fishhook

最新推荐文章于 2022-10-29 22:20:40 发布
最新推荐文章于 2022-10-29 22:20:40 发布
阅读量852 收藏
点赞数
分类专栏: iOS 文章标签: fishhook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jordanxinwang/article/details/50706236
版权

fishhook是facebook提供的hook程序所使用的动态链接库的函数API的方法。原理就是通过重写__nl_symbol_ptr和__la_symbol_ptr存储的函数指针。具体情况可以直接查看fishhook的github主页的readme介绍以及fishhook的代码(readme写得算清楚,代码很少): https://github.com/facebook/fishhook

这里记录一下自己的一些理解:
1. 这种hook的方法(可以上app store吗?),对应windows平台下就是重写程序的导入表项,而且只能hook动态链接库的函数。__nl_symbol_ptr和__la_symbol_ptr这两个__DATA segement的secion存储着动态链接库的函数地址。前者是non-lazy,即非延时加载,在操作系统在程序启动时就会加载相应的动态链接库,并将相应的函数地址填入__nl_symbol_ptr;后者是lazy,即延时加载,是在程序使用到某个动态链接库的函数时才加载该动态链接库以及将相应的函数地址填入__la_symbol_ptr。(另外一种hook的方法,是改写要hook的函数的第一个指令(如果第一个指令大小不够容下一个跳转指令,就加上第二个指令,以此类推),将这个指令改写成一个跳转指令,而这个跳转指令跳转自己写的一个函数。但是,这种方法在iOS上不能实现,因为codesign机制:数字签名以及可执行权限页没有写权限。)
2. 涉及到的mach-o的相关结构:__DATA segment的__nl_symbol_ptr和__la_symbol_ptr section,可简单来说就是两个函数指针数组;__LINKEDIT segment的symbol table、dy(dy表示dynamic吗?)symbole table、string table。通过遍历__nl_symbol_ptr和__la_symbol_ptr中的每一项,比较每一项对应的函数名与想hook的函数名是否一样,如果一样,就重写相应位置。关键的地方就是可以通过__nl_symbol_ptr和__la_symbol_ptr的位置找出这个位置对应的函数名。流程为__nl_symbol_ptr/__la_symbol_ptr -> dysmbol table -> symbol table -> string table。
3. fishhook的关键逻辑就是rebind_symbols_for_image函数和perform_rebinding_with_section函数。

static void perform_rebinding_with_section(struct rebindings_entry *rebindings,
                                           section_t *section,
                                           intptr_t slide,
                                           nlist_t *symtab,
                                           char *strtab,
                                           uint32_t *indirect_symtab) {
  // section表示__nl_symbol_ptr或__la_symbol_ptr对应的section结构
  // slide表示动态链接库最终加载时的虚拟地址与动态链接库在静态链接时生成的虚拟地址的偏移
  // symtab表示符号表的起始位置,符号表,就是一个nlist_t结构的数组
  // strtab表示字符串表的起始位置,字符串表,就是一个字符数组,保存着程序所需要的所有字符串,一个接着一个
  // indirect_symtab表示非直接符号表的起始位置,indirect_symtab是通过dysymbol talbe得到的。像使用了动态链接库里的符号都属于非直接符号吧。indirect_symtab,就是一个整型数组,保存着对应符号在符号表数组的偏移(下标)

