fishhook的原理及实例

2020-06-02  本文已影响0人  大成小栈

1. Hook的方式

Hook是改变程序运行流程的一种方式,通过Hook可以让自己的代码运行在别人的程序中。需要了解其Hook原理,这样就能够对恶意代码攻击进行有效的防护。

1.1 Method Swizzle

Method Swizzle 是利用OC的Runtime的特性,去动态改变SEL(方法编号)与IMP(方法实现)的对应关系,达到OC方法调用流程更改的目的。也是主要用于OC方法。

1.2 Cydia Substrate

Cydia Substrate 原名叫做Mobile SubStrate,主要作用为针对C函数,OC函数以及函数的地址进行Hook操作。并且有个很大的优势,Cydia Substrate 并不是仅仅是针对iOS设计,Andriod一样也可以使用。Cydia Substrate定义了一系列的函数和宏,底层调用了objc的runtime和fishHook来替代目标函数或者系统方法。

其中有两个函数
MSHookMessageEx主要用于OC方法;
MSHookFunction主要用于C++和C函数。

MobileLoader:主要用于加载第三方dylib运行的应用程序中。启动时MobileLoader会根据指定的第三方动态库加载进去,第三方动态库也是我们写的破解程序。
safe mode:破解程序的本质在于dylib,寄生于别人程序进程中。但是系统进程一旦出现错误,可能会导致整个进程崩溃,也可能会导致iOS程序崩溃。在Cydia Substrate 中引入了安全模式,如果一旦错误,三方的dylib会被禁用,便于查错和修复。

1.3 fishHook

fishHook是Facebook提供一种动态修改链接Mach-O文件的工具。此利用Mach-O文件加载原理,通过修改非懒加载和懒加载两个表的指针达到C函数的Hook的目的。

今天我们主要介绍第三种方式fishHook达到更改程序的目的。

2. fishhook的原理及实例

fishhook的源码地址,fishhook的主要方法有两个还有一个结构体:

查看代码结构为,将红色圈起来部分移入到代码中,即可使用fishhook来hook代码。

2.1 实例1

// rebinding 结构体的定义
//    struct rebinding {
//        const char *name; // 需要 HOOK 的函数名称,字符串
//        void *replacement; // 替换的新函数(函数指针,也就是函数名称)
//        void **replaced; //  保存原始函数指针变量/地址的指针(它是一个二级指针!)
//    };
// C 语言传参是值/址传递的,把它的值/址穿过去,就可以在函数内部修改函数指针变量的值
 
- (void)viewDidLoad {
    [super viewDidLoad];
     NSLog(@"123");
    //rebinding结构体
    struct rebinding nslog;
    nslog.name = "NSLog";// 函数名称
    nslog.replacement = myNslog; // 新的函数指针
    nslog.replaced = (void *)&sys_nslog;// 保存原始函数地址的变量的指针
    //rebinding结构体数组
    ] = {nslog};
    /**
     * 存放rebinding结构体的数组
     * 数组的长度
     */
    rebind_symbols(rebs, );
}
//---------------------------------更改NSLog-----------
//函数指针,用来保存原始的函数地址 (C 语言语法,函数指针类型变量)
static void(*sys_nslog)(NSString * format,...);
//定义一个新的函数
void myNslog(NSString * format,...){
    format = [format stringByAppendingString:@"勾上了!\n"];
    //调用原始的
    sys_nslog(format);
}
 
-(void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
    NSLog(@"点击了屏幕!!");
}

上面的代码运行结果如下:

2.2 实例2

void func(const char * str){
    NSLog(@"%s",str);
}
 
- (void)viewDidLoad {
    [super viewDidLoad];
    //rebinding结构体
    struct rebinding nslog;
    nslog.name = "func";
    nslog.replacement = new_func;
    nslog.replaced = (void *)&old_func;
    //rebinding结构体数组
    ] = {nslog};
    /**
     * 存放rebinding结构体的数组
     * 数组的长度
     */
    rebind_symbols(rebs, );
}
//---------------------------------更改NSLog-----------
//函数指针
static void(*old_func)(const char * str);
//定义一个新的函数
void new_func(const char * str){
      NSLog(@"%s + 1",str);
}
 
-(void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
    func("哈哈");
}

运行结果如下:

从上面可以看出自定义的交换方法为什么交换不了呢?首先可以肯定的是代码是OK的,下面我们讲解原理,为什么自定义的方法不行呢?

