macOS 应用注入开发简介与实践

封面图片(来自网络)

前言

本篇算是对于之前的文章Mac OSX 之自己动手初步学习破解软件入门关于软件安全方面学习的一个补充,有疑问的朋友们可以在评论中多多留言提问和讨论.本文中用到的项目示例工程已上传至github,供需.

0x00 什么是注入?

简而言之,就是在他人的App应用中,执行我们自己的代码,从而实现我们希望的目的.

0x01 注入可以做什么?

通常来讲,通过对目标软件实现注入,主要有几个目的:

• 增加扩展功能(例如常见的各种应用插件)
• 免费的使用App应用的一些限制功能(比如一些vip功能)
• 软件破解(这个目的貌似比较多些)

0x02 注入的方式有哪些?

整体上,可以讲注入方式分为两大类:

1. 运行时注入: 在App运行期,通过获取目标句柄(或内存地址)实现注入,多用于游戏外挂或应用辅助
2. 链接库注入:通常采用动态链接库方式 多应用于破解软件限制

本文主要介绍的是动态链接库注入的相关实践,这不仅仅局限于macOS,同时对iOS应用也具有相同的效果,希望大家可以借鉴使用.

0x03 如何实现注入?(重点来啦 ^ _ ^ )

• 准备工具: insert_dylib:这是一个开源的命令行动态链接库注入工具

下面我们通过一个实际的例子来实践一下动态链接库的注入,为了免去对第三方软件的破坏,我们先自己动手写个非常简单的macOS App来当作目标程序进行整个过程的演示.

• 使用Xcode 创建一个Example工程:
  Example 项目工程
  示例工程非常简单: App运行起来后,在窗口中显示一行文字"This is Example demo",并且点击按钮后,文字变更为:"clicked the button"
  效果如下:
  示例效果

0x04 制作我们自己的动态库Dylib

• 1.打开Xcode新建工程,并选择Library模版

  
  新建Library工程

• 2.设置Cocoa Framework与类型

  
  设置Cocoa
• 3. 在HelloLib.m中编写代码:
     HelloLib.m代码
     这段代码仅仅实现了HelloLib类在被加载到内存中时向控制台输出一句话"==============HelloLib already loaded ================="

• 4.编译工程生成dylib

  
  工程编译

• 5.将我们之前的Example App 与libHelloLib.dylib拖放到桌面(或者你自己的其他路径)后,使用insert_dylib进行注入:把libHelloLib.dylib注入到我们的Example App中
  

  ExampleApp
  libHelloLib.dylib
• 6. 在终端中运行命令:(确保你的insert_dylib执行文件在当前路径)

   // 这条命令会将libHelloLib.dylib 注入到ExampleApp的二进制执行文件中 
   ./insert_dylib libHelloLib.dylib ./Example.app/Contents/MacOS/Example
   // 命令提示与结果
   LC_CODE_SIGNATURE load command found. Remove it? [y/n] y
   Added LC_LOAD_DYLIB to ./Example.app/Contents/MacOS/Example_patched 
  

• 7. 查看Example.app的可执行二进制文件夹,发现多了一个带_patched的文件.
     _patched文件
• 8. 删除原Example文件,并将Example_patched文件更名为Example后运行App,我们可以在控制台应用中看到输出就说明动态链接库注入成功了.
     控制台应用信息

这样我们就实现了将自己的代码通过动态链接库的方式注入到目标App中执行的效果.
虽然仅仅是在控制台中输出简单的一条信息,但从这里开始我们就可以做很多有意思的事情了.

• 9. 下面我们来给HelloLib添加一些增强功能:
     首先我们使用这个Aspects库来简化一些运行时代码,最终HelloLib.m文件如下

#import "HelloLib.h"
#import <AppKit/AppKit.h>
#import "Aspects.h"
@implementation HelloLib
+ (void)load{
    NSLog(@"==============HelloLib already loaded =================");
    
    id viewController = NSClassFromString(@"ViewController");
    [viewController aspect_hookSelector:@selector(viewDidLoad) withOptions:AspectPositionAfter usingBlock:^(id<AspectInfo> info) {
        id instance = info.instance;
        NSTextField *targetLabel = [instance valueForKeyPath:@"titleLabel"];
        targetLabel.stringValue = @"Text Already changed from HelloLib";
    } error:nil ];
}

在HelloLib中,我们hook了目标应用中的viewDidLoad方法,这样当App目标视图控制器加载的时候,我们的代码就会将窗口显示的字符串修改为"Text Already changed from HelloLib"

重复执行步骤4~步骤8,我们再次运行App将得到下面的结果:

增强的HelloLib修改应用内容
窗口上原来的文字已经被我们成功的替换了.., 这里仅仅是抛砖引玉的演示了一个简单的替换功能,你可以由此展开,进而实现更多的可能.

0x05 结束语

本文仅演示了如何对一个App进行动态库的注入,虽然这个目标App是我们自己写的,但对于其他第三方应用,道理也是一样的,你可以通过一些工具来获取其中的类和方法名(可以参考我之前的文章Mac OSX 之自己动手初步学习破解软件入门),因此也能实现hook效果.

本文并未涉及app的脱壳以及重签名,有兴趣的朋友可以google,感谢阅读!!