iOS逆向之深入解析Hook的原理方法和安全防护

Hook 简介

Hook就是一种改变程序执行流程的一种技术的统称；

一段程序的执行流程是 A --> B --> C，现在我们在 A 和 B 之间插入一段代码或者直接改变 B ，这样程序原有的执行流程就发生了改变。如下图所示：

Hook的方式：Method Swizzle，fishhook，Cydia Substrate；

Hook 原理

利用OC的Runtime特性，动态去改变SEL（方法编号）和IMP（方法实现）的对应关系，达到OC方法调用流程改变的目的主要用于OC方法。

Hook中主要用到的方法(参数： Class、SEL、IMP、Method)：

// 1、方法交换 OBJC_EXPORT void method_exchangeImplementations(Method _Nonnull m1, Method _Nonnull m2) OBJC_AVAILABLE(10.5, 2.0, 9.0, 1.0, 2.0); // 2、替换方法 OBJC_EXPORT IMP _Nullable class_replaceMethod(Class _Nullable cls, SEL _Nonnull name, IMP _Nonnull imp, const char * _Nullable types) OBJC_AVAILABLE(10.5, 2.0, 9.0, 1.0, 2.0); // 3、setIMP & getIMP OBJC_EXPORT IMP _Nonnull method_setImplementation(Method _Nonnull m, IMP _Nonnull imp) OBJC_AVAILABLE(10.5, 2.0, 9.0, 1.0, 2.0); OBJC_EXPORT IMP _Nullable class_getMethodImplementation(Class _Nullable cls, SEL _Nonnull name) OBJC_AVAILABLE(10.5, 2.0, 9.0, 1.0, 2.0);

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

Class 一个 objc_class 类型的结构体指针，用于说明对象是哪个类；

Method 一个 objc_method 类型的结构体指针，用于定义一个方法，在objc源码中定义如下：

struct objc_method { SEL _Nonnull method_name OBJC2_UNAVAILABLE; char * _Nullable method_types OBJC2_UNAVAILABLE; IMP _Nonnull method_imp OBJC2_UNAVAILABLE; } OBJC2_UNAVAILABLE;

1

2

3

4

5

SEL 可以发现在 Method 的定义中，也能看见SEL。在苹果官方文档中定义这种类型:

typedef struct objc_selector *SEL;

1

IMP 同样在 Method 的定义中也能看到，在苹果官方文档的定义如下：

id (IMP *)(id, SEL, ...)

1

SEL是一个C String，用于表示一个方法的名称，IMP是一个方法实现首地址，默认有两个参数 self 和 _cmd。其实SEL和IMP的关系可以类比一本书的目录，SEL就是目录中的内容标题，IMP是后面的页码。一个方法调用时，通过SEL找到对应的IMP，进而找到方法的实现。如下图：

在Hook一个OC方法时，只需要改变其SEL所指向的IMP时，就可以实现方法的交换的目的，或者使用class_replaceMethod 和 method_setImplementation 改变一个类原有方法的实现，原理如下图：

逆向中，Hook一个OC方法其实就是改变其SEL所指向的IMP，从而找到另一个实现地址，执行另一个方法实现。但这种方法的局限在于，其只能针对OC方法进行Hook，对于C函数则无法Hook。

fishhook主要利用了共享缓存功能和PIC技术来实现hook功能。

fishHook是由faceBook开发的，是一个动态修改MachO文件的工具，主要是通过修改懒加载和非懒加载表里的指针的指向来达到hook的目的，因此一般用它来hook系统的C函数。

DATA区有两个section和动态符号链接相关：__nl_symbol_ptr 、__la_symbol_ptr；__nl_symbol_ptr为一个指针数组，直接对应non-lazy绑定数据。__la_symbol_ptr也是一个指针数组，通过dyld_stub_binder辅助链接。

fishhook实现:根据符号（字符）获取系统函数地址；替换符号指向的地址为用户声明的函数地址（符号绑定）；对外部声明的指针进行系统函数地址赋值。

示例说明

static void (* old_log)(NSString* str); void newLog(NSString * str){ str = [str stringByAppendingString:@"\n 勾住了"]; old_log(str); } // hook rebind_symbols((struct rebinding [1]){{"NSLog",newLog,(void *)&old_log}}, 1);