  // 这里是关键!!
  // indirect_symtab的起始位置加上section的reserved1这个偏移,就定位到section所对应的非直接符号表的位置。注意,这里的section是__nl_symbol_ptr或__la_symbol_ptr。其实fishhook的gitbub的readme里已经讲得清楚了,但是readme里是写成indirect_symbol_table[nl_symbol_ptr->reserved1]的,当时看的时候没有反应过来
  uint32_t *indirect_symbol_indices = indirect_symtab + section->reserved1;
  // section的addr加上slide就是__nl_symbol_ptr或__la_symbol_ptr在程序加载后的虚拟地址空间的起始地址
  void **indirect_symbol_bindings = (void **)((uintptr_t)slide + section->addr);
  ...
}
static void rebind_symbols_for_image(struct rebindings_entry *rebindings,
                                     const struct mach_header *header,
                                     intptr_t slide) {
...
  // 这里是为了得到linkedit segment对应的虚拟地址空间的起始地址。因为,symbol talbe, dytabol table,string table这些内容都是属于linkedit segment的。另外,这里为什么需要再减去linkedit_segment->fileoff呢?是因为symbol talbe, dytabol table,string table所对应的load command的offset成员(symoff/indirectsymoff/stroff)不是相对于linkedit segment的起始地址的偏移,而是相对于文件的起始位置的偏移,因此,这里减去linkedit_segment->fileoff就刚刚好了,由这里得到的linkedit_base加上symoff/indirectsymoff/stroff就得出了相应结构在程序加载后的虚拟地址了
  uintptr_t linkedit_base = (uintptr_t)slide + linkedit_segment->vmaddr - linkedit_segment->fileoff;
...
}
jordanxinwang
关注
专栏目录
iOS App 的编译过程
KLTec.
11-22 1万+
在 iOS 开发的过程中,Xcode 为我们提供了非常完善的编译能力,你是否好奇在你按下 Command + R 的时候背后究竟发生了什么?
使用 fishhook 进行简单的 hook 防护(Demo)
09-29
本示例将介绍如何使用`fishhook`这个库来实现简单的Hook防护。`fishhook`是由Facebook开源的一个用于iOS的动态代码替换库,它允许开发者在运行时替换已经加载的函数实现,从而实现对系统API或自定义函数的拦截和控制...
fishhook(一):前导知识
Airths 的博客
10-24 557
目录相关的数据结构与函数iOS 系统的懒绑定机制如何获取到 Lazy Symbol Pointers 对应的函数名懒绑定函数 dyld_stub_binder 的执行流程 相关的数据结构与函数 MachO 文件中的链接信息段(LinkEdit Segment) LC_SEGMENT_64(__LINKEDIT) 命令用于描述链接信息段,其在 MachOView 中对应的图形界面,如下所示: LC_SEGMENT_64(__LINKEDIT) 命令对应的数据结构,如下所示: #import <ma
FishHook学习笔记
Wlain的博客
01-15 415
什么是Hook? Hook(钩子),是改变程序运行流程的一种技术。 IOS中Hook的几种方式 method Swizzle(oc函数) fishhook(C函数) Cydia Substrate(OC,C,函数地址) ##FishHook学习笔记 ##使用到的技术 利用dyld相关接口,我们可以注册image装载的监听方法: extern void _dyld_register_func_...
iOS13 适配
runtime666的博客
12-11 428
KVC 限制 iOS13 以后已经不能肆无忌惮的通过 KVC 来修改一些没有暴露出来的属性了。 *** Terminating app due to uncaught exception 'NSGenericException', reason: 'Access to xxx's _xxx ivar is prohibited. This is an application bug' 已...
fishhook原理
最新发布
零丁若叹
10-29 888
fishhook的使用和原理解析
fishhook(C 语言,注释版)
09-01
fishhook 是一个非常简单的库,它可以对运行在 iOS 模拟器和设备上的 MachO 二进制文件的部分符号进行动态重绑定。fishhook 提供了类似于在 macOS 上使用 DYLD_INTERPOSE 的功能。fishhook 可以用来 hook 系统的 C ...
