面试宝点

14 - HOOK原理

2021-05-20  本文已影响0人  卡布奇诺_95d2

HOOK概述

HOOK中文译为“挂钩”或“钩子”。在iOS逆向中是指改变程序运行流程的一种技术。通过HOOK技术可以让别人的程序执行自己所写的代码。在逆向中经常使用这种技术。所以在学习过程中,我们重点要了解其原理,这样能够对恶意代码进行有效的防护。

HOOK示意图.jpg

iOS中HOOK技术的几种方式

Method Swizzle

利用OC的Runtime特性,动态改变SEL(方法编号)和IMP(方法实现)的对应关系,达到OC方法调用流程改变的目的。主要用于OC方法

在OC中,SEL和IMP之间的关系,就像是一本书的目录中的标题与页码的关系。


16214177466743.jpg

SEL是方法编号,可以类比成目录中的标题。
IMP是方法实现的地址,可以类比成目录中的页码。

Method Swizzle技术就是通过runtime提供的函数修改SELIMP的对应关系

16214179363700.jpg

Cydia Substrate

Cydia Substrate主要由3部分组成:

  1. MobileHooker
  2. MobileLoader
  3. safe mode

MobileHooker

它定义一系列的宏和函数,底层调用objc的runtimefishhook来替换系统或者目标应用的函数。

它有两个重要的函数

void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP result) 
void MSHookFunction(void function, void* replacement, void** p_original)

MobileLoader

MobileLoader用于加载第三方dylib到运行的应用程序中。启动时MobileLoader会根据规则把指定目录的第三方的动态库加载进去,第三方的动态库也就是我们写的破解程序。

safe mode

破解程序本质是dylib,寄生在别人进程里。 系统进程一旦出错,可能导致整个进程崩溃,崩溃后就会造成iOS瘫痪。所以Cydia Substrate引入了安全模式,在安全模式下所有基于Cydia Substratede的三方dylib都会被禁用,便于查错与修复。

fishhook

关键函数

//用来重新绑定符号表的函数,使用它来交换
FISHHOOK_VISIBILITY
int rebind_symbols(struct rebinding rebindings[], size_t rebindings_nel);

参数说明:

struct rebinding {
 const char *name;  //待HOOK函数的名称
 void *replacement; //新的函数地址
 void **replaced;   //原函数地址
};

HOOK系统函数的流程

外部函数调用原理

App启动时,dyld读取主程序MachO文件,会加载共享缓存中的系统库,将程序中用到的系统函数的真实地址替换MachO中的占位地址

对于MachO中的代码段(__TEXT)来说,它是只读的。在运行时,无法直接修改外部函数的真实地址。为了解决上述情况,苹果采用PIC技术(位置独立代码),当调用外部函数时,在编译阶段,会在MachO的可读可写的数据段,定义符号,占8字节,用来存放外部函数的地址。但在编译阶段暂存的是占位地址。在运行时dyld将符号绑定真实函数地址。对于代码段来说,并没有任何改变。

故此,外部调用函数,并不是直接地址访问,而是通过符号找到地址。这跟OC中SEL与IMP的对应关系非常相似。这种机制,可以让开发者动态HOOK外部调用函数,在OC中动态改变SEL与IMP的对应关系,对于外部调用函数,动态改变的是符号和地址的对应关系,上述操作称为:符号表重绑定

NSLog调用流程

1、应用启动时,确定ASLR,通过lldb中的image list可以查看当前ASLR


16209769185501.jpg

其中0x0000000100d54000包含了程序的__PAGEZERO(0x100000000),因此,ASLR为:0x100d54000 - 0x100000000 = 0xd54000

2、在NSLog前通过断点停住,通过汇编可以看到,当前断点处的地址为:0x100d5a2a8
NSLog符号在Mach-O中的偏移为:0x100d5a2a8 - 0x100d54000 = 0x62A8

3、查看并执行0x100d5a2a8地址中的内容

0x62A8的内容位于__TEXT段__stubs中,__stubs称为符号桩,它的本质就是一段代码,用于跳转到懒加载符号表中,找到对应符号的值。这里0x62A8就是NSLog的桩,代码内容如下:

(lldb) dis -s 0x100d5a2a8
testDyld`NSLog:
    0x100d5a2a8 <+0>: nop    
    0x100d5a2ac <+4>: ldr    x16, #0x5d54              ; (void *)0x0000000100d5a3d4
    0x100d5a2b0 <+8>: br     x16

如何通过桩跳转至懒加载符号表呢?接下来我们从地址开始分析。
【1】当前程序运行的地址为:0x100d5a2ac
【2】将0x100d5a2ac+0x5d54偏移量,得到0x0000000100d60000
【3】为了清楚0x0000000100d60000这个值对应于Mach-O哪个偏移值,需要将0x0000000100d60000 - ASLR - 内存虚拟地址,即0x0000000100d60000 - 0x0000000000d54000 - 0x0000000100000000 = 0xC000
【4】查看Mach-O中0xC000偏移量的内容,即懒加载符号表中NSLog符号指针


16209818713591.jpg

【5】取出懒加载符号表中,NSLog符号对应的指针:0x00000001000063D4,在内存中,0x00000001000063D4 + ASLR = 0x00000001000063D4 + 0x0000000000d54000 = 0x0000000100d5a3d4

【6】跳转至0x0000000100d5a3d4地址处执行。0x0000000100d5a3d4 - ASLR - 虚拟地址 = 0x0000000100d5a3d4 - 0x0000000000d54000 - 0x0000000100000000 = 0x63D4,在MachO中,找到偏移地址0x63D4,指向__TEXT,__stubs_helper中的代码,查看Mach-O中0x63D4偏移量的内容

16214786011481.jpg

【7】从Mach-O中可以看到,使用b指令跳转至偏移量为0x63BC处。再使用br指令跳转至偏移量为0x8008处。

【8】查看Mach-O中0x8008偏移量的内容。

16214788786615.jpg

这里是指向dyld_stub_binder函数,该函数是用于符号绑定的。

【9】dyld_stub_binder也是外部函数,它的地址是如何找到的?从Mach-O中,可以看到dyld_stub_binder函数的偏移地址为0x8008,但其值全是0,说明在Mach-O中没有值,而dyld_stub_binder函数的真实地址其实是dyld加载主程序时,会绑定非懒加载符号和弱引用符号,所以dyld_stub_binder函数的值,在程序启动时被dyld直接绑定。

16214791417013.jpg

【10】至此,首次调用外部符号时,已经完成NSLog的符号绑定,从共享缓存中将NSLog的实际地址取出来,并填充至0x100d5a2a8汇编处。填充完成之后如下图所示:

16209736407336.jpg

【11】当第二次调用NSLog时,此时,符号表中存储了NSLog的真实地址,因此可以直接跳转至NSLog的函数处执行。

总结

上一篇下一篇

猜你喜欢

热点阅读