iOS逆向 HOOK原理之fishhook

4,334 阅读7分钟

欢迎阅读iOS逆向系列(按序阅读食用效果更加)

写在前面

之前在iOS逆向 代码注入+Hook篇章讲过Method Swizzling,这是一种基于Runtime可以动态改变方法实现的HOOK方案,但Method Swizzling有自己的局限性,本文就将系统的介绍一下何谓HOOKfishhook

一、HOOK概述

1.HOOK定义

HOOK翻译成中文为“挂钩”、“钩子”,在iOS逆向领域中指的是改变程序运行流程的一种技术,通过HOOK可以让别人的程序执行自己所写的代码

下列示意图就是对HOOK功能的形象诠释:

  • 注入恶意代码让用户误以为打卡成功,实际并没有完成打卡(只修改中间流程)
  • 注入恶意代码让用户误以为网络出问题(开辟新的流程分支)

2.HOOK方式

在iOS中HOOK技术有以下几种:

  • Method Swizzling:利用OC的Runtime特性,动态改变SEL(方法编号)IMP(方法实现)的对应关系,达到OC方法调用流程改变的目的
  • fishhook:这是FaceBook提供的一个动态修改链接machO文件的工具,利用machO文件加载原理,通过修改懒加载和非懒加载两个表的指针达到C函数HOOK的目的
  • Cydia Substrate:原名为Mobile Substrate,它的主要作用是针对OC方法、C函数以及函数地址进行HOOK操作,且安卓也能使用

之前已经介绍过Method Swizzling了,OC的Runtime特性让它有了“黑魔法”之称,同时也是局限性所在

三者的区别如下:

  • Method Swizzling只适用于动态的OC方法(运行时确定函数实现地址)
  • fishhook适用于静态的C方法(编译时确定函数实现地址)
  • Cydia Substrate是一种强大的框架,只需要通过Logos语言(类似于正向开发)就可以进行Hook,适用于OC方法、C函数以及函数地址

二、fishhook

1.fishhook的使用

github上找到fishhook的代码,将fishhook.cfishhook.h拖入项目中

整个fishhook就开放了一个结构体rebinding和两个函数

  • rebind_symbolshook项目中的所有函数名称
  • rebind_symbols_image只hook某一个资源库的函数名称

使用fishhook的步骤:

  1. 导入头文件
#import "fishhook.h"
  1. 指定交换函数——rebinding结构体对象
struct rebinding nslog;
nslog.name = "NSLog";
nslog.replacement = fxNSlog;
nslog.replaced = (void *)&sys_nslog;
  1. 调用rebind_symbols重新绑定符号
struct rebinding rebs[] = {nslog};
rebind_symbols(rebs, 1);

完整代码如下:

#import "fishhook.h"

@interface ViewController ()

@end

@implementation ViewController

- (void)viewDidLoad {
    [super viewDidLoad];
    
    struct rebinding nslog;
    nslog.name = "NSLog";
    nslog.replacement = fxNSlog;
    nslog.replaced = (void *)&sys_nslog;
    
    struct rebinding rebs[] = {nslog};
    rebind_symbols(rebs, 1);
}

static void(*sys_nslog)(NSString *format, ...);

void fxNSlog(NSString *format, ...) {
    format = [format stringByAppendingFormat:@"已hook"];
    sys_nslog(format);
}

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event {
    NSLog(@"点击屏幕");
}

@end
  • 定义rebinding来指定交换的函数
    • name中指定Hook的函数名称(C字符串)
    • replacement中指定新的函数地址
      • c函数的名称就是函数指针——静态语言编译时就已确定
    • replaced中存放原始函数地址的指针
      • 由于NSLog在Foundation库中,在每个手机的内存地址都不一样,不能通过CMD+B就能确定其内存地址
      • 这里fishhook在运行的时刻会动态获取到NSLog的地址,所以这里定义新的函数指针保存函数实现
      • 使用&修改变量内部的值
      • 使用(void *)进行类型转换
  • rebind_symbols中需要两个参数
    • 参数一是rebinding数组
    • 参数二是rebinding数组的长度

