HOOK原理
1、MachO是被谁加载的?
DYLD动态加载
2、ASLR技术(地址空间布局随机化):MachO文件加载的时候是随机地址
3、PIC(位置代码独立)
- 如果MachO内部需要调用 系统的库函数时
- 先在_DATA段中建立一个指针,指向外部函数
- DYLD会动态的进行绑定,将MachO中的DATA段中的指针,指向外部函数(DYLD会告诉MachO要依赖的外部库的位置)
- _DATA段中建立的指针就是符号(symbols),它是帮你指向内部的函数调用,指向外部的函数地址
所以,fishhook的rebind_symbols(重新绑定符号)函数,它就是将你指向系统的NSLog的符号,给重新进行绑定,变为指向你内部的函数,这样子就达到修改的目的了;这也是fishhook的底层原理。这也就是为什么使用fishhook时我们内部的函数修改不了,自定义的函数修改不了的原因,只能修改MachO外部的函数。
1、在rebind_symbols处打上断点,提前加上一行代码
NSLog(@"123");
image.png
运行后,如果在rebind_symbols断点没有显示汇编代码,可以通过Debug->Debug Workflow->Always Show Disassembly设置
image.png
image.png
2、在rebind_symbol函数执行之前,NSLog的懒加载符号表的地址是多少
找到可执行文件
image.png
用MachOView打开
image.png
- Non-Lazy Symbol pointers:MachO只要被加载进来就被绑定了
- Lazy Symbol pointers:第一次调用的时候才会去绑定
前面为什么加上NSLog(@"123");,是为了调用一次NSLog,这样才能在懒加载表中看到NSLog。
image.png
3、怎么查看符号表
Offset偏移量 00003018(在MachO中偏移了3018)
表的位置=MachO相对于内存的偏移地址+表相对于MachO的偏移地址Offset(3018)
MachO相对于内存的偏移地址,通过image list查看
image.png
0x0000000108339000 就是MachO在内存中的真实地址
表的位置=MachO相对于内存的偏移地址(0x0000000108339000)+表相对于MachO的偏移地址Offset(0x3018)
查看内存所指向的地址
x 0x0000000108339000+0x3018
(x 相当于memory read)
image.png
反汇编:
dis -s 0x0108690a52
image.png
这就通过符号表找到了方法
2、过掉rebind_symbol后,会改变0x0000000108339000+0x3018地址的值,查看地址
image.png
查看内存所指向的地址
x 0x0000000108339000+0x3018
image.png
反汇编:
dis -s 0x0108339e00
image.png
可以看到rebind_symbol后,对应的地址的方法已经发生了改变
那么,在上一篇iOS逆向之fishhookDemo的Demo2中,因为符号表里根本没有func方法,所以Hook不成功。
