1.Fishhook hook原理
??在一節(jié)筆記中我們已經(jīng)掌握了fishhook的基本使用,也詳細探討了dyld在加載應(yīng)用程序的過程中綁定外部符號的流程,那么現(xiàn)在我們再來研究一下fishhook是如何通過符號的字符串來找到其在懶加載符號表中的指針的。
1.1 查找String table
??首先通過傳入的符號字符串去string table查找這個字符串所在的位置,例如:如果要查找NSLog函數(shù)的符號,那么就回去字符串表(函數(shù)名的符號就是在函數(shù)名前加上一個下劃線,并且每個符號之間都用.隔開)中查找_NSLog這個符號,找到之后計算其在字符串表中的偏移值為0xE8(0x11458 - 0x11370),如下圖所示:
1.2 查找Symbol Table
??通過查找String table得到的偏移值0xE8查找這個符號在符號表中的索引值,如下圖所示:
1.3 查找indrect symbols
??在Symbol table中獲取到這個符號在Symbol table中的索引值后,就去indrect symbols中查找這個符號在indrect symbols中的編號,如下圖所示:
1.4 查找Lazy Symbol Pointers
??外部符號在懶加載符號表中的位置與其在間接符號表中的位置是一一對應(yīng)的,上一步查找到符號在間接符號表中的位置后,就可以在懶加載符號表中獲取到指向這個符號的指針了,如下圖所示:
2.應(yīng)用程序脫符號以及恢復(fù)符號
2.1 脫符號
??給應(yīng)用程序脫符號的主要目的是為了減少MachO文件的體積,如果你想要為APP瘦身,可以在你的項目工程中設(shè)置如下的選項:
??將Deployment Postprocessing設(shè)置為YES,脫去符號之后我們再來看看MachO文件中的符號,如下圖所示:
??首先,工程編譯完成之后多了一個bc文件,這個文件是用來在線上崩潰的時候恢復(fù)符號用的。
??間接符號表中的符號是沒有任何變化的。
??而應(yīng)用程序中的本地符號以及全局符號都被脫去了,我們再在viewDidLoad函數(shù)中打上斷點編譯運行一下,結(jié)果發(fā)下根本就沒有來到斷點,如下圖所示:
雖然我們添加的普通斷點是不能執(zhí)行的,那么我們就設(shè)置一個NSLog函數(shù)的符號斷點試一下,如下圖所示:
調(diào)試運行,來到斷點之后,我們使用bt指令查看一下函數(shù)調(diào)用棧,如下圖所示:
2.2 動態(tài)調(diào)試查看脫去符號之后的MachO運行時某個類所調(diào)用方法名
經(jīng)過上面脫符號的操作,我們發(fā)現(xiàn)原本的本地符號都被替換成了___lldb_unnamed_symbolX的字符串,在APP上架的時候,是都會脫去所有的符號的,這樣我們在調(diào)試的時候就無從得知到底是哪個類調(diào)用了哪個方法呢?但是我們還是可以動態(tài)調(diào)試獲取到這個方法的信息的,具體操作如下所示:
我們現(xiàn)在viewController中編寫如下代碼
- (void)viewDidLoad {
[super viewDidLoad];
[self my_test];
}
- (void)my_test {
NSLog(@"調(diào)用了my_test方法");
}
運行到斷點的時候,我們看一下函數(shù)調(diào)用匯編代碼,如下圖所示:
假設(shè)我們現(xiàn)在想要知道紅框位置所調(diào)用的objc_msgSend是那個類的哪個方法,該怎么動態(tài)調(diào)試出來呢?
我們可以嘗試計算出這個bl跳轉(zhuǎn)的地址在MachO中的偏移量并在下次運行的時候獲取到主應(yīng)用程序的ASLR下一個符號斷點,跳到這個objc_msgSend中的匯編代碼中,打印一下x0以及x1寄存器的值,流程如下:
首先獲取bl 0x104d8e4d8這行匯編代碼在MachO中的偏移量,為(0x104d8ddb0 - 0x0000000104d88000)0x5db0,然后設(shè)置一個objc_msgSendSuper2函數(shù)符號斷點,獲取到剛剛那個方法還沒執(zhí)行之前的主程序的首地址,如下圖所示:
然后計算出剛剛那行匯編代碼在本次運行中的地址為(0x102e08000 + 0x5db0)0x102e0ddb0,然后設(shè)置一個地址斷點,如下圖所示:
緊接著跳到這個斷點查看一下寄存器x0以及x1的值,如下圖所示:
然后就可以查看到調(diào)用的地址了。
以上的操作步驟很復(fù)雜,因此就有人提出了為什么不直接打objc_msgSend這個符號斷點,而是要通過獲取對應(yīng)bl指令地址去下斷點查看方法信息呢?這是因為objc_msgSend這個函數(shù)其實在項目中調(diào)用次數(shù)非常的多,如果下這個斷點,我們根本無從得知當前objc_msgSend中x0與x1寄存器上的值是不是我們想要查找的類和方法。
2.2 使用restore-symbol工具恢復(fù)machO文件中的符號(不能恢復(fù)靜態(tài)函數(shù)符號)
我們知道OC語言中有很多庫函數(shù)(例如:NSStringFromClass、NSClassFromString、NSSelectorFromString、NSStringFromSelector等),這些函數(shù)都是對類的方法或者類名字符串進行的一些操作,試想一下,脫符號有可能把這些類名符號以及類方法符號都完全脫去嗎?如果脫去了,以上的這些函數(shù)調(diào)用就會出現(xiàn)問題了,所以這些符號一定還在其他MachO段中存在著,而脫符號僅僅是對Symbol Table、String Table中的本地以及全局符號進行了脫離,而這些必要的類名符號以及類方法符號其實還有所保留,如下圖所示:
因此我們就可以根據(jù)這三個表中的信息對(除了函數(shù)之外的符號進行恢復(fù))
使用restore-symbol工具對MachO文件的符號進行恢復(fù)
restore-symbol工具鏈接 密碼:9xk6
打開終端,輸入如下命令:
查看恢復(fù)之后的MachO文件的符號,如下圖所示:
如果恢復(fù)完之后想要再次運行到真機上,就需要重新簽名,重新安裝。
3.使用fishhook做防護