FishhookDemo-master.zip
04-09
《iOS Hook技术详解:以FishhookDemo-master为例》 在iOS开发中,Hook技术是一种强大的调试和测试工具,它允许开发者拦截和修改系统或应用程序中的函数调用行为,以实现特定的功能需求。本文将深入探讨iOS Hook技术...
fishhook_read:原始解析-源码解析
03-24
fishhook_read:原始解析-源码解析》 在深入探讨fishhook_read之前,我们先来了解一下这个项目的核心概念——fishhookFishhook是iOS平台上的一款动态库替换工具,它允许开发者在运行时重新绑定Objective-C方法...
Python库 | fishhook-0.0.9-py3-none-any.whl
03-19
Python库fishhook是一个用于动态函数钩取的工具,它的版本为0.0.9,适用于Python 3环境,不依赖特定平台(none)且适用于任何架构(any)。这个whl文件是一个预编译的Python包,用户下载后可以直接安装到环境中使用...
Mach-O文件和Facebook的fishhook
yhawaii的专栏
01-17 738
1. 概述 我们知道Windows下的文件都是PE文件,同样在OS X和iOS中可执行文件是Mach-o格式的。 Mach-O通常有三部分组成: 头部 (Header): Mach-O文件的架构 比如Mac的 PPC, PPC64, IA-32, x86-64,ios的arm系列. 加载命令(Load commands): . 原始段数据(Raw segment data):可以拥有多个段(se...
在非越狱手机上进行App Hook
jijiji000111的专栏
02-25 5613
推荐序 蒸米是谁?他是阿里的资深安全工程师,是最先对 XcodeGhost 进行样本安全分析的人(见:Xcode编译器里有鬼 – XcodeGhost 样本分析 )。实际上,XcodeGhost 这个名字,也是最先出自于蒸米的文章中。 在 XcodeGhost 作者跳出来说已经关闭了远程控制服务器后,他也是最先一个用实验证实可以伪造服务器进行「截胡」攻击的人(见:XcodeGhos
Mach-O在内存中符号表地址、字符串表地址的计算
ting2909的博客
09-27 811
KSCrash 是一个用于 iOS 平台的崩溃捕捉框架,最近读了其部分源码,在 KSDynamicLinker 文件中有一个函数,代码如下: /** Get the segment base address of the specified image. * This is required for any symtab command offsets. @param idx The i...
Code Signature的一些理解(升级版)
Just a coder
02-07 1万+
讲述Code Signature data的结构,特别是Code Directory blob和Signature blob。理清数字签名是如何生成和组织,以及操作系统是如何应用这个数字签名以及各个hash。了解后,可以对Code Signature相关内容有个总体的认识。
Windows 8.1下安装Mac OS X 10.8虚拟机
热门推荐
Just a coder
02-08 1万+
1、准备 宿主操作系统:Windows 8.1 64位。特别地,需要CPU支持硬件虚拟化。如果Windows 8.1上安装了hyper-v,就表示肯定是支持的了。 需要的软件: 1)VMware Player 7.0 https://my.vmware.com/web/vmware/free#desktop_end_user_computing/vmware_player/7_0
Apple Open Source
Just a coder
03-26 2407
Apple的开源其实做得很棒!http://www.opensource.apple.com/,这个Apple的官方开源网站真的是一个大宝藏。真的是不怕你知道,就怕你学不完,哈哈。 WebKit就不用说了。在OS X和iOS分类下,有对应的WebKit的版本号,这里也可以快速知道相应操作系统里使用的WebKit版本。Objective-C Runtime。objc运行时是如何工作的?如何
为什么Lottie动画无法使用AVVideoCompositionCoreAnimationTool导出
Just a coder
07-05 981
概述 这篇文章主要想尝试解释一下“为什么Lottie动画无法使用AVVideoCompositionCoreAnimationTool导出“。有些说法是自己的理解,可能不会十分准确。如果有不正确的地方,可以一起讨论。 首先,为什么想要知道“Lottie动画无法使用AVVideoCompositionCoreAnimationTool导出”的原因呢?因为如果知道无法导出的原因,我们就可能可以通过“修改Lottie”,或者“调整AVVideoCompositionCoreAnimationTool或相关类的使用
iOS安全攻防深度解析:Hook技术与实战
在iOS中,有三种常见的Hook方式:runtime、fishhook和CydiaSubstrate。runtime基于Objective-C的运行时机制,通过改变方法选择器(SEL)和实现(IMP)的映射实现方法的替换。fishhook则侧重于系统库的C函数,通过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值