1.方法hook

先上代码

+ (void)load {
    static dispatch_once_t onceToken;
    dispatch_once(&onceToken, ^{
        Class class = [self class];
        
        SEL originalSelector = @selector(test);
        SEL swizzledSelector = @selector(swizzle_test);
        
        
        Method originalMethod = class_getInstanceMethod(class, originalSelector);
        Method swizzledMethod = class_getInstanceMethod(class, swizzledSelector);
        

        BOOL didAddMethod = class_addMethod(class, originalSelector, method_getImplementation(swizzledMethod), method_getTypeEncoding(swizzledMethod));
        
        if (didAddMethod) {
            class_replaceMethod(class,
                                swizzledSelector,
                                method_getImplementation(originalMethod),
                                method_getTypeEncoding(originalMethod));
        } else {
            method_exchangeImplementations(originalMethod, swizzledMethod);
        }
    });
}

- (void)test {
    NSLog(@"test");
}
- (void)swizzle_test {
    [self swizzle_test];
}

一个方法对应一个sel和imp，方法A的imp指针和方法B的imp指针进行了替换，并且在要替换的方法中调用了一下原来的方法实现。这个也就就是开发中最常用到的方法混淆。

2.函数hook
推荐使用https://github.com/facebook/fishhook 这个库来做函数hook，使用起来简便。内部实现复杂，很强大，源码基本上看不懂。大致原理还是要弄清楚的。例如有2个函数，函数A，函数B，想要将函数A的实现替换为函数B的实现。fishhook的实现大致分为2步，第一步找到目标函数的函数地址。第二步找到函数名，进行比对。匹配成功，替换目标函数地址为自己的函数地址。

struct rebinding {
    const char *name; // 目标函数名
    void *replacement; // 替换函数
    void **replaced; // 二级目标函数指针
};
/*
  struct rebinding rebindings[]:要重新绑定的结构体数组
  rebindings_nel：要重新绑定的函数个数
*/
int rebind_symbols(struct rebinding rebindings[], size_t rebindings_nel);

int rebind_symbols_image(void *header,
                         intptr_t slide,
                         struct rebinding rebindings[],
                         size_t rebindings_nel);

上代码：
示例1：hook Foundation库的NSSetUncaughtExceptionHandler()函数（生效）

static NSUncaughtExceptionHandler *g_vaildUncaughtExceptionHandler;
static void (*ori_NSSetUncaughtExceptionHandler)( NSUncaughtExceptionHandler *_Nullable);

void swizzle_NSSetUncaughtExceptionHandler( NSUncaughtExceptionHandler * handler) {
    g_vaildUncaughtExceptionHandler = NSGetUncaughtExceptionHandler();
    if (g_vaildUncaughtExceptionHandler != NULL) {
        NSLog(@"UncaughtExceptionHandler=%p",g_vaildUncaughtExceptionHandler);
    }
    ori_NSSetUncaughtExceptionHandler(handler);
    g_vaildUncaughtExceptionHandler = NSGetUncaughtExceptionHandler();
}

static void xr_uncaught_exception_handler (NSException *exception) {
    NSLog(@"XX");
}

int main(int argc, const char * argv[]) {
    @autoreleasepool {
        
        rebind_symbols((struct rebinding [1]){"NSSetUncaughtExceptionHandler",swizzle_NSSetUncaughtExceptionHandler,(void *)&ori_NSSetUncaughtExceptionHandler}, 1);
        NSSetUncaughtExceptionHandler(&xr_uncaught_exception_handler);
         [@[] objectAtIndex:1];
        
    }
    return 0;
}

示例2：hook自己的函数（不生效）

void test(void) {
    NSLog(@"test");
}
void swizzle_test(void) {
    NSLog(@"swizzle_test");
}
static void (*funcptr)(void);

int main(int argc, const char * argv[]) {
    @autoreleasepool {
        
        // 初始化一个 rebinding 结构体
        struct rebinding test_rebinding = { "test", swizzle_test, (void *)&funcptr };
        // 将结构体包装成数组，并传入数组的大小，对原符号 open 进行重绑定
        rebind_symbols((struct rebinding[1]){test_rebinding}, 1);
        // 调用原函数
        test();
        
    }
    return 0;
}

函数的hook大致原理和方法hook类似。方法调用其实在运行时也就是转成一个个函数调用。根据方法名（SEL）去查找对应的方法实现的函数地址(IMP)，然后执行该函数。只不过函数和方法的存储空间不一样，查找函数地址的实现方法也就不一样。但是原理是差不多的。

示例2中，发现hook不生效。而示例1中可以。很奇怪。原来fishhook只能hook其他镜像中函数，不可以hook当前镜像（库或可执行文件）中运行的函数。在main函数执行之前，dylb会通过load_images加载项目里所有的镜像。而Foundation库和项目本身分别是两个镜像。所以示例1中hook是Foundation库镜像的函数。而示例2hook的则是本身镜像中的函数。所以也就会不生效。

Snip20170425_14.png