可以使用fishhook做防護的原因:是因為在hook別的應(yīng)用程序的時候我們使用最多的方式就是Method Swizzle,而Method Swizzle的方式使用的就是系統(tǒng)的函數(shù),因此我們就可以使用fishhook去hook這些系統(tǒng)的函數(shù)以達到防護自己的APP目的。
3.1 防護代碼示例
3.1.1 創(chuàng)建一個項目,在項目中創(chuàng)建一個framework,拖入fishhook兩個代碼文件,創(chuàng)建文件并暴露其頭文件
3.1.2 在AntiHookCode.m文件中編寫如下代碼
#import "AntiHookCode.h"
#import "fishhook.h"
//在framework中做防護的原因,因為framework中l(wèi)oad方法的調(diào)用要早于主程序以及后插入的其他動態(tài)庫的load方法,在這里面做防護才能有效的防止別人在hook你的APP的時候,使用的objc方法是已經(jīng)被你所改變了的。
@implementation AntiHookCode
+ (void)load {
//exchange
struct rebinding exchange;
exchange.name = "method_exchangeImplementations";
exchange.replacement = my_method_exchangeImps;
exchange.replaced = (void *)&exchangeP;
NSLog(@"來到了Load方法!!");
struct rebinding rebindings[] = {exchange};
rebind_symbols(rebindings, 1);
}
void (*exchangeP)(Method _Nonnull m1, Method _Nonnull m2);
void my_method_exchangeImps(Method _Nonnull m1, Method _Nonnull m2) {
NSLog(@"檢測到了Hook!");
}
@end
在AntiHookCode.h文件中編寫如下代碼
#import <Foundation/Foundation.h>
#import <objc/runtime.h>
NS_ASSUME_NONNULL_BEGIN
//暴露給本工程使用的method_exchangeImps指針
CF_EXPORT void (*exchangeP)(Method _Nonnull m1, Method _Nonnull m2);
@interface AntiHookCode : NSObject
@end
NS_ASSUME_NONNULL_END
3.1.3 在Main.storyboard中拖入兩個按鈕,如下圖所示:
在ViewController.m中編寫如下代碼:
#import "ViewController.h"
#import <AntiHookLib/AntiHookLib.h>
@interface ViewController ()
@end
@implementation ViewController
- (void)viewDidLoad {
[super viewDidLoad];
Method originMethod = class_getInstanceMethod([self class], @selector(button2Click));
Method myHookMethod = class_getInstanceMethod([self class], @selector(myHookBtn2Click));
Method myHookMethod2 = class_getInstanceMethod([self class], @selector(myHookBtn2Click2));
method_exchangeImplementations(originMethod, myHookMethod);
if (exchangeP != NULL) {
exchangeP(originMethod, myHookMethod2);
}
}
- (void)myHookBtn2Click2 {
NSLog(@"自己的hook成功了2");
}
- (void)myHookBtn2Click {
NSLog(@"自己的hook成功了");
}
- (IBAction)button1Click {
NSLog(@"點擊了按鈕1");
}
- (IBAction)button2Click {
NSLog(@"點擊了按鈕2");
}
@end
運行程序,就會發(fā)現(xiàn)系統(tǒng)函數(shù)method_exchangeImplementations以及被hook了,但是可以使用exchangeP指針進行與method_exchangeImplementations一樣的操作。
運行結(jié)果如下:
3.2 防護應(yīng)用程序AntiHookDemo hook測試
3.2.1 新建一個HookDemo
首先新建一個HooDemo工程,主要創(chuàng)建完畢后一定先要在真機中運行一次。然后在應(yīng)用程序根目錄創(chuàng)建APP文件夾,拖入寫好的應(yīng)用重簽名腳本文件以及yololib工具,壓縮應(yīng)用程序
inject.m文件中編寫的注入代碼
#import "inject.h"
#import <objc/runtime.h>
@implementation inject
+ (void)load {
Method originMethod = class_getInstanceMethod(NSClassFromString(@"ViewController"), @selector(button1Click));
Method hookMethod = class_getInstanceMethod([self class], @selector(myButton1Click));
method_exchangeImplementations(originMethod, hookMethod);
}
- (void)myButton1Click {
NSLog(@"hook成功!");
}
@end
修改appSign.sh中的第三方庫名
。
最后運行程序,分別點擊兩個按鈕,就可以看到如下的打印結(jié)果:
注意:遇到下面這個崩潰別慌,重新運行就好了
