController loginSuccessIsNeedBind:WithInfo:](XXXXAPPBaseViewController *self, SEL a2, bool a3, id a4) {  BOOL v4; // w22  XXXXAPPBaseViewController *v5; // x21  __int64 v6; // x19  void *v7; // x0  void *v8; // x0  void *v9; // x23  void *v10; // x0  void *v11; // x20  XXXXAPPLoginHelper *v12; // x0  void *v13; // x23  __int64 v14; // x1  __int64 v15; // x1  __int64 v16; // x0  struct objc_object *v17; // x0  void *v18; // x0  void *v19; // x22  void *v20; // x0  void *v21; // x23  int v22; // w24  void *v23; // x0  void *v24; // x0  __int64 v25; // x22  void *v26; // x0  __int64 v27; // x23  const char *v28; // x1  void **v29; // [xsp+0h] [xbp-70h]  __int64 v30; // [xsp+8h] [xbp-68h]  __int64 (__fastcall *v31)(); // [xsp+10h] [xbp-60h]  void *v32; // [xsp+18h] [xbp-58h]  XXXXAPPBaseViewController *v33; // [xsp+20h] [xbp-50h]  __int64 v34; // [xsp+28h] [xbp-48h]  __int64 v35; // [xsp+30h] [xbp-40h]  bool v36; // [xsp+38h] [xbp-38h]  v4 = a3;//赋值v4  v5 = self;  v6 = objc_retain(a4, a2);  v7 = objc_msgSend(&OBJC_CLASS___UIApplication, ＂sharedApplication＂);  v8 = (void *)objc_retainAutoreleasedReturnValue(v7);  v9 = v8;  v10 = objc_msgSend(v8, ＂delegate＂);  v11 = (void *)objc_retainAutoreleasedReturnValue(v10);  objc_release(v9);  if ( (unsigned int)-[XXXXAPPBaseViewController needInputIDCardInfomation:](v5, ＂needInputIDCardInfomation:＂, v6) ) {    +[PCUtil setObject:forKey:](&OBJC_CLASS___PCUtil, ＂setObject:forKey:＂, CFSTR(＂1＂), CFSTR(＂maybeNeedBackLoginGuide＂));    v12 = +[XXXXAPPLoginHelper sharedInstance](&OBJC_CLASS___XXXXAPPLoginHelper, ＂sharedInstance＂);    v13 = (void *)objc_retainAutoreleasedReturnValue(v12);    v29 = _NSConcreteStackBlock;    v30 = 3254779904LL;    v31 = sub_1000B05E4;    v32 = &unk_10263F2D8;    v33 = v5;    v36 = v4;    v34 = objc_retain(v11, v14);    v35 = objc_retain(v6, v15);    objc_msgSend(      v13,      ＂setCompleteGuideBlock:＂,      &v29,      _NSConcreteStackBlock,      3254779904LL,      sub_1000B05E4,      &unk_10263F2D8,      v5);    objc_release(v13);    objc_release(v35);    v16 = v34; LABEL_9:    objc_release(v16);    goto LABEL_10; }  if ( v4 ) //判断v4(bool)值,确定是否进入人脸识别 {    v17 = +[PNCMBankGlobal sharedData](&OBJC_CLASS___PNCMBankGlobal, ＂sharedData＂);    v18 = (void *)objc_retainAutoreleasedReturnValue(v17);    v19 = v18;    v20 = objc_msgSend(v18, ＂bindType＂);    v21 = (void *)objc_retainAutoreleasedReturnValue(v20);    v22 = (unsigned __int64)objc_msgSend(v21, ＂isEqualToString:＂, CFSTR(＂FACE＂));    objc_release(v21);    objc_release(v19);    v23 = objc_msgSend(v11, ＂rootVC＂);    v24 = (void *)objc_retainAutoreleasedReturnValue(v23);    v25 = (__int64)v24;    v26 = objc_msgSend(v24, ＂navigationController＂);    v27 = objc_retainAutoreleasedReturnValue(v26);    if ( v22 )      v28 = ＂goToFaceCheckBindVC:info:＂;    else      v28 = ＂goSmsOrUKBindInfoVC:info:＂;    objc_msgSend(v5, v28, v27, v6);    objc_release(v27);    v16 = v25;    goto LABEL_9; }  -[XXXXAPPBaseViewController AfterBindSuccess:isNeedBind:](v5, ＂AfterBindSuccess:isNeedBind:＂, v6, 0LL); LABEL_10:  objc_release(v11);  objc_release(v6); }
