Dobby
下载
从Git上clone下来,指令:git clone https://github.com/jmpews/Dobby.git --depth=1
Dobby是跨平台的,因为不是Xcode工程,需要借助cMake编译成Xcode工程,需要先安装CMake支持,到官网下载CMake.dmg,笔者下载的是cmake-3.20.2-macos-universal.dmg。
cMake配置环境变量:
export CMAKE=/Applications/CMake.app/Contents/bin
export PATH=$CMAKE:$PATH
编译
命令:
cd Dobby && mkdir build_for_ios_arm64 && cd build_for_ios_arm64
cmake .. -G Xcode \
-DCMAKE_TOOLCHAIN_FILE=cmake/ios.toolchain.cmake \
-DPLATFORM=OS64 -DARCHS="arm64" -DCMAKE_SYSTEM_PROCESSOR=arm64 \
-DENABLE_BITCODE=0 -DENABLE_ARC=0 -DENABLE_VISIBILITY=1 -DDEPLOYMENT_TARGET=9.3 \
-DDynamicBinaryInstrument=ON -DNearBranch=ON -DPlugin.SymbolResolver=ON -DPlugin.Darwin.HideLibrary=ON -DPlugin.Darwin.ObjectiveC=ON
通过上面的命令,如果成功的话,在
build_for_ios_arm64会的到Dobby的工程,然后用Xcode打开,配置相应开发者账号,主要请求描述文件
设置bitcode支持,然后
command + b,就会得到一个Dobbyx.framework,就可以拿这个Dobbyx.framework去实现inlineHooK了
使用
新建工程,将上面编译得到的Dobbyx.framework拉近工程,查看如果没有Copy file就添加。添加库文件,改Destination为Frameworks
添加完成后,编译运行到手机,控制台树池如下就成功了。就可以开始测试验证一下能不能Hook了。
导入头文件#import <DobbyX/dobby.h>,编写HOOK代码:
int sum(int a, int b){
return a + b;
}
- (void)viewDidLoad {
[super viewDidLoad];
// replace function
// 参数1:需要hook函数地址
// 参数2:新函数地址
// 参数3:原来函数地址
// int DobbyHook(void *address, void *replace_call, void **origin_call);
DobbyHook(sum, psy_Sum, (void *)&orgin_sum);
}
// 原函数地址
static int (*orgin_sum)(int a, int b);
// 新函数
int psy_Sum(int a, int b){
NSLog(@"Hook成功了,原函数结果:%d",orgin_sum(a,b));
return a - b;
}
- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
NSLog(@"sum结果是:%d",sum(20, 40));
}
验证是否HOOK成功,可以在控制台看到成功了。
探究
因为DobbyHook函数我们无法查看它的实现,我们看一下它是怎么实现HOOK的,在touchesBegan中下断点,查看一下汇编,然后单步进入sum函数,我看可以发现,其汇编并不想我们平时看到的那样会有:拉伸栈,保护x29,x30寄存器,然后栈平衡。最后这个x17寄存器又是什么地址呢?
经过静态分析,经过
0x100511db0 <+0>: adrp x17,0 0x100511db4 <+4>: add x17, x17, #0xe4c这两句,我们得到x17,的地址是0x100511e4c,也可以在控制台直接打印查看,发现是我们自定义的psy_Sum:
Dobby是运行时实现HOOK的,我们可以调试一下,拿到sum的地址偏移,在编译时期看一下Macho文件,相应的地址偏移值,可发现是存在站拉伸和x29,x30保护的,DobbyHook后,运行时,汇编代码就改变了:其对目标函数的汇编代码进行修改,修改的是内存中MachO代码。
拓展
因为平时上架的应用都是脱符号strip的,所以大部分时候我们是通过地址实现inlineHook,拿到地址偏移值,在通过aslr + 偏移值,算出地址变量。
1、算地址偏移
首先拿到目标函数sum的地址 0x100361d84,在拿到工程入口首地址0x000000010035c000, 目标函数偏移地址 = 0x100361d84 - 0x000000010035c000 = 0x5D84
2、拿到aslr
通过#import <mach-o/dyld.h>的_dyld_get_image_vmaddr_slide函数拿到aslr,因为拿到的ASLR是不包含pagezero(0x0000000100000000)的,所以地址偏移加上pagezero 等于 0x100005D84
3、调用DobbyHook完成HOOK
调用DobbyHook((aslr + 0x100005D84), psy_sum, &orgin_sum)就完成根据地址HOOK的目的
