fishhook-动态修改MachO文件

学习hook，不是要攻击别人，破坏别人的应用场景，而是为了更好的防护，让自己的应用更坚固更安全。

一、动态库注入回顾

在《动态库注入》中使用了yololib对自定义动态库在WX应用中插入，既然能插入自定义库，我们就利用hook技术做了小小的改动，替换了登录按钮的方法，并拦截了微信步数上传的方法，修改了步数。hook是改变程序执行流程的技术，能够修改其他应用，也能对自己应用做防护。

通常替换方法有如下：

使用method_exchange交换sel的imp指针；
通过getImp获取原有函数指针，通过setImp设置原sel指向的指针为自定义函数指针；
通过getImp获取原有函数指针，通过replace替换原sel指向的指针为自定义函数指针，通setImp一样。

自己项目中使用：

通常在自己项目中使用，建立分类，在分类load中来替换方法，以达到监听方法调用的目的。

hook视图的出现消失：跟踪页面位置； hook析构函数dealloc（deinit）：跟踪对象释放状况； hook消息转发方法（forword）：避免调用未实现方法而产生崩溃； hook数组objectAtIndexedSubscript方法：避免数组越界崩溃； ……

只要是OC的方法都可以根据业务需求进行监听修改或替换。

在其他应用中使用：

通过动态库注入的方式，来插入自己的load，让自己的代码能和其他项目一起执行，同样使用我们常规的替换方法即可。通过查看视图页面属性确定要hook的目标对象。

hook微信步数获取方法：实现微信步数修改； hook微信抢红包相关方法：实现自动抢红包功能； hook微信消息撤回方法：实现拒绝消息撤回功能；（ps：学习中，实战不多，有方法就有更多的可能）

在其他应用中是通过动态库来进行hook的，因此在目标对象所在类的方法列表中并没有要替换的方法，回归原有方法调用会出现崩溃，这里可以使用获取原有方法的函数地址，直接调用函数即可实现原有方法的调用。

以上是针对OC的动态特性来hook的，我们能够hook动态语言下的函数，那么能不能直接hook系统的静态函数呢，下面来看一下fishhook是如何hook的。

二、fishhook概述

fishhook 是FaceBook的开源库，能够动态的修改MachO的符号表，来hook系统的C函数。 C函数是在编译时来确定函数地址在内存中的偏移量，编译后该偏移量是确定的，为什么说是偏移量是确定的呢？

在很多系统中都采用了 ASLR 技术，对堆、栈、共享库等线性区布局进行随机化，来避免攻击者直接获取攻击代码位置。MachO的首地址是随机变化的，找到首地址就能找到对应的函数地址，即 Offset + MachO。

静态语言：编译时确定函数地址

动态语言：运行时确定函数地址

三、fishhook简单使用

使用步骤：

1、直接将.c、.h加入到工程； 2、创建结构体指明被替换的函数、替换的函数、接收原函数地址的指针； 3、绑定符号表。

使用库函数交换系统NSLog函数：

#pragma mark - 交换NSLog
-(void)exchangeLog {
     NSLog(@"我来了");
    //hook NSLog函数
    struct rebinding imp;
    imp.name = "NSLog";
    imp.replacement = my_NSLog;
    imp.replaced = &sys_nslog;
    
    //存放rebinding结构体数组，一次可以交换多个函数
    struct rebinding rebs[1] = {imp};
    rebind_symbols(rebs, 1);
    NSLog(@"点击了屏幕");
}
//实现一个函数来替换原有函数-函数名称即是函数的指针
void my_NSLog(NSString *format, ...) {
    printf("拦截打印\n");
    sys_nslog(format);
}
//定义指针来接收原始函数的指针
static void (*sys_nslog)(NSString *format,...);