1

2

3

4

5

6

7

rebind_symbols的简单逻辑

假设：

A -> 原方法 ，B -> 新方法 ，Temp -> 中间变量

Temp = A；

A = B；

hook后需要调用原方法就调用Temp

具体如下：

1⃣️ 首先，MachO文件是被dyld(dynamic load)动态加载的，也就是说，MachO文件被加载到内存的时候是不固定的，它有一个ASLR随机值；

2⃣️ 同样，依赖的系统库的加载也是随机的，因此，当MachO文件加载到内存之前根本不知道系统库在哪；

3⃣️ 因此 ，苹果采用了PIC技术(位置代码独立，位置和代码无关)；

假设要调用NSLog函数：首先会在映射表中增加一个间接指针，指向外部的NSLog函数；然后dyld会动态的去绑定，将指针指向外部的函数地址。

machO符号表中有懒加载表（_la_symbol_ptr）和非懒加载表（_nl_symbol_ptr）的_data段，在表中存放着与外部绑定的函数指针，在懒加载端有offset地址，如下：

右边红色方框中的都是我们熟悉的名称，这些函数的使用是需要进行懒加载绑定的;

左边的offset提供了相对于MachO起始地址的偏移量offset，实际地址即是系统函数所在的内存地址;

我们观察NSLog函数，记住对应的offset=0x8018这个偏移量;

使用fishHook的rebind_symbols库函数交换系统NSLog函数：

#pragma mark - 交换NSLog - (void)exchangeLog { // 加载出来NSLog函数,生成内存地址(因为NSLog是Lazy Symbol Pointers) NSLog(@"我来了"); // hook NSLog函数 struct rebinding imp; imp.name = "NSLog"; imp.replacement = my_NSLog; imp.replaced = &sys_nslog; // 存放rebinding结构体数组，一次可以交换多个函数 struct rebinding rebs[1] = {imp}; rebind_symbols(rebs, 1); NSLog(@"点击了屏幕"); } // 实现一个函数来替换原有函数-函数名称即是函数的指针 void my_NSLog(NSString *format, ...) { printf("拦截打印\n"); sys_nslog(format); } // 定义指针来接收原始函数的指针 static void (*sys_nslog)(NSString *format,...);

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

然后运行输出，点击屏幕，查看控制台打印输出，可以看到方法已被拦截，说明NSLog函数已被替换;

所有的函数地址在编译后都是确定，在OC中能够交换方法是因为有sel和imp的连接过程，函数与用户之间有一个中间者，那么fishhook应该也是如此，修改了中间者的imp指向，否则直接调用函数，就没有交换的可能，在MachO中这个中间者叫符号。

在rebind_symbols(rebs, 1);调用前打断点，在控制台执行image list获取模块列表(image就是一个个模块，一个个MachO文件)，如下：

上面的红色标志就是应用程序加载的起始地址(在程序运行期间是固定，重新启动该地址则会随机变化)，然后根据这个地址去找NSLog函数的地址(偏移offset=0x8018)，即在控制台继续输入:x 0x000000010453c000+0x8018

上图中的74 39 59 84 01 00 00 00即为NSLog函数所对应的值，由于CPU的小端模式，因此需要从右往左取值: 0x0184593074就是NSLog的内存地址;然后dis -s 0x0184593074:

继续让断点往下多执行一步，重复上面的操作，就可以看到fishhook对系统NSLog函数的替换:

fishHook官方说明示意图

回到MachO文件，来看看Lazy Symbol、Dynamic Symbol Table、Symbol Table、String Table表关系：

① Lazy Symbol和Dynamic Symbol Tabel一一对应（在数组的下标一致）这两个表包含了所有与动态库相关的符号；

② Dynamic Symbol Tabel和Symbol Table关联，Dynamic Symbol Table中的Data字段是Symbol Table数组的下标；

③ Symbol Table中的data字段地址 + String Table表的起始地址，就是目标函数对应字符的位置。

首先在Lazy Symbol Pointers中找到NSLog函数，它处于表中第一个元素;

