学习hook
,不是要攻击别人,破坏别人的应用场景,而是为了更好的防护,让自己的应用更坚固更安全。
一、动态库注入回顾
在 《动态库注入》中使用了
yololib
对自定义动态库在WX
应用中插入,既然能插入自定义库,我们就利用hook
技术做了小小的改动,替换了登录按钮的方法,并拦截了微信步数上传的方法,修改了步数。hook
是改变程序执行流程的技术,能够修改其他应用,也能对自己应用做防护。
通常替换方法有如下:
- 使用
method_exchange
交换sel
的imp
指针; - 通过
getImp
获取原有函数指针,通过setImp
设置原sel
指向的指针为自定义函数指针; - 通过
getImp
获取原有函数指针,通过replace
替换原sel
指向的指针为自定义函数指针,通setImp
一样。
自己项目中使用:
通常在自己项目中使用,建立分类,在分类
load
中来替换方法,以达到监听方法调用的目的。
hook
视图的出现消失:跟踪页面位置;
hook
析构函数dealloc
(deinit
):跟踪对象释放状况;
hook
消息转发方法(forword):避免调用未实现方法而产生崩溃;
hook
数组objectAtIndexedSubscript
方法:避免数组越界崩溃;
……只要是
OC
的方法都可以根据业务需求进行监听修改或替换。
在其他应用中使用:
通过动态库注入的方式,来插入自己的
load
,让自己的代码能和其他项目一起执行,同样使用我们常规的替换方法即可。通过查看视图页面属性确定要hook
的目标对象。
hook
微信步数获取方法:实现微信步数修改;
hook
微信抢红包相关方法:实现自动抢红包功能;
hook
微信消息撤回方法:实现拒绝消息撤回功能;
(ps:学习中,实战不多,有方法就有更多的可能)在其他应用中是通过动态库来进行
hook
的,因此在目标对象所在类的方法列表中并没有要替换的方法,回归原有方法调用会出现崩溃,这里可以使用获取原有方法的函数地址,直接调用函数即可实现原有方法的调用。
以上是针对OC
的动态特性来hook
的,我们能够hook
动态语言下的函数,那么能不能直接hook
系统的静态函数呢,下面来看一下fishhook
是如何hook
的。
二、fishhook概述
fishhook 是FaceBook
的开源库,能够动态的修改MachO
的符号表,来hook
系统的C
函数。 C
函数是在编译时来确定函数地址在内存中的偏移量,编译后该偏移量是确定的,为什么说是偏移量是确定的呢?
在很多系统中都采用了 ASLR 技术,对堆、栈、共享库等线性区布局进行随机化,来避免攻击者直接获取攻击代码位置。MachO
的首地址是随机变化的,找到首地址就能找到对应的函数地址,即 Offset + MachO
。
静态语言:编译时确定函数地址
动态语言:运行时确定函数地址
三、fishhook简单使用
使用步骤:
1、直接将.c、.h
加入到工程;
2、创建结构体指明被替换的函数、替换的函数、接收原函数地址的指针;
3、绑定符号表。
使用库函数交换系统NSLog
函数:
#pragma mark - 交换NSLog
-(void)exchangeLog {
NSLog(@"我来了");
//hook NSLog函数
struct rebinding imp;
imp.name = "NSLog";
imp.replacement = my_NSLog;
imp.replaced = &sys_nslog;
//存放rebinding结构体数组,一次可以交换多个函数
struct rebinding rebs[1] = {imp};
rebind_symbols(rebs, 1);
NSLog(@"点击了屏幕");
}
//实现一个函数来替换原有函数-函数名称即是函数的指针
void my_NSLog(NSString *format, ...) {
printf("拦截打印\n");
sys_nslog(format);
}
//定义指针来接收原始函数的指针
static void (*sys_nslog)(NSString *format,...);
打印如下:
拦截打印
点击了屏幕
运行输出,方法被拦截,说明NSLog
函数已被替换。
上面有提到,所有的函数地址在编译后都是确定,在OC
中能够交换方法是因为有sel
和imp
的连接过程,函数与用户之间有一个中间者,那么fishhook
应该也是如此,修改了中间者的imp
指向,否则直接调用函数,就没有交换的可能,在MachO
中这个中间者叫符号。
动态替换:
user -> sel -> imp
静态替换:user -> symbol -> imp
hook自定义函数
-(void)exchangeFun{
struct rebinding imp;
imp.name = "old_func";
imp.replacement = new_func;
imp.replaced = &sys_func;
struct rebinding rebs[1] = {imp};
rebind_symbols(rebs, 1);
old_func();
}
void (*sys_func);
void old_func(){
printf("old_func\n");
}
void new_func(){
printf("new_func\n");
}
打印如下:
old_func
打印还是原来的方法,这里并没有替换。这里可以猜想自定义函数调用没有产生中间者,这里是直接调用的,所以无法交换。
四、fishhook的实现原理
fishhook
