iOS逆向实战--020:初探反HOOK防护

初探反HOOK防护

HOOK第三方App时,对于OC方法,一般会使用Method Swizzle。例如:使用系统提供的method_exchangeImplementations函数,将两个方法进行交换

自己开发的App,如果使用fishHook,预先将method_exchangeImplementations和自定义函数交换,攻击方在不知道函数名称的情况下,将很难进行HOOK

案例1:

使用fishHook交换method_exchangeImplementations

搭建App项目,命名为AntiHook,作为反HOOK案例

防护代码写在Framework中更适宜,因为load方法调用时机比主程序更快,并且可以在别人注入的动态库之前被执行

添加target,创建Framework,命名为HookMgr,设置为动态库

Framework中,创建AntiHookCode文件,并导入fishhook

打开AntiHookCode.m文件,写入以下代码:

#import "AntiHookCode.h"
#import "fishhook.h"
#import 

@implementation AntiHookCode

+(void)load{
   struct rebinding reb;
   reb.name="method_exchangeImplementations";
   reb.replacement=my_exchange;
   reb.replaced=(void *)&sys_exchange;

   struct rebinding rebs[] = { reb };
   rebind_symbols(rebs, 1);
}

void (*sys_exchange)(Method _Nonnull m1, Method _Nonnull m2);

void my_exchange(Method _Nonnull m1, Method _Nonnull m2){
   NSLog(@"检测到HOOK");
}

@end

App中,打开ViewController.m文件,写入以下代码:

#import "ViewController.h"
#import 

@implementation ViewController

- (void)viewDidLoad {
   [super viewDidLoad];
}

- (IBAction)btnClick1:(id)sender {
   NSLog(@"按钮1调用!");
}

- (IBAction)btnClick2:(id)sender {
   NSLog(@"按钮2调用了!");
}

@end

创建Payload目录

编译项目,将编译后的AntiHook.app拷贝到Payload目录下

使用zip命令,将Payload打包为AntiHook.ipa

zip -ry AntiHook.ipa Payload

案例2:

测试AntiHook项目的反HOOK防护是否有效

搭建App项目,命名为HookDemo,作为重签名App

添加target,创建Framework,命名为Hook,设置为动态库

Framework中,创建Inject文件

打开Inject.h文件,写入以下代码:

#import "Inject.h"
#import 

@implementation Inject

+(void)load{
   Method sysClick1 = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btnClick1:));
   Method myClick1 = class_getInstanceMethod(self, @selector(my_btnClick1));
   method_exchangeImplementations(sysClick1, myClick1);
}

-(void)my_btnClick1{
   NSLog(@"");
}

@end

appSign.sh文件、yololib文件,拷贝到项目根目录。然后在项目根目录,创建App目录

案例1中,最后打包的AntiHook.ipa文件,拷贝到App目录

HookDemo中,选择Build Phases,在Run Script中输入:./appSign.sh

真机运行项目,检测到HOOK代码

点击按钮1,输出的还是原始内容

AntiHook项目中的防护代码生效,当注入的动态库,使用method_exchangeImplementations函数时,可以被检测出来,并让攻击方的HOOK失效

案例3:

在本工程中使用方法交换

来到AntiHook项目

HookMgr中,打开AntiHookCode.h文件,写入以下代码:

#import 
#import 

CF_EXPORT void (*sys_exchange)(Method _Nonnull m1, Method _Nonnull m2);

@interface AntiHookCode : NSObject

@end

打开HookMgr.h文件,写入以下代码:

#import 
#import 

AntiHook中,打开ViewController.m文件,写入以下代码:

#import "ViewController.h"
#import 

@implementation ViewController

- (void)viewDidLoad {
   [super viewDidLoad];

   Method sysClick2 = class_getInstanceMethod(self.class, @selector(btnClick2:));
   Method myClick2 = class_getInstanceMethod(self.class, @selector(test));
   sys_exchange(sysClick2, myClick2);
}

-(void)test{
   NSLog(@"本工程HOOK,");
}

- (IBAction)btnClick1:(id)sender {
   NSLog(@"按钮1调用!");
}

- (IBAction)btnClick2:(id)sender {
   NSLog(@"按钮2调用了!");
}

@end

真机运行项目,点击按钮2

在本工程中,使用sys_exchange函数HOOK成功。但对于攻击方,在不知道函数名称的情况下,则很难进行HOOK

上述防护方式,过于简单。它会在MachO的字符串表中,存储method_exchangeImplementations的字符串

使用Hopper,打开HookMgr动态库的MachO文件

攻击方通过字符串,很容易定位到防护代码,然后对其破解。例如,在更早的执行时机,对防护的关键函数HOOK,让防护代码失效

所以上述方式,不建议使用。高明的防护代码,应该让攻击方很难发现,尽量不留下痕迹。在程序运行过程中,不知不觉的将其干掉

MokeyDev

MokeyDev:作者刘培庆,原iOSOpenDev的升级版,一款非越狱插件开发集成神器

主要包括四个模块:

