iOS逆向之fishHook原理探究

HOOK原理

1、MachO是被谁加载的?

DYLD动态加载

2、ASLR技术(地址空间布局随机化):MachO文件加载的时候是随机地址

3、PIC(位置代码独立)

  • 如果MachO内部需要调用 系统的库函数时
  • 先在_DATA段中建立一个指针,指向外部函数
  • DYLD会动态的进行绑定,将MachO中的DATA段中的指针,指向外部函数(DYLD会告诉MachO要依赖的外部库的位置)
  • _DATA段中建立的指针就是符号(symbols),它是帮你指向内部的函数调用,指向外部的函数地址
    所以,fishhook的rebind_symbols(重新绑定符号)函数,它就是将你指向系统的NSLog的符号,给重新进行绑定,变为指向你内部的函数,这样子就达到修改的目的了;这也是fishhook的底层原理。这也就是为什么使用fishhook时我们内部的函数修改不了,自定义的函数修改不了的原因,只能修改MachO外部的函数。

1、在rebind_symbols处打上断点,提前加上一行代码

NSLog(@"123");
image.png

运行后,如果在rebind_symbols断点没有显示汇编代码,可以通过Debug->Debug Workflow->Always Show Disassembly设置


image.png
image.png

2、在rebind_symbol函数执行之前,NSLog的懒加载符号表的地址是多少

找到可执行文件


image.png

用MachOView打开


image.png
  • Non-Lazy Symbol pointers:MachO只要被加载进来就被绑定了
  • Lazy Symbol pointers:第一次调用的时候才会去绑定

前面为什么加上NSLog(@"123");,是为了调用一次NSLog,这样才能在懒加载表中看到NSLog。

image.png

3、怎么查看符号表

Offset偏移量 00003018(在MachO中偏移了3018)
表的位置=MachO相对于内存的偏移地址+表相对于MachO的偏移地址Offset(3018)

MachO相对于内存的偏移地址,通过image list查看

image.png

0x0000000108339000 就是MachO在内存中的真实地址

表的位置=MachO相对于内存的偏移地址(0x0000000108339000)+表相对于MachO的偏移地址Offset(0x3018)
查看内存所指向的地址
x 0x0000000108339000+0x3018
(x 相当于memory read)


image.png

反汇编:
dis -s 0x0108690a52


image.png

这就通过符号表找到了方法

2、过掉rebind_symbol后,会改变0x0000000108339000+0x3018地址的值,查看地址

image.png

查看内存所指向的地址
x 0x0000000108339000+0x3018


image.png

反汇编:
dis -s 0x0108339e00


image.png

可以看到rebind_symbol后,对应的地址的方法已经发生了改变

那么,在上一篇iOS逆向之fishhookDemo的Demo2中,因为符号表里根本没有func方法,所以Hook不成功。

你可能感兴趣的:(iOS逆向之fishHook原理探究)