主要利用了共享缓存功能和PIC
技术来实现hook
功能。
动态共享缓存
iOS
系统为节省内存资源,将系统的动态库资源统一放在了系统的共享区域,该区域其他应用都可以访问。
PIC技术
PIC
技术叫位置代码独立,在MachO
文件中会预留出一段空间,这一段空间叫做符号表,在MachO
文件的数据段中。dyld
在加载MachO
文件到内存中后,会将共享区的系统函数地址绑定到对应的符号上,并插入到符号表中。这样在项目中调用相关系统函数时,实际上调用的是对应的符号,通过符号来找到具体的系统函数地址。
到这里思路应该清晰很多,fishhook
实现如下:
- 根据符号(字符)获取系统函数地址;
- 替换符号指向的地址为用户声明的函数地址(符号绑定);
- 对外部声明的指针进行系统函数地址赋值。
上面所提到的自定义函数无法hook
也就了然了,自定义函数地址确定在代码段中,缺少dyld
的符号绑定阶段,并且应用中调用的是最原始的函数地址,因此无法交换。
data段:程序运行期间可读可写
代码段:程序运行期间只读
五、fishhook符号绑定分析
这里使用 MachOView 工具,对以上给出的代码生成的MachO
文件进行分析。
*获取符号表地址
1、machO
符号表中有懒加载表(_la_symbol_ptr
)和非懒加载表(_nl_symbol_ptr
)的_data
段,在表中存放着与外部绑定的函数指针,在懒加载端有offset
地址,如下:
- 这里都是我们熟悉的名称,这些函数的使用是需要进行懒加载绑定的
- 提供了相对于
MachO
起始地址的偏移量offset
,实际地址即是系统函数所在的内存地址
这里观察NSLog
函数,记住offset=0x4030
这个偏移量。
2、在打印函数调用前下断点,执行image list
获取模块列表,如下:
- 这里的
image
就是一个个模块,一个个MachO
文件
找到第一个模块地址:0x00000001081f4000
,该地址为应用程序的起始地址,在程序运行期间是固定,重新启动该地址则会随机变化,即上面所提到的 ASLR 技术。
3、起始地址与偏移量相加:0x00000001081f4000 + 4030 = 0x1081F8030
(这里使用mac
计算器的编程器),便是符号表的地址,记住这个值。
读内存
1、读取符号表地址
memory read 0x1081F8030
取第一行,从右向左取8位数据:0x01081f6984
,改地址即是系统函数NSLog
地址,使用命令:
dis -s 0x01081f6984
打印汇编,查看绑定情况。打印如下:
由于是查看懒加载表的偏移量,此时函数还没有调用,并没有绑定。
2、断点到rebind_symbols(rebs, 1)
处,运行再打印符号表地址:
memory read 0x1081F8030
打印如下:
0x1081f8030: be e1 58 08 01 00 00 00 5d a5 57 08 01 00 00 00 ..X.....].W.....
0x1081f8040: 16 6b 29 0c 01 00 00 00 ca 69 1f 08 01 00 00 00 .k)......i......
同上从右向左取8位,再来查看汇编内容:
dis -s 0x010858e1be
打印如下:
符号表有内容了,说明NSLog
为懒加载,运行后,将Foundation
中的NSLog
加入到符号表中。因此只要该函数被加载过,就可以找到绑定的符号地址。
3、继续执行,使用fishhook
进行hook,再查看符号表地址内容:
memory read 0x1081F8030
打印如下:
由于fishhook
对系统NSLog
函数的替换,以上地址发生了变化,取地址查看内容:
dis -s 0x01081f5c60
打印如下:
此时发现符号表绑定了fishhookDemo
的my_NSLog
,说明此处的符号绑定被替换了。
通过以上实验能够知道,dyld
会对系统函数进行符号绑定,符号表在数据段,可读可写,dyld
可以绑定,fishhook
也可以通过系统函数进行绑定。
通过符号表查找系统函数
回到MachO文件,来看看Lazy Symbol、Dynamic Symbol Table、Symbol Table、String Table
表关系:
1、Lazy Symbol
和Dynamic Symbol Tabel
一一对应(在数组的下标一致)这两个表包含了所有与动态库相关的符号;
2、Dynamic Symbol Tabel
和Symbol Table
关联,Dynamic Symbol Table
中的Data
字段是Symbol Table
数组的下标;
3、Symbol Table
中的data
字段地址 + String Table
表的起始地址,就是目标函数对应字符的位置。
以NSLog为例验证
- 上面两张图的下标与
value
一一对应
找到indirect Symbols
表中的_NSLog
项:
以NSLog
函数为例,找到Data
地址0x94,等于十进制148,即为Symbol Table
表中NSLog
对应的下标,如下:
通过下标找到了对应的符号,主要上面的标注0xBA为String Table
中的偏移量,表的起始地址加上偏移量即是函数名所在的位置。
通过首地址获取最终函数名,0xBA + 0x6180 = 0x623A,找到0x623A地址处,如下:
最终找到了系统的函数。
小结:
OC
的运行时替换,和fishhook
对系统函数的替换,都是由于有中间者的存在,才有hook
的机会。
六、fishhook源码分析
……