基于iOS简单的hook原理及防护

上一篇文章介绍到了给ipa注入我们的库,接下来就是要hook我们感兴趣的代码，在hook之前，简单的了解一下hook的原理，之后我们再进行简单的hook和防护的介绍。

• Hook 原理
  Hook的原理就是改变程序执行的流程。
• Hook 的几种方式。（我没有介绍全，大家仅作参考）
  1.Method Swizzle
  2.fishHook
  3.Cydia Substrate

Method Swizzle 原理

我们都知道，oc是一门动态的语言，OC的方法都是根据名字动态的去寻找、执行。OC中有一个RunTime技术，在RunTime中我们可以动态的修改SEL(方法编号) 和 IMP(方法实现)的对应关系，其中就有一个method_exchangeImplementations接口，这是runTime提供的方法交换接口。Method Swizzle的原理就是基于OC这门语言的动态性进行hook的。

fishHook 原理

fishHook是由faceBook开发的，是一个动态修改MachO文件的工具，主要是通过修改懒加载和非懒加载表里的指针的指向来达到hook的目的，因此我们一般用它来hook系统的C函数。

• fishHook示例

static void (* old_log)(NSString* str);
void newLog(NSString * str){
    str = [str stringByAppendingString:@"\n 勾住了"];
    old_log(str);
}
//hook
rebind_symbols((struct rebinding [1]){{"NSLog",newLog,(void *)&old_log}}, 1);

rebind_symbols的简单逻辑
假设：
A -> 原方法 ，B -> 新方法 ，Temp -> 中间变量
Temp = A；
A = B；
hook后需要调用原方法就调用Temp

• 我们进一步分析fishHook
  1 > 首先，我们的MachO文件是被dyld(dynamic load)动态加载的，也就是说，MachO文件被加载到内存的时候是不固定的,他有一个ASLR随机值。
  2 >同样，我们依赖的系统库的加载也是随机的，因此，当MachO文件加载到内存之前根本不知道系统库在哪
  3 > 因此 ，苹果采用了PIC技术(位置代码独立，位置和代码无关)，假设我们要调用NSLog函数

1.首先会在映射表中增加一个间接指针，指向外部的NSLog函数

间接指针符号表.png

，dyld会动态的去绑定，将指针指向外部的函数地址。

• 因此我们可以得出以下的结论:
  1.虽然C语言是一门静态的语言，但是它也有动态的部分。
  2.fishHook的原理就是修改这个映射表中指针指向的函数地址到达hook的目的。
  3.我们不能用fishhook来hook自己写的C函数是因为符号表里没有我们自己写的函数的函数名。

• 那么问题来了，映射表中指针的位置并不好找，fishHook是如何通过方法的名字就能更改映射表中的指针的呢？
  

  先给大家po一张fishHook官方提供的原理图
  

  fishHook官方提供的原理图

下面我们来解说一下这表。我们采用的是反推法，从结束找开始。

懒加载符号指针表.png

下面是一张间接符号表，位置和懒加载符号指针表位置一一对应 ，在指针表中是第一个，间接符号表中也是第一个。

符号映射表.png

data -> 0x7a,转换成十进制就是122，然后去Symbol Table中寻找

symbolTable中的符号表.png

找到了耶✌️，这边还有一个data 是0x9a ,接着去stringTable中找 stringTable的首地址加上0x9a的偏移就是字符串的地址

stringtable中位置计算.png

找到了！。大家可以试着正推，

• 还有一个知识点，在上面的懒加载符号指针表中，有一个offset字段，那个字段的值是nslog函数的位置相对于macho文件的偏移
  
  

  通过符号表查找函数实现.png
  
  ps:首地址大家可以输入$ image list ，第一个地址就是MachO的在内存中的首地址
  汇编状态下反汇编输出$dis -s 地址

Cydia Substrate 原理

跟method Swizzle类似，也是用的OC的动态性，知识Method Swizzle是用的方法交换，Cydia Substrate 是用的method_getImplementation和 method_setImplementation这两个方法，获取方法实现和设置方法实现

简单的Hook防护

我们已经知道了前面几个hook的原理，接下来我们说说防护

• 防护Method Swizzle ：
  1 > 我们知道Method Swizzle原理是方法交换，那么我们可以使用fishHook 修改method_exchangeImplementations函数的指向，这个修改指向要在我们的方法交换之后进行（保证自己能改，别人不能改）。
  2 >我们的方法交换要在别人hook之前执行，这个地方就需要将我们的方法封装到静态库中，静态库中的load方法会先加载

*防护Cydia Substrate
它的原理是修改imp的set和get方法，因此我们也可以通过fishHook修改method_getImplementation和method_setImplementation方法

*防护fishHook
额，这个涉及到macho文件操作耶，续待吧。

献丑贴上我的示例代码

//
//  hookMgr.m
//  基本防护
//
//  Created by Donkey on 2018/5/20.
//  Copyright © 2018年 Donkey. All rights reserved.
//

#import "hookMgr.h"
#import "fishhook.h"
#import 

@implementation hookMgr

+(void)load{
    //1.先交换，防护之前要将所有的交换都写完
    Method oldOne =  class_getInstanceMethod(objc_getClass("ViewController"), @selector(btnClickOne:));
    Method newOne =  class_getInstanceMethod(self, @selector(ClickOneHook:));
    method_exchangeImplementations(oldOne, newOne);
    
    //2.基本防护 Method Swizzle
    struct rebinding bd ;
    bd.name = "method_exchangeImplementations"; //原函数名（字符串） A函数
    bd.replacement = myExchange; //交换后的函数 B函数
    bd.replaced = (void *)&old_exchage; //暂存原函数的地址 中间变量temp函数,
    
    //3.升级防护，用于防护logos （cydia substrate）
    //    method_setImplementation
    struct rebinding bd1 ;
    bd1.name = "method_getImplementation";
    bd1.replacement = myExchange;
    bd1.replaced = (void *)&getImp;
    
    struct rebinding bd2 ;
    bd2.name = "method_setImplementation";
    bd2.replacement = myExchange;
    bd2.replaced = (void *)&setImp;
    
    //fishhook 方法交换
    struct rebinding rebind[] = {bd,bd1,bd2};
    
    /*
     arg1:数组，元素必须是rebinding这个结构体
     arg2:数组个数
     */
    rebind_symbols(rebind, 3);
}


//用于存放method_exchangeImplementations涵数 也就是Temp函数
void (* old_exchage)(Class _Nullable cls, SEL _Nonnull name);

//用于存放method_getImplementation涵数
IMP _Nonnull(*getImp)(Method _Nonnull m) ;

//用于存放method_setImplementation涵数
IMP _Nonnull(*setImp)(Method _Nonnull m, IMP _Nonnull imp) ;


//新的交换函数 B函数
void myExchange(Class _Nullable cls, SEL _Nonnull name){
    NSLog(@"检测到hook");
    exit(1);
}


@end

//将以上代码放在framework里的类中