iOS 之 C 函数 Hook & MSHookFunc
HOOK 是一个强大的东西,对于 iOS 来说可以很方便的 HOOK 到方法与函数。
近期发现,很多做逆向的小伙伴没有理清 iOS 中的方法与函数,误把方法说成了函数。
对于正在学习逆向的菜鸟(我)来说,很多的东西只能先是模仿,于是就先上网浏览了一下关于 iOS 中的 HOOK 方式。都是那么几篇文章,还都 copy 来 copy 去的。总的就是:
- 1.Hook方法的,这个很简单,按照套路写好 Class,照搬方法即可。
- 2.Hook 系统函数,这个也很简单,直接看 theos 的官方 Demo 就能实现。
但是,很难找到关于 Hook 自定义函数的。捣腾了半天,在那个名坛中找到了一篇帖子,顺着其思路才解决的。总之捣腾了很久很久。
上面的试验中,没有提及自定义函数的 hook,这是因为自定义函数的 hook 是不一样的。
一、函数 Hook
先来思考一个问题:系统函数是如何 hook 成功的? 主要使用 MSHookFunction 这个函数:
MSHookFunction((void*)open,(void*)my_open,(void**)&old_open);
这个函数是否能正确的 hook 成功,主要是第一个参数,别忘了这个 .xm 的文件中必须要导入其对应系统头文件的:
#import <dlfcn.h>
如果不导入这个头文件,也不会成功。
那么问题来了,如果去 Hook 自定义函数,也需要导入非系统头文件么?这是不可能的事情。
二、MSFindSymbol & MSGetImageByName
为了在不导入别人头文件的情况下,可以使用 函数diMSFindSymbol & MSGetImageByName 这个两个函数来获取对应的函数符号(函数地址)。具体的使用如下:
// 二进制文件路劲
NSString *binaryFilepath = [[NSBundle mainBundle] executablePath];
NSLog(@"binaryFilepath = %@", binaryFilepath);
MSImageRef image = MSGetImageByName([binaryFilepath UTF8String]);
if (image) {
// 一定要加一个下划线
void *hgPrint = MSFindSymbol(image,"_hgPrint");
if (hgPrint) {
MSHookFunction(hgPrint,(void*)tweak_hgPrint,(void**)&ori_hgPrint);
} else {
NSLog(@"no found hgPrint");
}
} else {
NSLog(@"no found image");
}
以上代码需要 hook 的函数原型是:
void hgPrint(void) {
NSLog(@"源代码中的函数");
}
以上代码简单易懂,但是为了找到这个实现方案实属不易。当直接在 Xcode 运行代码的时候,确实是成功的被 hook。但是...(放在第四解释)。
三、符号表
符号,即 symbol。iOS 中的符号表,即dSYM文件。其作用就是用来与可执行文件中的代码地址一一对应的文件,这个文件不会在 Debug 调试下存在。当这个符号表不存在的时候,不代表这个可执行文件中缺少符号表,而是已经将符号表直接内嵌到可执行文件中了。
就上面的说法,可以这样做一个实验,分别设置一下 Build Configuration 为 Debug 与 Release,然后分别 build,在分别查看 Products 目录所生成的 app 文件。你会发现在 Release 中会单独生成一个 dSYM 文件,而 Debug 中却没有。但是分别通过 nm 命令检查各自的可执行文件,会发现一个铁定的规律:
- Release 的可执行文件中,根本找不到自定义函数的符号。
- Debug 的可执行文件中,可以找到自定义函数的符号。
要注意的是,上面的规律强调的是自定义函数的符号。而系统函数的符号只要是在项目中有使用的,都是可以直接看到的。
想必苹果这样做的目的是为了减小包体积的同时,也增强了其安全性。
四、总结
从第三节与第四节可以看出一个问题,第三节成功的前提是在可执行文件中必须存在自定义函数的符号,否则是不可能会成功的。因为如果在可执行文件中没有对应的符号表的话,这条语句返回为空:
// 一定要加一个下划线
void *hgPrint = MSFindSymbol(image,"_hgPrint");
综上:在通常情况下,不会出现自定义函数被 hook 的情况,因为 hacker 不可能获取对应函数的地址。
暂时还没有从可能执行文件中,通过相关反编译工具就能获取对应函数符号表的方式,如果这个问题能解决,那么以上的结论 错误, 有待进一步研究。
附件代码
试验的完整代码如下:
#import <substrate.h>
void (*ori_hgPrint)(void);
void tweak_hgPrint(void) {
NSLog(@"进来了 进来了");
UIAlertView* alert = [[UIAlertView alloc] initWithTitle:@"大家好" message:@"Hello CoderHG.__my_hgPrint" delegate:nil cancelButtonTitle:@"左" otherButtonTitles:@"右", nil];
[alert show];
}
%ctor
{
// 二进制文件路劲
NSString *binaryFilepath = [[NSBundle mainBundle] executablePath];
NSLog(@"binaryFilepath = %@", binaryFilepath);
MSImageRef image = MSGetImageByName([binaryFilepath UTF8String]);
if (image) {
// 一定要加一个下划线
void *hgPrint = MSFindSymbol(image,"_hgPrint");
if (hgPrint) {
MSHookFunction(hgPrint,(void*)tweak_hgPrint,(void**)&ori_hgPrint);
} else {
NSLog(@"no found hgPrint");
}
} else {
NSLog(@"no found image");
}
}
再次提醒,只能在 Debug 条件下的可执行文件中才能被 Hook 成功。
参考名坛:
http://iosre.com/t/4-1-1-83-iosrehooktweak-msgetimagebyname-msfindsymbol/9798
