iOS逆向实战--020:初探反HOOK防护
初探反HOOK防护
当
HOOK第三方App时,对于OC方法,一般会使用Method Swizzle。例如:使用系统提供的method_exchangeImplementations函数,将两个方法进行交换自己开发的
App,如果使用fishHook,预先将method_exchangeImplementations和自定义函数交换,攻击方在不知道函数名称的情况下,将很难进行HOOK
案例1:
使用
fishHook交换method_exchangeImplementations搭建
App项目,命名为AntiHook,作为反HOOK案例防护代码写在
Framework中更适宜,因为load方法调用时机比主程序更快,并且可以在别人注入的动态库之前被执行添加
target,创建Framework,命名为HookMgr,设置为动态库在
Framework中,创建AntiHookCode文件,并导入fishhook
打开
AntiHookCode.m文件,写入以下代码:#import "AntiHookCode.h" #import "fishhook.h" #import <objc/message.h> @implementation AntiHookCode +(void)load{ struct rebinding reb; reb.name="method_exchangeImplementations"; reb.replacement=my_exchange; reb.replaced=(void *)&sys_exchange; struct rebinding rebs[] = { reb }; rebind_symbols(rebs, 1); } void (*sys_exchange)(Method _Nonnull m1, Method _Nonnull m2); void my_exchange(Method _Nonnull m1, Method _Nonnull m2){ NSLog(@"检测到HOOK"); } @end在
App中,打开ViewController.m文件,写入以下代码:#import "ViewController.h" #import <HookMgr/HookMgr.h> @implementation ViewController - (void)viewDidLoad { [super viewDidLoad]; } - (IBAction)btnClick1:(id)sender { NSLog(@"按钮1调用!"); } - (IBAction)btnClick2:(id)sender { NSLog(@"按钮2调用了!"); } @end创建
Payload目录编译项目,将编译后的
AntiHook.app拷贝到Payload目录下
使用
zip命令,将Payload打包为AntiHook.ipazip -ry AntiHook.ipa Payload
案例2:
测试
AntiHook项目的反HOOK防护是否有效搭建
App项目,命名为HookDemo,作为重签名App添加
target,创建Framework,命名为Hook,设置为动态库在
Framework中,创建Inject文件
打开
Inject.h文件,写入以下代码:#import "Inject.h" #import <objc/runtime.h> @implementation Inject +(void)load{ Method sysClick1 = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btnClick1:)); Method myClick1 = class_getInstanceMethod(self, @selector(my_btnClick1)); method_exchangeImplementations(sysClick1, myClick1); } -(void)my_btnClick1{ NSLog(@"🍺🍺🍺🍺🍺"); } @end将
appSign.sh文件、yololib文件,拷贝到项目根目录。然后在项目根目录,创建App目录
将
案例1中,最后打包的AntiHook.ipa文件,拷贝到App目录
在
HookDemo中,选择Build Phases,在Run Script中输入:./appSign.sh
真机运行项目,检测到
HOOK代码
点击
按钮1,输出的还是原始内容
AntiHook项目中的防护代码生效,当注入的动态库,使用method_exchangeImplementations函数时,可以被检测出来,并让攻击方的HOOK失效
案例3:
在本工程中使用方法交换
来到
AntiHook项目在
HookMgr中,打开AntiHookCode.h文件,写入以下代码:#import <Foundation/Foundation.h> #import <objc/message.h> CF_EXPORT void (*sys_exchange)(Method _Nonnull m1, Method _Nonnull m2); @interface AntiHookCode : NSObject @end打开
HookMgr.h文件,写入以下代码:#import <Foundation/Foundation.h> #import <HookMgr/AntiHookCode.h>在
AntiHook中,打开ViewController.m文件,写入以下代码:#import "ViewController.h" #import <HookMgr/HookMgr.h> @implementation ViewController - (void)viewDidLoad { [super viewDidLoad]; Method sysClick2 = class_getInstanceMethod(self.class, @selector(btnClick2:)); Method myClick2 = class_getInstanceMethod(self.class, @selector(test)); sys_exchange(sysClick2, myClick2); } -(void)test{ NSLog(@"本工程HOOK,🍺🍺🍺🍺🍺"); } - (IBAction)btnClick1:(id)sender { NSLog(@"按钮1调用!"); } - (IBAction)btnClick2:(id)sender { NSLog(@"按钮2调用了!"); } @end真机运行项目,点击
按钮2
在本工程中,使用