2.fishhook的局限性

前面介绍了fishhook是用来hook C函数的,但在此前提下还是有它的局限性——无法交换自定义函数

  • C函数是静态的,在编译时就已经确定了函数地址(函数实现地址在MachO本地文件中)
  • 系统C函数则是存在着动态的部分

那么为什么系统级别的C函数就可以呢?这就要说到PIC技术了

3.PIC技术

PIC技术(Position-independent code),又叫做位置独立代码,是为了系统C函数在编译时期能够确认一个地址的一种技术手段

  • 编译时在MachO文件中预留出一段空间——符号表(DATA段中)
  • dyld把应用加载到内存中时(此时在Load Commands中会依赖Foundation),在符号表中找到了NSLog函数,就会进行链接绑定——将FoundationNSLog的真实地址赋值到DATA段NSLog符号上

而自定义的C函数不会生成符号表,直接就是一个函数地址,所以fishhook的局限性就在于只有符号表内的符号可以hook(重新绑定符号)

4.LLDB调试

因为NSLog是个懒加载的符号,所以加了行代言代码

  1. 通过image list打印所有镜像资源——第一个就是进程的内存首地址
  2. 获取到MachO中NSLog的内存偏移量
    使用计算器,内存首地址+内存偏移量=符号地址
  3. 通过memory read 内存地址读出符号地址
    由于iOS是小端模式,内存地址8位倒着读
  4. 通过dis -s 内存地址查看汇编
    此时的符号并没有绑定,因为还没有使用
  5. 过掉断点(使用NSLog)再进行查看
    此时的NSLog符号已经被绑定
  6. 再跳到下一步(重绑定符号)进行查看
    此时的NSLog符号已经被重绑定了

5.fishhook原理探索

fishhook的开源网站上有这么一张工作原理图

接下来分析下rebind_symbols

  • prepend_rebindingsrebindings数组不断添加到_rebindings_head链表的头部成为新的头节点
  • 判断链表_rebindings_head->next是否为空来判断是否是第一次调用
    • 若首次调用则使用_dyld_register_func_for_add_image进行回调监听
    • 若不是则遍历调用_rebind_symbols_for_image
  • 这个函数有个Int返回值
    • 如果重定向成功则返回 0
    • 如果失败则返回 -1

接下来是_rebind_symbols_for_image对MachO文件的操作:按照规则计算各种表的地址和指针在表中的偏移量

最后一步,perform_rebinding_with_section根据算好的符号表地址和偏移量,找到在符号表中用于指向共享库目标函数的指针,将该指针的值(即目标函数的地址)赋值给rebinding*replaced,最后修改该指针的值为replacement(新的函数地址)

6.fishhook原理的实践——在MachO中查找函数实现

接下来就根据字符串对应在符号表中的指针,找到其在共享库的函数实现的

  1. NSLog在Lazy Symbol Pointers中位列第一个,下标为0
  2. Dynamic System Table->Indirect Symbols中的value与Lazy Symbol Pointers一一对应,此表中的Data(0xA9=169)即为另一个表的下标
  3. 拿着这个下标在Symbol Table->Symbols中找到NSLog,此时的Data对应String Table Index中的偏移值(0x0000009B)
  4. 最后在String Table中计算表头(0x000061EC)+偏移量(0x0000009B),找到NSLog的函数地址

7.fishhook应用场景

既然fishhook可以交换C函数,那么就可以交换method_exchangeImplementations等函数来防止HOOK,项目本身如果需要使用method_exchangeImplementations则可以使用新的函数地址来进行操作

  • 攻:可以插入新的动态库提前进行HOOK方法,此时fishhook的防护就不起作用了
  • 防:也可以提前插入动态库进行fishhook交换(逆向注入的动态库一般排在原项目的动态库之后),此时fishhook代码先于hook代码,所以还是fishhook还是生效的
  • 攻:釜底抽薪——直接找到fishhook的函数地址进行修改,再次运行
  • ...

写在后面

在安全攻防领域中,hook原理起到至关重要的作用,而使用fishhook做防护虽然意义不大,但是了解fishhook原理对后续的学习还是挺有帮助的