3. 原理探究

系统内核分别加载Mach-O文件、dyld动态连接器,首先通过ASLR技术(地址空间布局随机化)加载可执行文件,MachO文件被加载的时候是随机地址,加载MachO文件完成后,dyld开始加载依赖的动态库,调试时通过命令 image List 可看到相关的类库。

PIC(Promrammable Interrupt Controller)位置代码独立,由外设发出中断请求需要中断控制器来处理。如果MachO内部需要调用系统的库函数时,先在_DATA段中建立一个指针,指向外部函数,dyld会动态的进行绑定,将MachO中的DATA段中的指针,指向外部函数(DYLD会告诉MachO要依赖的外部库的位置)。_DATA段中建立的指针就是符号(symbols),它是帮你指向内部的函数调用,指向外部的函数地址。所以,fishhook的rebind_symbols(重新绑定符号)函数,它就是将你指向系统的NSLog的符号,给重新进行绑定,变为指向你内部的函数,这样子就达到修改的目的了;这也是fishhook的底层原理。这也就是为什么使用fishhook时我们内部的函数修改不了,自定义的函数修改不了的原因,只能修改MachO外部的函数

Mach-O文件内部调用系统函数时:
1)Mach-O _data段建立了一个指针(也就是符号,实现指向内部的函数调用,指向了外部的函数地址),指向了外部函数(dyld),可读可写,当Mach-O被加载进去,就会指向所指的函数。
2)Dyld会动态的绑定,将Mach-O中的data 段中指针指向了外部的函数,也是Dyld为什么叫做动态绑定的原因。

这也回答了上面的问题,为什么内部/自定义的函数不能修改,只能修改Mach-O文件的外部函数,如果是另外一个动态库或者需要动态符号绑定的就可以(符号表中能找到才可以实现)

利用第一个Demo来测试,运行起来,然后查看可执行文件,通过MachoView工具:

从图2看出offset偏移地址为3028,也就是NSLog函数文件的偏移地址,懒加载此表时在Mach-O文件偏移地址+函数偏移的地址。

下面以Demo1查看,在Demo1打断点,查看Mach-O函数偏移地址,通过指令image list 第一个就是Mach-O内容和地址(本人上篇博客地址即可)

Mach-O在内存的偏移地址也就是Mach-O的真实地址,发现为 0x000000010a9c5000

通过上面红色加重算法,计算Mach-O文件Data段的函数指针

发现执行完只有就会被绑定。NSLog函数文件就会被绑定。

下面再看一下,对于屏幕点击的,hook如下

前提是我们去除ViewDidLoad方法里面的NSLog(@“123”)这句代码,运行代码,最后将断点断在touchesBegan里面,此时开始看地址和内容

截图的前两次打印是程序运行时,但是未曾点击touchesBegan,后两次是点击屏幕时断点进入到了里面,再看内容,打印的对象是NSLog还是myNslog,通过上面发现是myNslog,说明Hook成功。

通过上面可看出,fishhook能够Hook c函数,是因为Mach-O文件特点,PIC位置代码独立造就了静态语言C也有动态的部分,之后通过Dyld进行动态绑定的时机,在这其中我们就可以做手脚,替换自定义的方法。

fishhook是根据方法字符串的名字“NSLog”,它是怎么找到的呢?下面将讲解利用符号表查看函数名称字符串。

4. 符号表查看函数名称

再次查看Mach-O文件,查看懒加载表中的NSLog函数

懒加载表是和动态符号表是一一对应关系,通过上面发现NSLog函数时第一个,而对应的Dynamic Symbol table也是第一个,打开Dynamic Symbol table

查看Dynamic Symbol Table 第一个也是NSLog,查看Data值为7A,对应的十进制为122,然后到Symbols Table里面查看122,如下:

查看Symbols Table的data值为0000009B,然后在String Table Index去看函数偏移值为0000009B的内容,如下:

为什么选择00004F94查看NSLog呢,我们从上面得知Symbols Table的data值为0000009B,然后加上String Table的函数第一个地址为00004F04,然后将0000009B + 00004F04 = 0X4F9F,最后看00004F94里面包含了0X4F9F,蓝色内容看出是NSLog内容,也就是找到啦。完美!!!

以上过程可以在fishhook中github上有说明图:

上面的说明图也就是通过符号表查看函数名称以及反过来也可以逆查的过程。配上说明图,方便大家熟悉流程。

5. 总结

上面讲述了Hook的几种技术方式以及fishhook的原理探究,以及如何让别人的app实现自己的代码。下面我们对此总结一下,写了一个本篇博客的整个过程便于大家整理,希望对大家有所帮助加深理解。

原文地址:
https://www.bbsmax.com/A/1O5E3rQ3z7/
https://www.jianshu.com/p/bc1c000afdba
https://mp.weixin.qq.com/s/-uBmPtpupzoDnqKx9U-P2Q
感谢!

上一篇 下一篇

猜你喜欢

热点阅读