fishhook —— Method Swizzle

0x01.fishhook和method swizzle

之前有研究过fishhook及其具体的实现，fishhook是可以用于动态地hook系统函数的。而method swizzle实现所用的method_exchangeImplementations，method_setImplementation和method_getImplementation方法是由runtime库给提供的，也是一类系统函数。

从这个角度上来看，我们可以hook method_exchangeImplementations，method_setImplementation和method_getImplementation方法，来达到检测hook和antihook的目的。

---

0x02.简单实现

下面简单实现一个普普通通的一个method swizzle demo

一个button按钮

hook

最后hook button: 方法，会打印2020.08.20 11:12的log

这里可以看到，执行方法交换的关键函数就是method_exchangeImplementatons;

那么fishhook method_exchangeImplementatons 我们看一下什么情况。

fishhook

这里fishhook使用新的hook_ex函数来替换掉method_exchangeImplementatons，不过还是要先执行原方法也就是exchangeP，执行的原因后面会说。

看看效果

这个不执行原方法，不影响

这里执行的时候并没有打印“检测到了hook” ，很简单，说明我们fishhook方法的执行顺序在执行method swizzle方法之后。别人都进攻结束了你才去做防御，这不是和空气斗智斗勇吗？

所以我们修改一下类的执行顺序。

修改执行顺序

我们把fishhook method_exchangeImplementatons 的逻辑放到第一步来执行。

然后

再执行

这里就能检测到了。

---

0x03.一点小的思考

首先是关于为什么还是要执行原方法？确实有的带着恶意hook的目的是会对软件造成负面影响的。但是从本质上来说，苹果官方开放runtime的函数给开发者使用，本质上是为了在迭代里面更快速方便地更新函数。所以也有很多第三方库，或者二次开发的代码使用大量的method swizzle。如果不执行原方法，那这些第三方库就完全没有用了，app也不能工作。得不偿失，所以还是要执行原方法

执行原方法

该被hook还是会被hook，不过我们在method swizzle调用的时候能够知道有函数被hook了。

其次，现在是把fishhook的类放到最前面去执行，对于一个打包好的项目，要是给它附加检测hook的功能的话，是不可用这种方法的。需要加一个打包好的动态库。

---

0x04.method_setImplementation和method_getImplementation

在主流的以method swizzle为基础的hook框架中，Cydia Substrate，MonkeyDev

其中Cydia Substrate主要由3部分组成：

1.MobileHooker

MobileHooker顾名思义用于HOOK。它定义一系列的宏和函数，底层调用objc的runtime和fishhook来替换系统或者目标应用的函数.

其中有两个函数:

MSHookMessageEx 主要作用于Objective-C方法

void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP result)

MSHookFunction 主要作用于C和C++函数

void MSHookFunction(voidfunction ,void* replacement ,void** p_original)

2.MobileLoader

MobileLoader用于加载第三方dylib在运行的应用程序中。启动时MobileLoader会根据规则把指定目录的第三方的动态库加载进去，第三方的动态库也就是我们写的破解程序.

3.safe mode

因为APP程序质量参差不齐崩溃再所难免，破解程序本质是dylib，寄生在别人进程里。 系统进程一旦出错，可能导致整个进程崩溃,崩溃后就会造成iOS瘫痪。所以CydiaSubstrate引入了安全模式,在安全模 式下所有基于CydiaSubstratede 的三方dylib都会被禁用，便于查错与修复。

MSHookMessageEx方法：

MSHookMessageEx方法也是封装的runtime中三个方法交换函数来实现的。所以这里把三个函数全部fishhook了。

全部hook

并且把fishhook的代码写到动态库里面，这样如果攻击方没有对mo文件进行修改的话，动态库会在攻击方法之前执行。

运行效果

结果

发现有点问题，因为我只hook了一个函数，缺检测到了三个（后面的两对get和set log是两个函数）

按道理来说应该只报告一个函数被hook呀。

来看看，在fishhook的hook代码中打上断点

查看

在读取内存之后发现，hook警告的第二个函数是OpenURL，这是ios中用于app间通信的函数

第三个函数是openURL:options:completionHandler:,也是同样的功能，只是在iOS 10以上的系统中使用openURL:options:completionHandler:

那么

1

上面这个函数是在method swizzle过程中被hook的函数，我们看看内存里面

看到了

这里就是我们自己在method swizzle里hook的函数。

那归纳一下这种检测方法下，非dylib链接过程中的系统函数有什么特征：

sel load

如果是自定义函数hook，old_imp是指向原方法对指针，值会为SEL_load。

最后

可以看到三个函数都被hook了