fishhook-动态修改MachO文件

时间 2019-11-06

标签 fishhook 动态修改 macho 文件繁體版

原文原文链接

学习hook，不是要攻击别人，破坏别人的应用场景，而是为了更好的防御，让本身的应用更坚固更安全。git

1、动态库注入回顾

在《动态库注入》中使用了yololib对自定义动态库在WX应用中插入，既然能插入自定义库，咱们就利用hook技术作了小小的改动，替换了登陆按钮的方法，并拦截了微信步数上传的方法，修改了步数。hook是改变程序执行流程的技术，可以修改其余应用，也能对本身应用作防御。github

一般替换方法有以下：编程

使用method_exchange交换sel的imp指针；
经过getImp获取原有函数指针，经过setImp设置原sel指向的指针为自定义函数指针；
经过getImp获取原有函数指针，经过replace替换原sel指向的指针为自定义函数指针，通setImp同样。

本身项目中使用：数组

一般在本身项目中使用，创建分类，在分类load中来替换方法，以达到监听方法调用的目的。缓存

hook视图的出现消失：跟踪页面位置； hook析构函数dealloc（deinit）：跟踪对象释放情况； hook消息转发方法（forword）：避免调用未实现方法而产生奔溃； hook数组objectAtIndexedSubscript方法：避免数组越界奔溃； ……安全

只要是OC的方法均可以根据业务需求进行监听修改或替换。bash

在其余应用中使用：微信

经过动态库注入的方式，来插入本身的load，让本身的代码能和其余项目一块儿执行，一样使用咱们常规的替换方法便可。经过查看视图页面属性肯定要hook的目标对象。函数

hook微信步数获取方法：实现微信步数修改； hook微信抢红包相关方法：实现自动抢红包功能； hook微信消息撤回方法：实现拒绝消息撤回功能；（ps：学习中，实战很少，有方法就有更多的可能）工具

在其余应用中是经过动态库来进行hook的，所以在目标对象所在类的方法列表中并无要替换的方法，回归原有方法调用会出现崩溃，这里可使用获取原有方法的函数地址，直接调用函数便可实现原有方法的调用。

以上是针对OC的动态特性来hook的，咱们可以hook动态语言下的函数，那么能不能直接hook系统的静态函数呢，下面来看一下fishhook是如何hook的。

2、fishhook概述

fishhook 是FaceBook的开源库，可以动态的修改MachO的符号表，来hook系统的C函数。 C函数是在编译时来肯定函数地址在内存中的偏移量，编译后该偏移量是肯定的，为何说是偏移量是肯定的呢？

在不少系统中都采用了 ASLR 技术，对堆、栈、共享库等线性区布局进行随机化，来避免攻击者直接获取攻击代码位置。Mach0的首地址是随机变化的，找到首地址就能找到对应的函数地址，即 Offset + Mach0。

静态语言：编译时肯定函数地址

动态语言：运行时肯定函数地址

3、fishhook简单使用

使用步骤：

一、直接将.c、.h加入到工程；二、建立结构体指明被替换的函数、替换的函数、接收原函数地址的指针；三、绑定符号表。

使用库函数交换系统NSLog函数：

#pragma mark - 交换NSLog
-(void)exchangeLog {
     NSLog(@"我来了");
    //hook NSLog函数
    struct rebinding imp;
    imp.name = "NSLog";
    imp.replacement = my_NSLog;
    imp.replaced = &sys_nslog;
    
    //存放rebinding结构体数组，一次能够交换多个函数
    struct rebinding rebs[1] = {imp};
    rebind_symbols(rebs, 1);
    NSLog(@"点击了屏幕");
}
//实现一个函数来替换原有函数-函数名称便是函数的指针
void my_NSLog(NSString *format, ...) {
    printf("拦截打印\n");
    sys_nslog(format);
}
//定义指针来接收原始函数的指针
static void (*sys_nslog)(NSString *format,...);
复制代码