　　分析代码发现： void __cdecl -[XXXXAPPBaseViewController loginSuccessIsNeedBind:WithInfo:](XXXXAPPBaseViewController *self, SEL a2, bool a3, id a4) v4 = a3; //... if ( v4 ) { //... //人脸识别函数 //... }
　　因此即理想状态为：
　　只需使if(v4)判断永假，即可永不进入登录后的人脸识别，而v4又来源于v3，因此只要使v3为0或在赋值时强制赋0值，即可。
　　因此即理想状态为： void __cdecl -[XXXXAPPBaseViewController loginSuccessIsNeedBind:WithInfo:](XXXXAPPBaseViewController *self, SEL a2, bool a3, id a4) v4 = 0;//v4 = a3; //... if ( v4 ) { //... //人脸识别函数 //... }
　　查看v4 = a3对应汇编代码：
　　利用keypatch插件修改 MOV             X22, X2 修改为 MOV             X22, #0
　　修改后：
　　即修改地址000B03A8
　　F6 03 02 AA->16 00 80 D2
　　修改后：
　　伪代码： void __cdecl -[XXXXAPPCBBaseViewController loginSuccessIsNeedBind:WithInfo:](XXXXAPPCBBaseViewController *self, SEL a2, bool a3, id a4) {  XXXXAPPCBBaseViewController *v4; // x21  __int64 v5; // x19  void *v6; // x0  void *v7; // x0  void *v8; // x23  void *v9; // x0  __int64 v10; // x20  XXXXAPPCBLoginHelper *v11; // x0  void *v12; // x23  __int64 v13; // x1  __int64 v14; // x1  void **v15; // [xsp+0h] [xbp-70h]  __int64 v16; // [xsp+8h] [xbp-68h]  __int64 (__fastcall *v17)(); // [xsp+10h] [xbp-60h]  void *v18; // [xsp+18h] [xbp-58h]  XXXXAPPCBBaseViewController *v19; // [xsp+20h] [xbp-50h]  __int64 v20; // [xsp+28h] [xbp-48h]  __int64 v21; // [xsp+30h] [xbp-40h]  char v22; // [xsp+38h] [xbp-38h]  v4 = self;  v5 = objc_retain(a4, a2);  v6 = objc_msgSend(&OBJC_CLASS___UIApplication, ＂sharedApplication＂);  v7 = (void *)objc_retainAutoreleasedReturnValue(v6);  v8 = v7;  v9 = objc_msgSend(v7, ＂delegate＂);  v10 = objc_retainAutoreleasedReturnValue(v9);  objc_release(v8);  if ( (unsigned int)-[XXXXAPPCBBaseViewController needInputIDCardInfomation:](v4, ＂needInputIDCardInfomation:＂, v5) ) {    +[PCUtil setObject:forKey:](&OBJC_CLASS___PCUtil, ＂setObject:forKey:＂, CFSTR(＂1＂), CFSTR(＂maybeNeedBackLoginGuide＂));    v11 = (XXXXAPPCBLoginHelper *)+[XXXXAPPCBLoginHelper sharedInstance](&OBJC_CLASS___XXXXAPPCBLoginHelper, ＂sharedInstance＂);    v12 = (void *)objc_retainAutoreleasedReturnValue(v11);    v15 = _NSConcreteStackBlock;    v16 = 3254779904LL;    v17 = sub_1000B05E4;    v18 = &unk_10263F2D8;    v19 = v4;    v22 = 0;    v20 = objc_retain(v10, v13);    v21 = objc_retain(v5, v14);    objc_msgSend(      v12,      ＂setCompleteGuideBlock:＂,      &v15,      _NSConcreteStackBlock,      3254779904LL,      sub_1000B05E4,      &unk_10263F2D8,      v4);    objc_release(v12);    objc_release(v21);    objc_release(v20); }  else {    -[XXXXAPPCBBaseViewController AfterBindSuccess:isNeedBind:](v4, ＂AfterBindSuccess:isNeedBind:＂, v5, 0LL); }  objc_release(v10);  objc_release(v5); }
　　可以看到，已经无人脸识别相关函数。
　　patch到2进制文件：
　　0×04 安装
　　将修改后的二进制文件拖入ipa压缩包中覆盖原始文件
　　将修改后的ipa放入手机中：
　　使用ReProvision工具签名安装：
　　签名：
　　成功签名：
　　0×05 完成
　　直接输入账号密码即可登录，无需人脸识别即可进入设置指纹、手势密码页面，然后可登录成功。
　　但登录后由于人脸识别验证在服务端，客户端中并无数据，因此无实际危害。