fishhook原理

2018-06-21  本文已影响37人  lattr

fishhook

fishhook是Facebook提供的用于hook系统c函数的库。它能动态重新绑定运行在iOS模拟器和真机设备上的MachO文件中的符号表中的符号。

hacker

准备知识

由于苹果的动态库遵循PIC,存在于共享缓存库,同时采用了ASLR技术。每次重启手机后,动态库的地址都会随机偏移,需要通过基地址加偏移地址来获取代码的真实地址。

MachO文件

MachO文件是苹果系统的可执行文件。通过DYLD动态加载。

我们的应用程序为了能够获取动态库的真实地址,由DYLD动态加载MachO中的符号表,将符号表中的指针指向动态库地址。从而达到调用系统库的目的。

而fishhook正是通过dyld来修改符号表中指向动态库的指针来达到hook的目的。

MachO中,__DATA段中与动态符号绑定相关的有两个section__nl_symbol_ptr__la_symbol_ptr

__la_symbol_ptr

为了在MachO中找到想要hook的函数的名字,需要在几个间接的层间进行跳转。在这两个sectionsection header提供了一个offset用来指向对应的section

section_header

__la_symbol_ptr指针数组的下标和indirect_symbol_table中的下标是一一对应的。

indirect_symbol_table

indirect_symbol_table中的每个元素的data中保存着一个十六进制的数,这个数就是真正的符号表中的数组下标。比如NSStringFromClass这个函数的Data为0x54,对应十进制84,在symbol_table中的第84位即可找到。

symbol_table

symbol_table对应的元素中的data同样保存着一个十六进制的数,这个数是字符串表中的偏移地址。比如NSStringFromClassstring_table中的偏移为0x92,找到string_table的首地址,为0xCA18,则该函数的字符串常量位于 0xCA18 + 0x92 = 0xCAAA 的位置。

string_table

借用fishhook的图


fishhook过程

用法

static void (*orig_NSLog)(NSString *format, ...);

void my_NSLog(NSString *format, ...)
{
    orig_NSLog(@"hook成功:%@",format);
}

- (void)viewDidLoad {
    [super viewDidLoad];
    
    struct rebinding rebind;
    rebind.name = "NSLog";
    rebind.replacement = my_NSLog;
    rebind.replaced = (void *)&orig_NSLog;
    
    rebind_symbols((struct rebinding[1]){rebind}, 1);
    
    NSLog(@"test");
}

总结

fishhook正是通过查找到需要hook的函数指针,然后替换成自己写的函数指针,从而实现hook系统函数的目的。

fishhook不能hook自定义的函数,是因为自定义的函数不在__la_symbol_ptr中。

资料

上一篇 下一篇

猜你喜欢

热点阅读