iOS逆向-15:Hook原理

Hook概述

HOOK,中文译为“挂钩”或“钩子”。在iOS逆向中是指改变程序运行流程的一种技术。通过hook可以让别人的程序执行自己所写的代码。在逆向中经常使用这种技术。所以在学习过程中,我们重点要了解其原理,这样能够对恶意代码进行有效的防护。

Hook示意

比如说我们收到红包消息,我们进行hook,执行自定义的恶意代码、看看抢红包需要哪些参数,准备好参数调用抢红包代码。就不需要等待用户点开红包,点击抢红包等一一系列操作了

iOS中HOOK技术的几种方式

  1. Method Swizzle
       
    利用OC的Runtime特性,动态改变SEL(方法编号)和IMP(方法实现)的对应关系,达到OC方法调用流程改变的目的。主要用于OC方法。

  2. fishhook
       
    它是Facebook提供的一个动态修改链接mach-O文件的工具。利用MachO文件加载原理,通过修改懒加载和非懒加载两个表的指针达到C函数HOOK的目的。

  3. Cydia Substrate

Cydia Substrate 原名为 Mobile Substrate ,它的主要作用是针对OC方法、C函数以及函数地址进行HOOK操作。当然它并不是仅仅针对iOS而设计的,安卓一样可以用。官方地址:http://www.cydiasubstrate.com/

fishhook

接口函数:

struct rebinding {
  const char *name;//需要HOOK的函数名称,C字符串
  void *replacement;//新函数的地址
  void **replaced;//原始函数地址的指针!
};
FISHHOOK_VISIBILITY
int rebind_symbols(struct rebinding rebindings[], size_t rebindings_nel);

/*
 * Rebinds as above, but only in the specified image. The header should point
 * to the mach-o header, the slide should be the slide offset. Others as above.
 */
FISHHOOK_VISIBILITY
int rebind_symbols_image(void *header,
                         intptr_t slide,
                         struct rebinding rebindings[],
                         size_t rebindings_nel);

demo:

- (void)viewDidLoad {
    [super viewDidLoad];
    //创建rebinding 结构体
    struct rebinding myNslog;
    myNslog.name = "NSLog";
    myNslog.replacement = my_NSLog;
    myNslog.replaced = (void *)&sysLog;
    struct rebinding bds[] = {myNslog};
    rebind_symbols(bds, 1);
    
}

//原函数
static void (*sysLog)(NSString *format, ...);
//新函数
void my_NSLog(NSString *format, ...) {
    format = [format stringByAppendingFormat:@"\nhook成功~!!!"];
    //回到系统的nslog里
    sysLog(format);
}


-(void)touchesBegan:(NSSet *)touches withEvent:(UIEvent *)event
{
    NSLog(@"hello");
}

结果:


image.png

用法比较简单,那么fishhook是如何hook函数的呢
我们知道:
OC动态语言特性 方法通过sel找imp
而C语言是静态语言 直接通过函数地址访问

那么我们猜想一下,fishhook是不是先保存原函数的地址,然后bl到自己的函数地址呢?
其实这个过程并没有那么简单:
MachO Text段(只读\可执行!)
Data段(可读\可写) 所以这里面包含了符号,及符号表
首先编译时NSLog的地址我们不知道,NSLog在foundation共享缓存库中
在访问NSLog的时候,使用的其实是PIC技术(位置无关代码),首先访问占位符占位符就叫做符号,占8个字节,dlyd 进行对符号里的数据修改就叫做符号绑定!!而所有的符号列表就叫做符号表,
因为外部符号地址不确定所以使用PIC技术

image.png

把符号里的地址修改了,做到修改符号对应地址的关系
外部的c函数是动态调用的,通过符号找地址,也可以重绑定
函数名变量名,方法名,编译完就生成一张符号表

内部符号,本mach内的符号
外部符号,也叫间接符号表
可以通过 symbol table查看

本地符号 我自己内部使用的,去符号去的是本地符号
全局符号 暴露给外界使用的,比如第三方库,
objcdump --macho -t SymbolDemo 可以看到符号
l 本地
g 全局

indirect symbols间接符号表

外部符号的是在懒加载符号,在第一次调用才绑定,我们通过汇编看一下流程
首先我们在第一调用nslog的地方打一个断点,看汇编


image.png

通过image list 找到macho的偏移是 0x0000000104454000,也就是pagezero+ASLR
此次运行时的ASLR是0x4454000,将0x10445a4a8 - 0x4454000 = 0x00000001000064a8 就是macho文件bl的位置:


image.png

发现是跳到外部符号的桩,桩里面有一段代码,汇编CTRL + Stepinto点击去看汇编:
image.png

br x16 0x000000010445a55c - 0x4454000 = 0x000000010000655c:
image.png

br去符号表里的地址执行665c,找655c:


image.png

发现执行的是上面红框出来的代码, 本地的一行代码 ldr #1008000,即符号绑定
image.png

绑定之后,懒加载符号表里的data就修改了。

总结

外部符号绑定过程

  • 外部函数调用执行桩里面的代码 (Text stubs)
    通过懒加载符号表里面的地址去执行
  • 懒加载符号表里面默认存储的是寻找binder的代码
    binder函数在非懒加载符号表里(程序运行就绑定好了)

你可能感兴趣的:(iOS逆向-15:Hook原理)