最近发现,调试 FishHook 是加深对Mach-O理解的一个好方法。一边调试程序Demo,一边将执行文件在Mach-View中对照查看,相互辅助,相互印证。这样就很容易理解符号、字符串在其中的组织了。
打开Mach-O文件, 我们可以发现__Data段有section列表。section列表有_bss、_data、_const、_nl_symbol_ptr、_la_symbol_ptr等等等等。 section 中的addr指向的是符号们(函数名、变量名等)链接后的虚拟内存地址起始地址。
_nl_symbol_ptr,非懒加载符号会在启动app时就绑定好,如一些static之类的符号,在Mach-O文件中data全部是0填充。而_la_symbol_ptr里面填充的是跳转到dyld_stub_binder的指针(注:使用时需要加上rebase的基地址才正确),调用后dyld绑定正确的地址,覆盖_la_symbol_ptr的data值。
内部的函数,在编译时已经确认地址,且符号在text段,所以fishhook不能hook原生c函数。
数组中(地址指针)的顺序与对应section中动态符号表的顺序一一对应。动态符号表中存储着在符号表中的索引值。 符号表的每一项为nlist_64这样一个结构体,该结构体的n_strx存储的则是字符串表中的索引index。
FishHook用上述的关联找出一个符号在虚拟内存中指针的位置,将该指针替换为我们实现的函数的指针。也就轻易实现了偷梁换柱替换各种函数方法了
最后贴上官方图
调用阶段,call会跳转到Text stub,stub只有一条指令即跳转到指定的指针位置,指针位置由类似*$0x3f(%rip)偏移方式给出,该地址会跳转到相应Text stub_helper处理,stub_help会push这个符号在Dynamic Loader Info下Lay Binding Info里所处的字节(含动态库、符号名称信息)位置进栈,然后跳转到stub_help起始处调用stuber_binder找到符号,并根据Lay Binding Info提供的segment、offset找到要覆写的符号指针地址,这就是整个动态符号调用全过程了。仍有一点疑问的是Lay Binding Info下的字符串,为什么不用String Table里的字符串
更多详细:
http://blog.tingyun.com/web/article/detail/1347
https://stackoverflow.com/questions/8825537/mach-o-symbol-stubs-ios/8836580#8836580