sys_exchange函数HOOK成功。但对于攻击方,在不知道函数名称的情况下,则很难进行HOOK
上述防护方式,过于简单。它会在
MachO的字符串表中,存储method_exchangeImplementations的字符串使用
Hopper,打开HookMgr动态库的MachO文件
攻击方通过字符串,很容易定位到防护代码,然后对其破解。例如,在更早的执行时机,对防护的关键函数
HOOK,让防护代码失效所以上述方式,不建议使用。高明的防护代码,应该让攻击方很难发现,尽量不留下痕迹。在程序运行过程中,不知不觉的将其干掉
MokeyDev
MokeyDev:作者刘培庆,原iOSOpenDev的升级版,一款非越狱插件开发集成神器主要包括四个模块:
Logos Tweak:使用theos提供的logify.pl工具,将*.xm文件转成*.mm文件参与执行。集成了CydiaSubstrate,可以使用MSHookMessageEx和MSHookFunction来Hook指定地址和OC函数CaptainHook Tweak:使用CaptainHook提供的头文件,进行OC函数的Hook以及属性的获取Command-line Tool:可以直接创建运行于越狱设备的命令行工具MonkeyApp:这是自动给第三方应用集成Reveal、Cycript和注入dylib的模块。支持调试dylib和第三方应用,支持Pod给第三放应用集成SDK,只需要准备一个砸壳后的ipa或app文件即可
安装
MokeyDev,需要先安装theos。详情可参见:官方文档 & 安装说明安装中,遇到
xcode 12 Types.xcspec not found错误,可执行以下命令:sudo ln -s /Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/Library/Xcode/PrivatePlugIns/IDEOSXSupportCore.ideplugin/Contents/Resources /Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/Library/Xcode/Specifications
- 详情可查看:原文地址
案例1
搭建
MokeyApp项目安装
MokeyDev成功后,打开Xcode,创建新项目选择
MokeyApp
创建成功,默认包含
App和注入的动态库
案例2
使用
MokeyApp实现应用重签名
MokeyApp支持.ipa和.app格式将
ipa包,拷贝到MokeyDemo下的TargetApp目录中
运行
MokeyDemo项目,即可安装成功
案例3
使用
MokeyApp实现代码注入在
MokeyDemoDylib中,点击MokeyDemoDylib.xm文件,选择Objective-C++ Source
打开
MokeyDemoDylib.xm文件,写入以下代码:#import <UIKit/UIKit.h> %hook ViewController - (void)btnClick1:(id)sender { NSLog(@"🍺🍺🍺🍺🍺"); } %end
- 使用
Logos语法,详情可查看:官方文档真机运行项目,检测到
HOOK代码
点击
按钮1,输出的是交换后的内容
HOOK成功后,调用原始函数- (void)btnClick1:(id)sender { NSLog(@"🍺🍺🍺🍺🍺"); %orig; }只需要
%orig一句代码,即可调用
使用
MokeyApp,在AntiHook项目中,可以检测到method_exchangeImplementations函数的使用,说明防护代码有效。至于方法还是被交换了,可能MokeyDev使用的是get/set方法
案例4
在
AntiHook项目中,增加对method_setImplementation的防护来到
AntiHookCode项目在
Framework中,打开AntiHookCode.m文件,修改为以下代码#import "AntiHookCode.h" #import "fishhook.h" @implementation AntiHookCode +(void)load{ struct rebinding rebExchange; rebExchange.name="method_exchangeImplementations"; rebExchange.replacement=my_check; rebExchange.replaced=(void *)&sys_exchange; struct rebinding rebSetImp; rebSetImp.name="method_setImplementation"; rebSetImp.replacement=my_check; rebSetImp.replaced=(void *)&sys_setImp; struct rebinding rebs[] = { rebExchange, rebSetImp }; rebind_symbols(rebs, 2); } void (*sys_exchange)(Method _Nonnull m1, Method _Nonnull m2); IMP _Nonnull (*sys_setImp)(Method _Nonnull m, IMP _Nonnull imp); void my_check(Method _Nonnull m1, Method _Nonnull m2){ NSLog(@"检测到HOOK"); } @end编译项目,将
ipa包,覆盖到MokeyDemo下的TargetApp目录中真机运行项目,检测到
HOOK代码
点击
按钮1,输出的还是原始内容
当
method_setImplementation函数被交换,MokeyDev的HOOK代码同样失效
在
MokeyDev中,使用的是Substrate框架
在
MokeyDemoDylib.xm中写入的Logos语法,也是被libsubstrate.dylib库进行解析
将
.xm中的代码,解析到MokeyDemoDylib.mm文件
在
MSHookMessageEx函数内部,也是通过get/set方法,对OC方法进行HOOK
总结:
反
HOOK防护
- 利用
fishHook,修改Method Swizzle相关函数- 不推荐使用,防护痕迹过于明显。会导致其他三方库无法使用
Method Swizzle- 防护代码需要最先被执行,否则先被
HOOK,防护代码失效- 原始工程编写的
Framework库,优先于注入库的加载,适合写防护代码
MokeyDev
- 原
iOSOpenDev的升级版,一款非越狱插件开发集成神器- 使用
Substrate框架- 底层通过
get/set方法,对OC方法进行HOOK
