Fishhook 是 facebook 的开源库。官方描述,它的作用是:
... enables dynamically rebinding symbols in Mach-O binaries running on iOS in the simulator and on device
支持对 iOS 模拟器和设备上运行的 Mach-O 二进制文件,动态地重绑定其中的符号
更浅显的解读是,如果你的程序调用了动态库中的函数 A,可以通过 fishhook,在运行时将“调用函数 A”改为“调用函数 B”。
Fishhook 的源码只有 250 行,因此可以方便地接入到业务中。
我们能理解 OC 中 method swizzling 的原理。因为 OC 有一套运行时机制,因此给 OC 对象 obj 发送消息 call 时,要经过 runtime 的匹配,才能在运行时得出 call 方法的地址,让指令跳转到 call 方法内部。因此,只要在 runtime 匹配的过程中做手脚,就可以将 call 方法篡改为其他方法。
但是 C 语言中,调用某个函数,指令跳转到某个地址,这是在编译链接时就决定的。看起来我们并不能在运行时改变这个地址。但实际上,如果调用的函数是动态库中的,那么,这个二进制程序,在启动前也并不知道动态库中这个函数的地址。这个地址也是运行时计算得到的。因此这就给 fishhook 提供了机会。
先看上一篇博客:
这时,我们想,如果把 __la_symbol_ptr 中存的地址改了,那是不是就能把 printf 函数指向其它一段指令了呢?Fishhook 也是这样想的。所以 Fishhook 的原理,也是篡改内存中 __la_symbol_ptr 中的内容。把原本应该存 printf() 地址的那块内存,内容改为 my_printf() 地址。
那么问题来了,我们能用函数指针的方式,知道 my_printf() 的地址,但是我们怎么知道,__la_symbol_ptr 中的第几个元素,表示的是 printf() 的地址呢?
如果我们能知道 __la_symbol_ptr 中的第 n 个元素,表示的函数的名字,那我们可以遍历 __la_symbol_ptr 数组,找到表示 printf() 的那个。
于是现在问题变成了,我们怎么知道 __la_symbol_ptr 中的每个元素表示的函数的名字呢?
这里就有一个规律:遍历__la_symbol_ptr中的每个元素获取到函数名,去判断是否要篡改的函数
MachO 文件有个规律,__la_symbol_ptr 节中的第 i 个数据,在 Indirect Symbols 中有对应的体现,且 index 变成了 reserved0 + i。
printf() 对应的数据,在 __la_symbol_ptr 节中是第 10 个元素,__la_symbol_ptr 中的 reserved1 为 12,那么我们找到 Indirect Symbols 中的第 22 个元素:
这里的值是 0x50
我们拿着 0x50,去 Symbol Table 中找到 Symbol Table 中 index = 0x50 的数据。??
得到0x233
struct nlist_64 {
union {
uint32_t n_strx; /* index into the string table */
} n_un;
uint8_t n_type; /* type flag, see below */
uint8_t n_sect; /* section number or NO_SECT */
uint16_t n_desc; /* see */
uint64_t n_value; /* value of this symbol (or stab offset) */
};
Symbol Table 中偏移量为 0x233 的字符串,就是 _printf
这样,主 binary 就知道,__la_symbol_ptr 节中的第 10 个元素,代表 printf,
这样,fishhook 只要遍历一次 __la_symbol_ptr,当发现第 i 个元素对应的名字,就是我们要 hook 的名字时,就可以将 __la_symbol_ptr 中的第 i 个元素的值篡改掉,完成 hook 的过程。
Fishhook 源码:https://github.com/facebook/fishhook
iOS逆向(6)-从fishhook看runtime,hook系统C函数 https://www.jianshu.com/p/b6a72aa6c146
Dyld之二: 动态链接过程:https://blog.cnbluebox.com/blog/2017/10/12/dyld2/