通常情况下,想去了解一个App,可以进行重签名后,在进行
view hierarchy debug
调试了解。
对App破解时,一般是修改原始的程序,主要是利用代码注入的方式,注入代码就会选择Framework或者Dylib等第三方库等方式注入。
Framework注入
- 重签名App
- Xcode新建Framework,编译,将库安装进App包中
- 通过yololib注入Framwork库路径。修改Mach-O文件
$yololib Mach-O文件路径 Framework文件路径
- 所有的Framework加载都是有DYLD加载进内存被执行的
- 注入成功的库路径会写入Mach-O文件的LC_LOAD_DYLIB字段中
- 替换Mach-O文件,重新打包成
.ipa文件
脚本注入方式:
在重签名脚本中追加注入脚本
yololib "目标App的Mach-O路径" "注入的framework文件路径"
Dylib注入
- 重签名App
- 通过Xcode新建Dylib库(注意:Dylib属于MacOS,所以需要修改属性)
- 添加Target依赖,让Xcode将自定义Dylib文件打包进App包中
- 利用yololib指令进行注入(同Framework注入)
HOOK
HOOK
,中文译为“挂钩”或者“钩子”。
在iOS逆向开发中,是指改变程序运行流程的一种技术。通过hook可以使别人的程序执行自己所写的代码。
iOS中HOOK技术的几种方式
Method Swizzle
利用OC的Runtime
特性,动态改变SEL
(方法编号)和IMP
(方法实现)的对应关系,达到OC方法调用流程改变的目的。主要用于OC方法
原理
在OC中,SEL和IMP之间的关系,就好像书的目录
一样。
SEL
是方法编号,就像“标题”一样
IMP
是方法实现的真实地址,就像“页码”一样。
Runtime
提供了交换两个SEL
和IMP
对应关系的函数。
Method Swizzle的实现方式
// 添加方法的方式进行交换
Method oldMethod = class_getInstanceMethod(objc_getClass("class"), @selector(oldSelector));
BOOL didAddMethod = class_addMethod(objc_getClass("class"), @selector(newSelector), my_selector, "v@:");
Method newMethod = class_getInstanceMethod(objc_getClass("class"), @selector(newSelector));
method_exchangeImplementations(oldMethod, newMethod);
// 新增的IMP
void newSelector(id self, SEL _cmd) {
// hook实现
[self performSelector:@selector(newSelector)]; //继续执行原始方法
}
// 替换
Method oldSel = class_getInstanceMethod(objc_getClass("class"), @selector(oldSel));
oldSelector = method_getImplementation(oldSel); //旧的IMP保存
class_replaceMethod(objc_getClass("class"), @selector(oldSel), newSelector, "v@:");
// 用于保存旧的IMP
IMP (*oldSelector)(id self, SEL _cmd);
// 新的IMP实现
void newSelector(id self, SEL _cmd) {
// hook实现
oldSelector(self, _cmd);
}
// getIMP 和 setIMP 进行方法修改
Method oldSel = class_getInstanceMethod(objc_getClass("class"), @selector(oldSel));
oldSelector = method_getImplementation(oldSel);
method_setImplementation(oldSel, newSelector);
IMP (*oldSelector)(id self, SEL _cmd);
void newSelector(id self, SEL _cmd) {
// hook实现
oldSelector(self, _cmd);
}
fishHook
fishhook 源码地址:https://github.com/facebook/fishhook
由动态修改
链接Mach-O文件的工具。
利用Mach-O文件加载原理,通过修改懒加载
和非懒加载
两个表的指针,达到C函数
Hook的目的。
fishhook.h
/*
* 结构体
* 表示从符号名到替换名的特定重新绑定
*/
struct rebinding {
const char *name; //需要HOOK的函数名称,C字符串
void *replacement; //新函数的地址
void **replaced; //原始函数地址的指针!
};
/*
* 重新绑定符号
* rebindings:要重新绑定的结构体数组
* rebindings_nel:重新绑定的数量
* 如果rebind_functions被多次调用,
* 则要重新绑定的符号将被添加到现有的重新绑定列表中,
* 如果给定的符号被多次重新绑定,则优先执行后面的重新绑定。
*/
int rebind_symbols(struct rebinding rebindings[], size_t rebindings_nel);
/*
* 如上所述重新绑定,但仅在指定的image中。
* header:指iamge的头
* slide:是相对偏移量(ASLR)
*/
int rebind_symbols_image(void *header,
intptr_t slide,
struct rebinding rebindings[],
size_t rebindings_nel);
fishhook使用例子
- (void)hookFunction {
struct rebinding nslog;
nslog.name = "NSLog";
nslog.replacement = myNSLog;
//fishhook在运行时刻,动态获取相应函数的地址
nslog.replaced = (void *)&sys_nslog;
struct rebinding rebs[1] = {nslog};
rebind_symbols(rebs, 1);
}
// 函数指针,用于保存原始函数地址
static void(*sys_nslog)(NSString *format,...);
// 定义一个新的函数
void myNSLog(NSString *format,...) {
// hook 内容实现
sys_nslog(format); //调用原来的函数
}
只针对
系统
的函数,对于自定义
的函数无法进行交换HOOK。
原理
-
两个前导知识
- 苹果为了节约内存和提高加载速度,将系统的动态库放在内存的特殊位置,然后将这块内存共享给其他应用。这块区域就是
动态库共享缓存(dyld share cache)
。 - PIC技术(位置代码独立)
- 由于使用共享缓存,使得所调用的系统函数在编译时无法确定内存地址
- 所以苹果采用了PIC技术,在Mach-O文件的DATA段中建立两张表,懒加载和非懒加载表,利用存放指向外部函数的指针
- 在运行,调用到对应的函数时,DYLD则会相应的函数进行绑定。
- 苹果为了节约内存和提高加载速度,将系统的动态库放在内存的特殊位置,然后将这块内存共享给其他应用。这块区域就是
-
通过字符查找对应的表
- fishhook利用string Table、Symbols、indirect symbols、懒加载表之间的对应关系查找到相应的指针,再通过重新绑定的方式进行指针修改。
fishhook就是利用绑定符号这一逻辑进行方法的替换绑定,而
自定义函数
无需通过符号表,因此无法进行重新绑定。
Cydia Substrate
Cydia Substrate
原名 Mobile Substrate,它主要作用是针对OC方法
,C函数
以及函数地址
进行HOOK操作。不仅仅只是针对iOS设计的,Android一样可用。
MobileHooker
采用一系列的宏和函数,底层调用objc的Runtime
和fishhook
来替换系统或者目标应用的函数。
两个函数:
- MSHookMessageEx
主要作用于Objective-C方法
void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP result)
- MSHookFunction
主要作用于C和C++函数
void MSHookFunction(void function, void* replacement, void** p_original)
MobileLoader
MobileLoader用于加载第三方dylib
到运行的应用程序中。
启动时MobileLoader会根据规则把指定目录的第三方的动态库加载进去,第三方的动态库
也就是我们所写的Hook代码。
Safe Mode
破解程序本质是dylib
,寄生在别人的进程里。
系统进程一旦出错,可能导致整个进程崩溃,崩溃后会造成iOS瘫痪。所以CydiaSubstrate引入了俺去模式,在安全模式下的所有基于CydiaSubstrate的第三方dylib都会被禁用,便于差错和修复。