iOS逆向安防从入门到秃头--InlineHook

小谷秃头合集

• 目前主流的HOOK框架:OC的Method swizzling、fishHook、InlineHook和Cydia Substrate

• 关于MethodSwizzling和fishHook，兄弟们估计用的很多了。我就不在这里班门弄斧了~

• 几天了解一波新秀 -- InlineHook

1. Dobby框架

因为InlineHook出来不是针对于iOS和MacOS工程的（是全平台的~），因此咱们要用cmake编译它

1.1. Dobby框架的安装

• 首先咱们先clone下来（放到你想要放到的目录😆）

git clone https://github.com/jmpews/Dobby.git --depth=1

• 而后咱们进入Dobby目录，建立build_for_ios_arm64文件夹（官方推荐目录名），而后进入建立的文件夹~

命令行~

cd Dobby && mkdir build_for_ios_arm64 && cd build_for_ios_arm64

• 最后咱们用cmake编译成xcode工程~ (这个时候在build_for_ios_arm64了)

cmake .. -G Xcode \
-DCMAKE_TOOLCHAIN_FILE=cmake/ios.toolchain.cmake \
-DPLATFORM=OS64 -DARCHS="arm64" -DCMAKE_SYSTEM_PROCESSOR=arm64 \
-DENABLE_BITCODE=0 -DENABLE_ARC=0 -DENABLE_VISIBILITY=1 -DDEPLOYMENT_TARGET=9.3 \
-DDynamicBinaryInstrument=ON -DNearBranch=ON -DPlugin.SymbolResolver=ON -DPlugin.Darwin.HideLibrary=ON -DPlugin.Darwin.ObjectiveC=ON
复制代码

• 编译完成~如图所示

1.2. 生成framework

有了xcode工程了。兄得们，编译成framework还远吗？

• 首先选择框架进行编译

• 编译成功~

当使用时，可能会报bitcode错误。关上就好了

2. 使用及原理

咱们最重要的老是实用性，有机会的话能够理解下的思想~

2.1. InlineHook 的使用

InlineHook和fishhook的使用差很少，都比较方便（我首先在项目中举例使用，而后在实战纯地址）

• 介绍下InlineHook的hook函数

// replace function
/** argv1:hook的函数地址 argv2：新函数的地址 argv3：原始函数指针 */
int DobbyHook(void *address, void *replace_call, void **origin_call);
复制代码

很形象生动：替换函数

• 搞起搞起~

// 1 导入framework

// 2 引入头文件

// 3使用

int sum(int a, int b){
    return a + b;
}

int (*sum_p)(int a, int b);

int sumReplace(int a, int b){
    NSLog(@"HOOK住了~");
    return a + b;
}

- (void)viewDidLoad {
    [super viewDidLoad];
    // Do any additional setup after loading the view.
    DobbyHook(sum, sumReplace, (void *)&sum_p);
}

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
    NSLog(@"click ~");
    sum(10, 20);
}
复制代码

就使用这个DobbyHook函数，注：在运行时调用的。不是编译阶段

2.2. 原理分析

兄弟们也能够本身看源码（我看了下源码。感受有点不合适在博客里面写(C++,汇编啥太多了)），这里咱们直接断点看汇编。看看他作了什么操做

• 我先把DobbyHook函数注释掉，看看原始的汇编

汇编不太熟悉的兄得们，能够看看我以前的博客（注释超级详细了，哈哈）

• 观察下DobbyHook函数调用以后的~

因此说:InlineHook实在运行时的hook。而后经过寻找符号地址，改变执行的汇编代码，起到hook的目的

• 兄弟们都会想到，这样直接改不就影响函数栈平衡了吗？

解释：

若是没有调用原始函数： 接下br x17下面的代码是不会执行了

若是调用了原始函数：首先会记住函数地址。在新函数中实现栈平衡而后在调回原始函数

3. HOOK纯地址

兄得们都清楚，InlineHook主要是用于咱们逆向开发中。因此咱们获取不到要hook的函数sum ，这个时候兄弟们有什么办法吗？（说实话，我刚开始有点上头的~，我很是自信的想用下某信举例，结果我好像搞不定它。😆）

• 首先咱们模拟环境 -- 脱符号

• 而后咱们查看要hook应用的MachO文件

• 咱们随机找个函数，而后模拟这个函数(我是不知道这个函数是什么的，因此我要经过汇编判断)

• 咱们知道参数为4个字节，初步判断为int型

int xxx(int a, int b){
    return a + b;
}
复制代码

咱们判断函数为此（因为用的w0,w1因此判断不是OC方法），并且能够用过MachO获取偏移值为5DD0

• 咱们新建demo。hook这个地址(我用的之前博客上的 iOS动态库注入)

#import "InjectTest.h"
#import <mach-o/dyld.h>
#import "DobbyX.framework/Headers/dobby.h"

@implementation InjectTest

//int xxx(int a, int b){
//return a + b;
//}

//原始地址的指针
int (*xxx_p)(int a, int b);

//新函数替代
void xxxReplace(int a, int b){
    NSLog(@"HOOK 到了~");
    xxx_p(a,b);
}

+ (void)load{
    //设置偏移地址
    uintptr_t offset = 0x100005DD0;
    //获取ASLR随机值
    uintptr_t alsr = _dyld_get_image_vmaddr_slide(0);
    //肯定函数hook的地址
    offset += alsr;
    
    //HOOK 函数
    DobbyHook((void *)offset, xxxReplace, (void *)&xxx_p);
    
}

@end
复制代码

有一点须要记住。ASLR是不带PAGEZORE的

• 当触发函数时，就会被hook住~

4. 总结

又到了总结的时候了

• 1. 兄弟们，我们离逆向开发又近了一步
• 2. 辛亏有兄弟们的支持，我才能坚持学习写博客，必须感谢一波~
• 3. 小谷但愿和兄弟们在学习的道路上越走越远。只但愿在学习的海洋不被落下~
• 4. 我以为HOOK这个东西只有实操才能感觉它的优美~ 😆
• 5. 兄弟们。之后产出博客请多多指点~