上一篇文章介绍到了给ipa注入我们的库,接下来就是要hook我们感兴趣的代码,在hook之前,简单的了解一下hook的原理,之后我们再进行简单的hook和防护的介绍。
- Hook 原理
Hook的原理就是改变程序执行的流程。 - Hook 的几种方式。(我没有介绍全,大家仅作参考)
1.Method Swizzle
2.fishHook
3.Cydia Substrate
Method Swizzle 原理
我们都知道,oc是一门动态的语言,OC的方法都是根据名字动态的去寻找、执行。OC中有一个RunTime技术,在RunTime中我们可以动态的修改SEL(方法编号) 和 IMP(方法实现)的对应关系,其中就有一个method_exchangeImplementations接口,这是runTime提供的方法交换接口。Method Swizzle的原理就是基于OC这门语言的动态性进行hook的。
fishHook 原理
fishHook是由faceBook开发的,是一个动态修改MachO文件的工具,主要是通过修改懒加载和非懒加载表里的指针的指向来达到hook的目的,因此我们一般用它来hook系统的C函数。
- fishHook示例
static void (* old_log)(NSString* str);
void newLog(NSString * str){
str = [str stringByAppendingString:@"\n 勾住了"];
old_log(str);
}
//hook
rebind_symbols((struct rebinding [1]){{"NSLog",newLog,(void *)&old_log}}, 1);
rebind_symbols的简单逻辑
假设:
A -> 原方法 ,B -> 新方法 ,Temp -> 中间变量
Temp = A;
A = B;
hook后需要调用原方法就调用Temp
- 我们进一步分析fishHook
1 > 首先,我们的MachO文件是被dyld(dynamic load)动态加载的,也就是说,MachO文件被加载到内存的时候是不固定的,他有一个ASLR随机值。
2 >同样,我们依赖的系统库的加载也是随机的,因此,当MachO文件加载到内存之前根本不知道系统库在哪
3 > 因此 ,苹果采用了PIC技术(位置代码独立,位置和代码无关),假设我们要调用NSLog函数
1.首先会在映射表中增加一个间接指针,指向外部的NSLog函数
间接指针符号表.png,dyld会动态的去绑定,将指针指向外部的函数地址。
因此我们可以得出以下的结论:
1.虽然C语言是一门静态的语言,但是它也有动态的部分。
2.fishHook的原理就是修改这个映射表中指针指向的函数地址到达hook的目的。
3.我们不能用fishhook来hook自己写的C函数是因为符号表里没有我们自己写的函数的函数名。-
那么问题来了,映射表中指针的位置并不好找,fishHook是如何通过方法的名字就能更改映射表中的指针的呢?
先给大家po一张fishHook官方提供的原理图
fishHook官方提供的原理图
下面我们来解说一下这表。我们采用的是反推法,从结束找开始。
下面是一张间接符号表,位置和懒加载符号指针表位置一一对应 ,在指针表中是第一个,间接符号表中也是第一个。
data -> 0x7a,转换成十进制就是122,然后去Symbol Table中寻找
找到了耶✌️,这边还有一个data 是0x9a ,接着去stringTable中找 stringTable的首地址加上0x9a的偏移就是字符串的地址
找到了!。大家可以试着正推,
- 还有一个知识点,在上面的懒加载符号指针表中,有一个offset字段,那个字段的值是nslog函数的位置相对于macho文件的偏移
通过符号表查找函数实现.png
ps:首地址大家可以输入$ image list,第一个地址就是MachO的在内存中的首地址
汇编状态下反汇编输出$dis -s 地址
Cydia Substrate 原理
跟method Swizzle类似,也是用的OC的动态性,知识Method Swizzle是用的方法交换,Cydia Substrate 是用的method_getImplementation和 method_setImplementation这两个方法,获取方法实现和设置方法实现
简单的Hook防护
我们已经知道了前面几个hook的原理,接下来我们说说防护
- 防护Method Swizzle :
1 > 我们知道Method Swizzle原理是方法交换,那么我们可以使用fishHook 修改method_exchangeImplementations函数的指向,这个修改指向要在我们的方法交换之后进行(保证自己能改,别人不能改)。
2 >我们的方法交换要在别人hook之前执行,这个地方就需要将我们的方法封装到静态库中,静态库中的load方法会先加载
*防护Cydia Substrate
它的原理是修改imp的set和get方法,因此我们也可以通过fishHook修改method_getImplementation和method_setImplementation方法
*防护fishHook
额,这个涉及到macho文件操作耶,续待吧。
献丑贴上我的示例代码
//
// hookMgr.m
// 基本防护
//
// Created by Donkey on 2018/5/20.
// Copyright © 2018年 Donkey. All rights reserved.
//
#import "hookMgr.h"
#import "fishhook.h"
#import
@implementation hookMgr
+(void)load{
//1.先交换,防护之前要将所有的交换都写完
Method oldOne = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btnClickOne:));
Method newOne = class_getInstanceMethod(self, @selector(ClickOneHook:));
method_exchangeImplementations(oldOne, newOne);
//2.基本防护 Method Swizzle
struct rebinding bd ;
bd.name = "method_exchangeImplementations"; //原函数名(字符串) A函数
bd.replacement = myExchange; //交换后的函数 B函数
bd.replaced = (void *)&old_exchage; //暂存原函数的地址 中间变量temp函数,
//3.升级防护,用于防护logos (cydia substrate)
// method_setImplementation
struct rebinding bd1 ;
bd1.name = "method_getImplementation";
bd1.replacement = myExchange;
bd1.replaced = (void *)&getImp;
struct rebinding bd2 ;
bd2.name = "method_setImplementation";
bd2.replacement = myExchange;
bd2.replaced = (void *)&setImp;
//fishhook 方法交换
struct rebinding rebind[] = {bd,bd1,bd2};
/*
arg1:数组,元素必须是rebinding这个结构体
arg2:数组个数
*/
rebind_symbols(rebind, 3);
}
//用于存放method_exchangeImplementations涵数 也就是Temp函数
void (* old_exchage)(Class _Nullable cls, SEL _Nonnull name);
//用于存放method_getImplementation涵数
IMP _Nonnull(*getImp)(Method _Nonnull m) ;
//用于存放method_setImplementation涵数
IMP _Nonnull(*setImp)(Method _Nonnull m, IMP _Nonnull imp) ;
//新的交换函数 B函数
void myExchange(Class _Nullable cls, SEL _Nonnull name){
NSLog(@"检测到hook");
exit(1);
}
@end
//将以上代码放在framework里的类中