打印以下：

拦截打印
点击了屏幕
复制代码

运行输出，方法被拦截，说明NSLog函数已被替换。

上面有提到，全部的函数地址在编译后都是肯定，在OC中可以交换方法是由于有sel和imp的链接过程，函数与用户之间有一个中间者，那么fishhook应该也是如此，修改了中间者的imp指向，不然直接调用函数，就没有交换的可能，在MachO中这个中间者叫符号。

动态替换：user -> sel -> imp

静态替换：user -> symbol -> imp

hook自定义函数

-(void)exchangeFun{
    struct rebinding imp;
    imp.name = "old_func";
    imp.replacement = new_func;
    imp.replaced = &sys_func;
    struct rebinding rebs[1] = {imp};
    rebind_symbols(rebs, 1);
    old_func();
}
void (*sys_func);
void old_func(){
    printf("old_func\n");
}
void new_func(){
    printf("new_func\n");
}
复制代码

打印以下：

old_func
复制代码

打印仍是原来的方法，这里并无替换。这里能够猜测自定义函数调用没有产生中间者，这里是直接调用的，因此没法交换。

4、fishhook的实现原理

fishhook主要利用了共享缓存功能和PIC技术来实现hook功能。

动态共享缓存

iOS系统为节省内存资源，将系统的动态库资源统一放在了系统的共享区域，该区域其余应用均可以访问。

PIC技术

PIC技术叫位置代码独立，在MachO文件中会预留出一段空间，这一段空间叫作符号表，在MachO文件的数据段中。dyld在加载MachO文件到内存中后，会将共享区的系统函数地址绑定到对应的符号上，并插入到符号表中。这样在项目中调用相关系统函数时，实际上调用的是对应的符号，经过符号来找到具体的系统函数地址。

到这里思路应该清晰不少，fishhook实现以下：

根据符号（字符）获取系统函数地址；

替换符号指向的地址为用户声明的函数地址（符号绑定）；

对外部声明的指针进行系统函数地址赋值。

上面所提到的自定义函数没法hook也就了然了，自定义函数地址肯定在代码段中，缺乏dyld的符号绑定阶段，而且应用中调用的是最原始的函数地址，所以没法交换。

data段：程序运行期间可读可写代码段：程序运行期间只读

5、fishhook符号绑定分析

这里使用 MachOView 工具，对以上给出的代码生成的MachO文件进行分析。

*获取符号表地址

一、machO符号表中有懒加载表（_la_symbol_ptr）和非懒加载表（_nl_symbol_ptr）的_data段，在表中存放着与外部绑定的函数指针，在懒加载端有offset地址，以下：

这里都是咱们熟悉的名称，这些函数的使用是须要进行懒加载绑定的
提供了相对于MachO起始地址的偏移量offset，实际地址便是系统函数所在的内存地址

这里观察NSLog函数，记住offset=0x4030这个偏移量。

二、在打印函数调用前下断点，执行image list获取模块列表，以下：

这里的image就是一个个模块，一个个MachO文件

找到第一个模块地址：0x00000001081f4000，该地址为应用程序的起始地址，在程序运行期间是固定，从新启动该地址则会随机变化，即上面所提到的 ASLR 技术。

三、起始地址与偏移量相加：0x00000001081f4000 + 4030 = 0x1081F8030（这里使用mac计算器的编程器），即是符号表的地址，记住这个值。

读内存

一、读取符号表地址

memory read 0x1081F8030
复制代码

取第一行，从右向左取8位数据：0x01081f6984，改地址便是系统函数NSLog地址，使用命令：

dis -s 0x01081f6984
复制代码

打印汇编，查看绑定状况。打印以下：

因为是查看懒加载表的偏移量，此时函数尚未调用，并无绑定。

二、断点到rebind_symbols(rebs, 1)处，运行再打印符号表地址：

memory read 0x1081F8030
复制代码

打印以下：

0x1081f8030: be e1 58 08 01 00 00 00 5d a5 57 08 01 00 00 00  ..X.....].W.....
0x1081f8040: 16 6b 29 0c 01 00 00 00 ca 69 1f 08 01 00 00 00  .k)......i......
复制代码

同上从右向左取8位，再来查看汇编内容：