打印如下：

拦截打印
点击了屏幕

运行输出，方法被拦截，说明NSLog函数已被替换。

上面有提到，所有的函数地址在编译后都是确定，在OC中能够交换方法是因为有sel和imp的连接过程，函数与用户之间有一个中间者，那么fishhook应该也是如此，修改了中间者的imp指向，否则直接调用函数，就没有交换的可能，在MachO中这个中间者叫符号。

动态替换：user -> sel -> imp

静态替换：user -> symbol -> imp

hook自定义函数

-(void)exchangeFun{
    struct rebinding imp;
    imp.name = "old_func";
    imp.replacement = new_func;
    imp.replaced = &sys_func;
    struct rebinding rebs[1] = {imp};
    rebind_symbols(rebs, 1);
    old_func();
}
void (*sys_func);
void old_func(){
    printf("old_func\n");
}
void new_func(){
    printf("new_func\n");
}

打印如下：

old_func

打印还是原来的方法，这里并没有替换。这里可以猜想自定义函数调用没有产生中间者，这里是直接调用的，所以无法交换。

四、fishhook的实现原理

fishhook主要利用了共享缓存功能和PIC技术来实现hook功能。

动态共享缓存

iOS系统为节省内存资源，将系统的动态库资源统一放在了系统的共享区域，该区域其他应用都可以访问。

PIC技术

PIC技术叫位置代码独立，在MachO文件中会预留出一段空间，这一段空间叫做符号表，在MachO文件的数据段中。dyld在加载MachO文件到内存中后，会将共享区的系统函数地址绑定到对应的符号上，并插入到符号表中。这样在项目中调用相关系统函数时，实际上调用的是对应的符号，通过符号来找到具体的系统函数地址。

到这里思路应该清晰很多，fishhook实现如下：

根据符号（字符）获取系统函数地址；

替换符号指向的地址为用户声明的函数地址（符号绑定）；

对外部声明的指针进行系统函数地址赋值。

上面所提到的自定义函数无法hook也就了然了，自定义函数地址确定在代码段中，缺少dyld的符号绑定阶段，并且应用中调用的是最原始的函数地址，因此无法交换。

data段：程序运行期间可读可写代码段：程序运行期间只读

五、fishhook符号绑定分析

这里使用 MachOView 工具，对以上给出的代码生成的MachO文件进行分析。

*获取符号表地址

1、machO符号表中有懒加载表（_la_symbol_ptr）和非懒加载表（_nl_symbol_ptr）的_data段，在表中存放着与外部绑定的函数指针，在懒加载端有offset地址，如下：

这里都是我们熟悉的名称，这些函数的使用是需要进行懒加载绑定的
提供了相对于MachO起始地址的偏移量offset，实际地址即是系统函数所在的内存地址

这里观察NSLog函数，记住offset=0x4030这个偏移量。

2、在打印函数调用前下断点，执行image list获取模块列表，如下：

这里的image就是一个个模块，一个个MachO文件

找到第一个模块地址：0x00000001081f4000，该地址为应用程序的起始地址，在程序运行期间是固定，重新启动该地址则会随机变化，即上面所提到的 ASLR 技术。

3、起始地址与偏移量相加：0x00000001081f4000 + 4030 = 0x1081F8030（这里使用mac计算器的编程器），便是符号表的地址，记住这个值。

读内存

1、读取符号表地址

memory read 0x1081F8030

取第一行，从右向左取8位数据：0x01081f6984，改地址即是系统函数NSLog地址，使用命令：

dis -s 0x01081f6984

打印汇编，查看绑定情况。打印如下：

由于是查看懒加载表的偏移量，此时函数还没有调用，并没有绑定。

2、断点到rebind_symbols(rebs, 1)处，运行再打印符号表地址：

memory read 0x1081F8030

打印如下：

0x1081f8030: be e1 58 08 01 00 00 00 5d a5 57 08 01 00 00 00  ..X.....].W.....
0x1081f8040: 16 6b 29 0c 01 00 00 00 ca 69 1f 08 01 00 00 00  .k)......i......

同上从右向左取8位，再来查看汇编内容：