基于iOS简单的hook原理及防护

上一篇文章介绍到了给ipa注入我们的库,接下来就是要hook我们感兴趣的代码,在hook之前,简单的了解一下hook的原理,之后我们再进行简单的hook和防护的介绍。

  • Hook 原理
    Hook的原理就是改变程序执行的流程。
  • Hook 的几种方式。(我没有介绍全,大家仅作参考)
    1.Method Swizzle
    2.fishHook
    3.Cydia Substrate

Method Swizzle 原理

我们都知道,oc是一门动态的语言,OC的方法都是根据名字动态的去寻找、执行。OC中有一个RunTime技术,在RunTime中我们可以动态的修改SEL(方法编号) 和 IMP(方法实现)的对应关系,其中就有一个method_exchangeImplementations接口,这是runTime提供的方法交换接口。Method Swizzle的原理就是基于OC这门语言的动态性进行hook的。

fishHook 原理

fishHook是由faceBook开发的,是一个动态修改MachO文件的工具,主要是通过修改懒加载和非懒加载表里的指针的指向来达到hook的目的,因此我们一般用它来hook系统的C函数。

  • fishHook示例
static void (* old_log)(NSString* str);
void newLog(NSString * str){
    str = [str stringByAppendingString:@"\n 勾住了"];
    old_log(str);
}
//hook
rebind_symbols((struct rebinding [1]){{"NSLog",newLog,(void *)&old_log}}, 1);
rebind_symbols的简单逻辑
假设:
A -> 原方法 ,B -> 新方法 ,Temp -> 中间变量
Temp = A;
A = B;
hook后需要调用原方法就调用Temp
  • 我们进一步分析fishHook
    1 > 首先,我们的MachO文件是被dyld(dynamic load)动态加载的,也就是说,MachO文件被加载到内存的时候是不固定的,他有一个ASLR随机值。
    2 >同样,我们依赖的系统库的加载也是随机的,因此,当MachO文件加载到内存之前根本不知道系统库在哪
    3 > 因此 ,苹果采用了PIC技术(位置代码独立,位置和代码无关),假设我们要调用NSLog函数

1.首先会在映射表中增加一个间接指针,指向外部的NSLog函数
间接指针符号表.png

,dyld会动态的去绑定,将指针指向外部的函数地址。

  • 因此我们可以得出以下的结论:
    1.虽然C语言是一门静态的语言,但是它也有动态的部分。
    2.fishHook的原理就是修改这个映射表中指针指向的函数地址到达hook的目的。
    3.我们不能用fishhook来hook自己写的C函数是因为符号表里没有我们自己写的函数的函数名。

  • 那么问题来了,映射表中指针的位置并不好找,fishHook是如何通过方法的名字就能更改映射表中的指针的呢?

    先给大家po一张fishHook官方提供的原理图
    fishHook官方提供的原理图

下面我们来解说一下这表。我们采用的是反推法,从结束找开始。


懒加载符号指针表.png

下面是一张间接符号表,位置和懒加载符号指针表位置一一对应 ,在指针表中是第一个,间接符号表中也是第一个。

符号映射表.png

data -> 0x7a,转换成十进制就是122,然后去Symbol Table中寻找

symbolTable中的符号表.png

找到了耶✌️,这边还有一个data 是0x9a ,接着去stringTable中找 stringTable的首地址加上0x9a的偏移就是字符串的地址


stringtable中位置计算.png

找到了!。大家可以试着正推,

  • 还有一个知识点,在上面的懒加载符号指针表中,有一个offset字段,那个字段的值是nslog函数的位置相对于macho文件的偏移
    通过符号表查找函数实现.png

    ps:首地址大家可以输入$ image list ,第一个地址就是MachO的在内存中的首地址
    汇编状态下反汇编输出$dis -s 地址

Cydia Substrate 原理

跟method Swizzle类似,也是用的OC的动态性,知识Method Swizzle是用的方法交换,Cydia Substrate 是用的method_getImplementationmethod_setImplementation这两个方法,获取方法实现和设置方法实现