找到indirect Symbols表中的NSLog项，它也处于表中第一个元素;

在上图中找到NSLog的Data地址0x94，等于十进制148，即为Symbol Table表中NSLog对应的下标，如下：

通过下标找到了对应的符号，主要上面的标注0xBA为String Table中的偏移量，表的起始地址加上偏移量即是函数名所在的位置;

通过首地址获取最终函数名，0xBA + 0x6180 = 0x623A，找到0x623A地址处，如下：

最终找到系统的函数NSLog。

Cydia Substrate 原名为 Mobile Substrate ，它的主要作用是针对OC方法、C函数以及函数地址进行HOOK操作。

跟method Swizzle类似，也是用的OC的动态性，知识Method Swizzle是用的方法交换，Cydia Substrate 是用的method_getImplementation和 method_setImplementation这两个方法，获取方法实现和设置方法实现。

Cydia Substrate主要由3部分组成：

MobileHooker

它定义一系列的宏和函数，底层调用objc的runtime和fishhook来替换系统或者目标应用的函数。主要有两个函数：MSHookMessageEx 主要作用于Objective-C方法，MSHookFunction 主要作用于C和C++函数；

MSHookMessageEx函数的作用对象是Objective-C函数，其原理是调用Objective-C中高等级的运行时函数API:class_getInstanceMethod、method_setImplementation、method_exchangeImplementations等来替换原函数的逻辑，其实MobileHooker就是对fishhook和runtime做了封装，就是和AFNetworking和NSURLSession的关系是一样的；

// MSHookMessageEx void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP result) // MSHookFunction void MSHookFunction(voidfunction,void* replacement,void** p_original)

1

2

3

4

5

6

MobileLoader

MobileLoader的作用就是去加载第三方dylib，在ios启动的时候，会由launchd将MobileLoader载入内存，然后MobileLoader会根据同名的plist文件指定的作用范围，有选择地在不同的进程当中去通过dlopen函数打开目录/Library/MobileSubstrate/DynamicLibraries/下的所有的dylib。

safe mode

因为APP程序质量参差不齐崩溃再所难免，破解程序本质是dylib，寄生在别人进程里。 一旦出错，就可能导致整个进程崩溃,而一旦崩溃的是SpringBoard等系统进程，崩溃后就会造成iOS瘫痪。所以CydiaSubstrate引入了安全模式,在安全模式下所有基于CydiaSubstratede 的三方dylib都会被禁用，便于查错与修复。

Hook 流程（以Objective-C为例）

在 Objective-C 中，所有的 [receiver message] 都会转换为 objc_msgSend(receiver, @selector(message))。

在当前 class 的方法缓存里寻找（cache methodLists）

找到了跳到对应的方法实现，没找到继续往下执行；

从当前 class 的 方法列表里查找（methodLists），找到了添加到缓存列表里，然后跳转到对应的方法实现；没找到继续往下执行；

从 superClass 的缓存列表和方法列表里查找，直到找到基类为止；

以上步骤还找不到 IMP，则用_objc_msgForward函数指针代替 IMP ，最后执行这个 IMP；

// objc-runtime-new.mm 文件里与 _objc_msgForward 有关的三个函数使用伪代码展示，这也是 obj_msgSend 的实现过程 id objc_msgSend(id self, SEL op, ...) { if (!self) return nil; IMP imp = class_getMethodImplementation(self->isa, SEL op); // 调用这个函数，伪代码... imp(self, op, ...); } //查找IMP IMP class_getMethodImplementation(Class cls, SEL sel) { if (!cls || !sel) return nil; IMP imp = lookUpImpOrNil(cls, sel); // _objc_msgForward 用于消息转发 if (!imp) return _objc_msgForward; return imp; } IMP lookUpImpOrNil(Class cls, SEL sel) { if (!cls->initialize()) { _class_initialize(cls); } Class curClass = cls; IMP imp = nil; // 先查缓存,缓存没有时重建,仍旧没有则向父类查询 do { if (!curClass) break; if (!curClass->cache) fill_cache(cls, curClass); imp = cache_getImp(curClass, sel); if (imp) break; } while (curClass = curClass->superclass); return imp; }