  • Logos Tweak:使用theos提供的logify.pl工具,将*.xm文件转成*.mm文件参与执行。集成了CydiaSubstrate,可以使用MSHookMessageExMSHookFunctionHook指定地址和OC函数
  • CaptainHook Tweak:使用CaptainHook提供的头文件,进行OC函数的Hook以及属性的获取
  • Command-line Tool:可以直接创建运行于越狱设备的命令行工具
  • MonkeyApp:这是自动给第三方应用集成RevealCycript和注入dylib的模块。支持调试dylib和第三方应用,支持Pod给第三放应用集成SDK,只需要准备一个砸壳后的ipaapp文件即可

安装MokeyDev,需要先安装theos。详情可参见:官方文档 & 安装说明

安装中,遇到xcode 12 Types.xcspec not found错误,可执行以下命令:

sudo ln -s /Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/Library/Xcode/PrivatePlugIns/IDEOSXSupportCore.ideplugin/Contents/Resources /Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/Library/Xcode/Specifications
  • 详情可查看:原文地址

案例1

搭建MokeyApp项目

安装MokeyDev成功后,打开Xcode,创建新项目

选择MokeyApp

创建成功,默认包含App和注入的动态库

案例2

使用MokeyApp实现应用重签名

MokeyApp支持.ipa.app格式

ipa包,拷贝到MokeyDemo下的TargetApp目录中

运行MokeyDemo项目,即可安装成功

案例3

使用MokeyApp实现代码注入

MokeyDemoDylib中,点击MokeyDemoDylib.xm文件,选择Objective-C++ Source

打开MokeyDemoDylib.xm文件,写入以下代码:

#import 

%hook ViewController

- (void)btnClick1:(id)sender {
   NSLog(@"");
}

%end
  • 使用Logos语法,详情可查看:官方文档

真机运行项目,检测到HOOK代码

点击按钮1,输出的是交换后的内容

HOOK成功后,调用原始函数

- (void)btnClick1:(id)sender {
   NSLog(@"");
  %orig;
}

只需要%orig一句代码,即可调用

使用MokeyApp,在AntiHook项目中,可以检测到method_exchangeImplementations函数的使用,说明防护代码有效。至于方法还是被交换了,可能MokeyDev使用的是get/set方法

案例4

AntiHook项目中,增加对method_setImplementation的防护

来到AntiHookCode项目

Framework中,打开AntiHookCode.m文件,修改为以下代码

#import "AntiHookCode.h"
#import "fishhook.h"

@implementation AntiHookCode

+(void)load{
   
   struct rebinding rebExchange;
   rebExchange.name="method_exchangeImplementations";
   rebExchange.replacement=my_check;
   rebExchange.replaced=(void *)&sys_exchange;
   
   struct rebinding rebSetImp;
   rebSetImp.name="method_setImplementation";
   rebSetImp.replacement=my_check;
   rebSetImp.replaced=(void *)&sys_setImp;

   struct rebinding rebs[] = { rebExchange, rebSetImp };
   rebind_symbols(rebs, 2);
}

void (*sys_exchange)(Method _Nonnull m1, Method _Nonnull m2);
IMP _Nonnull (*sys_setImp)(Method _Nonnull m, IMP _Nonnull imp);

void my_check(Method _Nonnull m1, Method _Nonnull m2){
   NSLog(@"检测到HOOK");
}

@end

编译项目,将ipa包,覆盖到MokeyDemo下的TargetApp目录中

真机运行项目,检测到HOOK代码

点击按钮1,输出的还是原始内容

method_setImplementation函数被交换,MokeyDevHOOK代码同样失效

MokeyDev中,使用的是Substrate框架

MokeyDemoDylib.xm中写入的Logos语法,也是被libsubstrate.dylib库进行解析

.xm中的代码,解析到MokeyDemoDylib.mm文件

MSHookMessageEx函数内部,也是通过get/set方法,对OC方法进行HOOK

总结:

HOOK防护

  • 利用fishHook,修改Method Swizzle相关函数
  • 不推荐使用,防护痕迹过于明显。会导致其他三方库无法使用Method Swizzle
  • 防护代码需要最先被执行,否则先被HOOK,防护代码失效
  • 原始工程编写的Framework库,优先于注入库的加载,适合写防护代码

MokeyDev

  • iOSOpenDev的升级版,一款非越狱插件开发集成神器
  • 使用Substrate框架
  • 底层通过get/set方法,对OC方法进行HOOK

你可能感兴趣的:(iOS逆向实战--020:初探反HOOK防护)