fishhook-动态修改MachO文件

fishhook.png

学习hook,不是要攻击别人,破坏别人的应用场景,而是为了更好的防护,让自己的应用更坚固更安全。

一、动态库注入回顾

《动态库注入》中使用了yololib对自定义动态库在WX应用中插入,既然能插入自定义库,我们就利用hook技术做了小小的改动,替换了登录按钮的方法,并拦截了微信步数上传的方法,修改了步数。hook是改变程序执行流程的技术,能够修改其他应用,也能对自己应用做防护。

通常替换方法有如下:

  1. 使用method_exchange交换selimp指针;
  2. 通过getImp获取原有函数指针,通过setImp设置原sel指向的指针为自定义函数指针;
  3. 通过getImp获取原有函数指针,通过replace替换原sel指向的指针为自定义函数指针,通setImp一样。

自己项目中使用:

通常在自己项目中使用,建立分类,在分类load中来替换方法,以达到监听方法调用的目的。

hook视图的出现消失:跟踪页面位置;
hook析构函数deallocdeinit):跟踪对象释放状况;
hook消息转发方法(forword):避免调用未实现方法而产生崩溃;
hook数组objectAtIndexedSubscript方法:避免数组越界崩溃;
……

只要是OC的方法都可以根据业务需求进行监听修改或替换。

在其他应用中使用:

通过动态库注入的方式,来插入自己的load,让自己的代码能和其他项目一起执行,同样使用我们常规的替换方法即可。通过查看视图页面属性确定要hook的目标对象。

hook微信步数获取方法:实现微信步数修改;
hook微信抢红包相关方法:实现自动抢红包功能;
hook微信消息撤回方法:实现拒绝消息撤回功能;
(ps:学习中,实战不多,有方法就有更多的可能)

在其他应用中是通过动态库来进行hook的,因此在目标对象所在类的方法列表中并没有要替换的方法,回归原有方法调用会出现崩溃,这里可以使用获取原有方法的函数地址,直接调用函数即可实现原有方法的调用。

以上是针对OC的动态特性来hook的,我们能够hook动态语言下的函数,那么能不能直接hook系统的静态函数呢,下面来看一下fishhook是如何hook的。

二、fishhook概述

fishhookFaceBook的开源库,能够动态的修改MachO的符号表,来hook系统的C函数。 C函数是在编译时来确定函数地址在内存中的偏移量,编译后该偏移量是确定的,为什么说是偏移量是确定的呢?

在很多系统中都采用了 ASLR 技术,对堆、栈、共享库等线性区布局进行随机化,来避免攻击者直接获取攻击代码位置。MachO的首地址是随机变化的,找到首地址就能找到对应的函数地址,即 Offset + MachO

静态语言:编译时确定函数地址
动态语言:运行时确定函数地址

三、fishhook简单使用

使用步骤:

1、直接将.c、.h加入到工程;
2、创建结构体指明被替换的函数、替换的函数、接收原函数地址的指针;
3、绑定符号表。

使用库函数交换系统NSLog函数:

#pragma mark - 交换NSLog
-(void)exchangeLog {
     NSLog(@"我来了");
    //hook NSLog函数
    struct rebinding imp;
    imp.name = "NSLog";
    imp.replacement = my_NSLog;
    imp.replaced = &sys_nslog;
    
    //存放rebinding结构体数组,一次可以交换多个函数
    struct rebinding rebs[1] = {imp};
    rebind_symbols(rebs, 1);
    NSLog(@"点击了屏幕");
}
//实现一个函数来替换原有函数-函数名称即是函数的指针
void my_NSLog(NSString *format, ...) {
    printf("拦截打印\n");
    sys_nslog(format);
}
//定义指针来接收原始函数的指针
static void (*sys_nslog)(NSString *format,...);

打印如下:

拦截打印
点击了屏幕

运行输出,方法被拦截,说明NSLog函数已被替换。

上面有提到,所有的函数地址在编译后都是确定,在OC中能够交换方法是因为有selimp的连接过程,函数与用户之间有一个中间者,那么fishhook应该也是如此,修改了中间者的imp指向,否则直接调用函数,就没有交换的可能,在MachO中这个中间者叫符号。

动态替换:user -> sel -> imp
静态替换:user -> symbol -> imp

hook自定义函数

-(void)exchangeFun{
    struct rebinding imp;
    imp.name = "old_func";
    imp.replacement = new_func;
    imp.replaced = &sys_func;
    struct rebinding rebs[1] = {imp};
    rebind_symbols(rebs, 1);
    old_func();
}
void (*sys_func);
void old_func(){
    printf("old_func\n");
}
void new_func(){
    printf("new_func\n");
}

打印如下:

old_func

打印还是原来的方法,这里并没有替换。这里可以猜想自定义函数调用没有产生中间者,这里是直接调用的,所以无法交换。

四、fishhook的实现原理

fishhook主要利用了共享缓存功能和PIC技术来实现hook功能。

动态共享缓存

iOS系统为节省内存资源,将系统的动态库资源统一放在了系统的共享区域,该区域其他应用都可以访问。

PIC技术

PIC技术叫位置代码独立,在MachO文件中会预留出一段空间,这一段空间叫做符号表,在MachO文件的数据段中。dyld在加载MachO文件到内存中后,会将共享区的系统函数地址绑定到对应的符号上,并插入到符号表中。这样在项目中调用相关系统函数时,实际上调用的是对应的符号,通过符号来找到具体的系统函数地址。

symbol.png

到这里思路应该清晰很多,fishhook实现如下:

  1. 根据符号(字符)获取系统函数地址;
  2. 替换符号指向的地址为用户声明的函数地址(符号绑定);
  3. 对外部声明的指针进行系统函数地址赋值。

上面所提到的自定义函数无法hook也就了然了,自定义函数地址确定在代码段中,缺少dyld的符号绑定阶段,并且应用中调用的是最原始的函数地址,因此无法交换。

data段:程序运行期间可读可写
代码段:程序运行期间只读

五、fishhook符号绑定分析

这里使用 MachOView 工具,对以上给出的代码生成的MachO文件进行分析。

*获取符号表地址

1、machO符号表中有懒加载表(_la_symbol_ptr)和非懒加载表(_nl_symbol_ptr)的_data段,在表中存放着与外部绑定的函数指针,在懒加载端有offset地址,如下:

lazy_symbol.png
  • 这里都是我们熟悉的名称,这些函数的使用是需要进行懒加载绑定的
  • 提供了相对于MachO起始地址的偏移量offset,实际地址即是系统函数所在的内存地址

这里观察NSLog函数,记住offset=0x4030这个偏移量。

2、在打印函数调用前下断点,执行image list获取模块列表,如下:

image.png
  • 这里的image就是一个个模块,一个个MachO文件

找到第一个模块地址:0x00000001081f4000,该地址为应用程序的起始地址,在程序运行期间是固定,重新启动该地址则会随机变化,即上面所提到的 ASLR 技术。

3、起始地址与偏移量相加:0x00000001081f4000 + 4030 = 0x1081F8030(这里使用mac计算器的编程器),便是符号表的地址,记住这个值。

读内存

1、读取符号表地址

memory read 0x1081F8030
offset.png

取第一行,从右向左取8位数据:0x01081f6984,改地址即是系统函数NSLog地址,使用命令:

dis -s 0x01081f6984

打印汇编,查看绑定情况。打印如下:

dis.png

由于是查看懒加载表的偏移量,此时函数还没有调用,并没有绑定。

2、断点到rebind_symbols(rebs, 1)处,运行再打印符号表地址:

memory read 0x1081F8030

打印如下:

0x1081f8030: be e1 58 08 01 00 00 00 5d a5 57 08 01 00 00 00  ..X.....].W.....
0x1081f8040: 16 6b 29 0c 01 00 00 00 ca 69 1f 08 01 00 00 00  .k)......i......

同上从右向左取8位,再来查看汇编内容:

dis -s 0x010858e1be

打印如下:

func.png

符号表有内容了,说明NSLog为懒加载,运行后,将Foundation中的NSLog加入到符号表中。因此只要该函数被加载过,就可以找到绑定的符号地址。

3、继续执行,使用fishhook进行hook,再查看符号表地址内容:

memory read 0x1081F8030

打印如下:

hook_func.png

由于fishhook对系统NSLog函数的替换,以上地址发生了变化,取地址查看内容:

dis -s 0x01081f5c60

打印如下:

replace.png

此时发现符号表绑定了fishhookDemomy_NSLog,说明此处的符号绑定被替换了。

通过以上实验能够知道,dyld会对系统函数进行符号绑定,符号表在数据段,可读可写,dyld可以绑定,fishhook也可以通过系统函数进行绑定。

通过符号表查找系统函数

回到MachO文件,来看看Lazy Symbol、Dynamic Symbol Table、Symbol Table、String Table表关系:

1、Lazy SymbolDynamic Symbol Tabel一一对应(在数组的下标一致)这两个表包含了所有与动态库相关的符号;

2、Dynamic Symbol TabelSymbol Table关联,Dynamic Symbol Table中的Data字段是Symbol Table数组的下标;

3、Symbol Table中的data字段地址 + String Table表的起始地址,就是目标函数对应字符的位置。

以NSLog为例验证

lazy.png
indirect.png
  • 上面两张图的下标与value一一对应

找到indirect Symbols表中的_NSLog项:

indirect_data.png

NSLog函数为例,找到Data地址0x94,等于十进制148,即为Symbol Table表中NSLog对应的下标,如下:

symbol.png

通过下标找到了对应的符号,主要上面的标注0xBA为String Table中的偏移量,表的起始地址加上偏移量即是函数名所在的位置。

string_table.png

通过首地址获取最终函数名,0xBA + 0x6180 = 0x623A,找到0x623A地址处,如下:

string.png

最终找到了系统的函数。

小结:

OC的运行时替换,和fishhook对系统函数的替换,都是由于有中间者的存在,才有hook的机会。

六、fishhook源码分析

……

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,080评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,422评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,630评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,554评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,662评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,856评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,014评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,752评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,212评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,541评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,687评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,347评论 4 331
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,973评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,777评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,006评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,406评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,576评论 2 349

推荐阅读更多精彩内容