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

第一个阶段的具体方法是+(BOOL)resolveInstanceMethod:(SEL)sel 和+(BOOL)resolveClassMethod:(SEL)sel，当方法是实例方法时调用前者，当方法为类方法时，调用后者。这个方法是为了给类利用 class_addMethod 添加方法的机会；

第二个阶段是备援接收者阶段，对象的具体方法是-(id)forwardingTargetForSelector:(SEL)aSelector ，此时，运行时询问能否把消息转给其他接收者处理，也就是此时系统给了个将这个 SEL 转给其他对象的机会；

第三个阶段是完整消息转发阶段，对应方法-(void)forwardInvocation:(NSInvocation *)anInvocation，这是消息转发流程的最后一个环节（hook方案的核心）。

直接替换原方法的实现为_objc_msgForward。当原来的函数被调用时，就不会在类方法，父类方法列表里查找实现了，直接表示找不到，进入转发流程。用_objc_msgForward来代替原来的函数，代码如下：

class_replaceMethod(class, selector, _objc_msgForward, method_getTypeEncoding(targetMethod));

1

替换forwardInvocation:的实现，当进入转发流程时，阶段一和阶段二都不接手，在阶段三forwardInvocation:里会接手；这里会替换forwardInvocation:的实现，用newForwardInvocation代替，这样就可以hook，完成自己的逻辑后，还要调用被hook的函数原来的逻辑。

id newForwardInvocation = ^(id self, NSInvocation *invocation) { // hook时要添加的代码 if (originalForwardInvocation == NULL) { [self doesNotRecognizeSelector:invocation.selector]; } else { originalForwardInvocation(self, forwardInvocationSEL, invocation); } }; class_replaceMethod(class, @selector(forwardInvocation:), imp_implementationWithBlock(newForwardInvocation), "v@:@");

1

2

3

4

5

6

7

8

9

10

11

简单防护

我们知道Method Swizzle原理是方法交换，那么可以使用fishHook 修改method_exchangeImplementations函数的指向，这个修改指向要在我们的方法交换之后进行（保证自己能改，别人不能改）。

我们的方法交换要在别人hook之前执行，这个地方就需要将我们的方法封装到静态库中，静态库中的load方法会先加载;

它的原理是修改imp的set和get方法，因此我们也可以通过fishHook修改method_getImplementation和method_setImplementation方法。

示例

+ (void)load { // 先交换，防护之前要将所有的交换都写完 Method oldOne = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btnClickOne:)); Method newOne = class_getInstanceMethod(self, @selector(ClickOneHook:)); method_exchangeImplementations(oldOne, newOne); // 基本防护 Method Swizzle struct rebinding bd ; // 原函数名（字符串） A函数 bd.name = "method_exchangeImplementations"; // 交换后的函数 B函数 bd.replacement = myExchange; // 暂存原函数的地址 中间变量temp函数 bd.replaced = (void *)&old_exchage; // 升级防护，用于防护logos（cydia substrate） // method_setImplementation struct rebinding bd1 ; bd1.name = "method_getImplementation"; bd1.replacement = myExchange; bd1.replaced = (void *)&getImp; struct rebinding bd2 ; bd2.name = "method_setImplementation"; bd2.replacement = myExchange; bd2.replaced = (void *)&setImp; // fishhook方法交换 struct rebinding rebind[] = {bd,bd1,bd2}; /* arg1:数组，元素必须是rebinding这个结构体 arg2:数组个数 */ rebind_symbols(rebind, 3); } // 用于存放method_exchangeImplementations涵数 也就是Temp函数 void (* old_exchage)(Class _Nullable cls, SEL _Nonnull name); // 用于存放method_getImplementation涵数 IMP _Nonnull(*getImp)(Method _Nonnull m) ; // 用于存放method_setImplementation涵数 IMP _Nonnull(*setImp)(Method _Nonnull m, IMP _Nonnull imp) ; // 新的交换函数 B函数 void myExchange(Class _Nullable cls, SEL _Nonnull name){ NSLog(@"检测到hook"); exit(1); }

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

iOS 数据结构

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。