简单的Hook防护

我们已经知道了前面几个hook的原理,接下来我们说说防护

  • 防护Method Swizzle :
    1 > 我们知道Method Swizzle原理是方法交换,那么我们可以使用fishHook 修改method_exchangeImplementations函数的指向,这个修改指向要在我们的方法交换之后进行(保证自己能改,别人不能改)。
    2 >我们的方法交换要在别人hook之前执行,这个地方就需要将我们的方法封装到静态库中,静态库中的load方法会先加载

*防护Cydia Substrate
它的原理是修改imp的set和get方法,因此我们也可以通过fishHook修改method_getImplementationmethod_setImplementation方法

*防护fishHook
额,这个涉及到macho文件操作耶,续待吧。

献丑贴上我的示例代码

//
//  hookMgr.m
//  基本防护
//
//  Created by Donkey on 2018/5/20.
//  Copyright © 2018年 Donkey. All rights reserved.
//

#import "hookMgr.h"
#import "fishhook.h"
#import <objc/message.h>

@implementation hookMgr

+(void)load{
    //1.先交换,防护之前要将所有的交换都写完
    Method oldOne =  class_getInstanceMethod(objc_getClass("ViewController"), @selector(btnClickOne:));
    Method newOne =  class_getInstanceMethod(self, @selector(ClickOneHook:));
    method_exchangeImplementations(oldOne, newOne);
    
    //2.基本防护 Method Swizzle
    struct rebinding bd ;
    bd.name = "method_exchangeImplementations"; //原函数名(字符串) A函数
    bd.replacement = myExchange; //交换后的函数 B函数
    bd.replaced = (void *)&old_exchage; //暂存原函数的地址 中间变量temp函数,
    
    //3.升级防护,用于防护logos (cydia substrate)
    //    method_setImplementation
    struct rebinding bd1 ;
    bd1.name = "method_getImplementation";
    bd1.replacement = myExchange;
    bd1.replaced = (void *)&getImp;
    
    struct rebinding bd2 ;
    bd2.name = "method_setImplementation";
    bd2.replacement = myExchange;
    bd2.replaced = (void *)&setImp;
    
    //fishhook 方法交换
    struct rebinding rebind[] = {bd,bd1,bd2};
    
    /*
     arg1:数组,元素必须是rebinding这个结构体
     arg2:数组个数
     */
    rebind_symbols(rebind, 3);
}


//用于存放method_exchangeImplementations涵数 也就是Temp函数
void (* old_exchage)(Class _Nullable cls, SEL _Nonnull name);

//用于存放method_getImplementation涵数
IMP _Nonnull(*getImp)(Method _Nonnull m) ;

//用于存放method_setImplementation涵数
IMP _Nonnull(*setImp)(Method _Nonnull m, IMP _Nonnull imp) ;


//新的交换函数 B函数
void myExchange(Class _Nullable cls, SEL _Nonnull name){
    NSLog(@"检测到hook");
    exit(1);
}


@end

//将以上代码放在framework里的类中

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,616评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,020评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,078评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,040评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,154评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,265评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,298评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,072评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,491评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,795评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,970评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,654评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,272评论 3 318
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,985评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,223评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,815评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,852评论 2 351

推荐阅读更多精彩内容

  • 一、Fishhook 是什么? 简单来说Fishhook就是hook函数的一种工具,当然它hook的原理和我们熟知...
    bland_Xu阅读 4,293评论 2 18
  • 一、HOOK概述 HOOK(钩子) 其实就是改变程序执行流程的一种技术的统称! 009--HOOK原理 一、HOO...
    iOS_LeON阅读 792评论 0 1
  • HOOK概述 HOOK(钩子) 其实就是改变程序执行流程的一种技术的统称! iOS中HOOK技术的几种方式 1、M...
    Colin_狂奔的蚂蚁阅读 1,714评论 1 3
  • 转至元数据结尾创建: 董潇伟,最新修改于: 十二月 23, 2016 转至元数据起始第一章:isa和Class一....
    40c0490e5268阅读 1,692评论 0 9
  • [TOC] 回顾 注入的相关要素: 注入的形式:利用动态库的特性进行注入,包括Framework、Dylib。可以...
    _顺_1896阅读 854评论 0 0