iOS安全攻防(十七):Fishhook

最新推荐文章于 2023-04-20 11:57:10 发布
最新推荐文章于 2023-04-20 11:57:10 发布
阅读量795 收藏
点赞数
分类专栏: iOS 安全

原文地址:http://blog.csdn.net/yiyaaixuexi/article/details/19094765


众所周知,Objective-C的首选hook方案为Method Swizzle,于是大家纷纷表示核心内容应该用C写。
接下来进阶说说iOS下C函数的hook方案,先介绍第一种方案————fishhook .


什么是fishhook

fishhook是facebook提供的一个动态修改链接Mach-O符号表的开源工具。



什么是Mach-O

Mach-O为Mach Object文件格式的缩写,也是用于iOS可执行文件,目标代码,动态库,内核转储的文件格式。
Mach-O有自己的dylib规范。



fishhook的原理

详见官方的How it works,这里我作个简要说明。
dyld链接2种符号,lazy和non-lazy,fishhook可以重新链接/替换本地符号。





如图所示,__DATA区有两个section和动态符号链接相关:__nl_symbol_ptr 、__la_symbol_ptr。__nl_symbol_ptr为一个指针数组,直接对应non-lazy绑定数据。__la_symbol_ptr也是一个指针数组,通过dyld_stub_binder辅助链接。<mach-o/loader.h>的section头提供符号表的偏移量。
图示中,1061是间接符号表的偏移量,*(偏移量+间接符号地址)=16343,即符号表偏移量。符号表中每一个结构都是一个nlist结构体,其中包含字符表偏移量。通过字符表偏移量最终确定函数指针。

fishhook就是对间接符号表的偏移量动的手脚,提供一个假的nlist结构体,从而达到hook的目的。


fishhook替换符号函数:

  1. int rebind_symbols(struct rebinding rebindings[], size_t rebindings_nel) {  
  2.   int retval = prepend_rebindings(rebindings, rebindings_nel);  
  3.   if (retval < 0) {  
  4.     return retval;  
  5.   }  
  6.   // If this was the first call, register callback for image additions (which is also invoked for  
  7.   // existing images, otherwise, just run on existing images  
  8.   if (!rebindings_head->next) {  
  9.     _dyld_register_func_for_add_image(rebind_symbols_for_image);  
  10.   } else {  
  11.     uint32_t c = _dyld_image_count();  
  12.     for (uint32_t i = 0; i < c; i++) {  
  13.       rebind_symbols_for_image(_dyld_get_image_header(i), _dyld_get_image_vmaddr_slide(i));  
  14.     }  
  15.   }  
  16.   return retval;  
  17. }  

关键函数是 _dyld_register_func_for_add_image,这个函数是用来注册回调,当dyld链接符号时,调用此回调函数。 rebind_symbols_for_image 做了具体的替换和填充。




fishhook替换Core Foundation函数的例子



以下是官方提供的替换Core Foundation中open和close函数的实例代码
  1. #import <dlfcn.h>  
  2.   
  3. #import <UIKit/UIKit.h>  
  4.   
  5. #import "AppDelegate.h"  
  6. #import "fishhook.h"  
  7.   
  8. static int (*orig_close)(int);  
  9. static int (*orig_open)(const charchar *, int, ...);  
  10.   
  11. void save_original_symbols() {  
  12.   orig_close = dlsym(RTLD_DEFAULT, "close");  
  13.   orig_open = dlsym(RTLD_DEFAULT, "open");  
  14. }  
  15.   
  16. int my_close(int fd) {  
  17.   printf("Calling real close(%d)\n", fd);  
  18.   return orig_close(fd);  
  19. }  
  20.   
  21. int my_open(const charchar *path, int oflag, ...) {  
  22.   va_list ap = {0};  
  23.   mode_t mode = 0;  
  24.   
  25.   if ((oflag & O_CREAT) != 0) {  
  26.     // mode only applies to O_CREAT  
  27.     va_start(ap, oflag);  
  28.     mode = va_arg(ap, int);  
  29.     va_end(ap);  
  30.     printf("Calling real open('%s', %d, %d)\n", path, oflag, mode);  
  31.     return orig_open(path, oflag, mode);  
  32.   } else {  
  33.     printf("Calling real open('%s', %d)\n", path, oflag);  
  34.     return orig_open(path, oflag, mode);  
  35.   }  
  36. }  
  37.   
  38. int main(int argc, charchar * argv[])  
  39. {  
  40.   @autoreleasepool {  
  41.     save_original_symbols();  
  42.     //fishhook用法  
  43.     rebind_symbols((struct rebinding[2]){{"close", my_close}, {"open", my_open}}, 2);  
  44.   
  45.     // Open our own binary and print out first 4 bytes (which is the same  
  46.     // for all Mach-O binaries on a given architecture)  
  47.     int fd = open(argv[0], O_RDONLY);  
  48.     uint32_t magic_number = 0;  
  49.     read(fd, &magic_number, 4);  
  50.     printf("Mach-O Magic Number: %x \n", magic_number);  
  51.     close(fd);  
  52.   
  53.     return UIApplicationMain(argc, argv, nil, NSStringFromClass([AppDelegate class]));  
  54.   }  
  55. }  



注释//fishhook用法 处

  1. rebind_symbols((struct rebinding[2]){{"close", my_close}, {"open", my_open}}, 2);  

传入rebind_symbols的第一个参数是一个结构体数组,大括号中为对应数组内容。




不得不说,facebook忒NB。
sharpyl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IOSDetect:IOS设备信息检测 HOOK检测 应用安全 安全攻防 越狱 重打包 patch 签名检测 注入检测
05-24
IOS 设备信息检测:应用安全 安全攻防 HOOK 越狱 重打包 patch 签名 注入1、越狱检测:jab字段,不为空表示越狱 2、重打包检测: cert字段:证书信息,查看是否为Apple证书 3、inline hook检测 (详细)cydiahook字段,...
使用fishhook hook函数fopen
pureszgd的博客
04-03 696
使用fishhook hook函数fopen #ios #import <dlfcn.h> #import <stdio.h> #import "fishhook.h" static FILE* (*orig_fopen)(const char *filename, const char *mode); FILE* my_fopen(const char *filena...
fishhook原理
零丁若叹
10-29 814
fishhook的使用和原理解析
iOS逆向之四 FishHook的简单使用
weixin_34174105的博客
04-04 265
iOS逆向之二-FishHook的简单使用 FishHook用于hook C函数,是Facebook提供的一个动态修改链接mach-O文件的工具,项目地址:fishhook 。 官方例子 一个官方的小例子: 用于监控某个进程的文件的读写事件,相当于hook C语言的open/close函数,OC底层是使用C语言实现的,所以hook C语言的open/close函数 可以达到监控程序的文件操作情况。...
_dyld_register_func_for_add_image
u011661836的博客
08-16 2412
链接:http://www.jianshu.com/p/625a61dfe039
iOS安全防护系列之字符串及系统函数隐藏详解
01-20
用hopper打开macho文件可以看出你具体函数跳转与字符串的使用,那么在项目中,你的加密Key就容易泄漏,你使用的加密方法如果是系统的,那么可以被fishhookhook住,所以字符串和系统方法的隐藏可以作为安全防护的一...
使用 fishhook 进行简单的 hook 防护(Demo)
09-29
1.DefenseDemo 是用于防护的代码。 2.AttackDemo 是用于进攻的代码。 3.Other 用于存储逆向过程中的中间产物。
fishhook_read:原始解析-源码解析
03-24
fishhook_read:原始解析
iOS Method Swizzling
01-28
AOP 编程必看代码,iOS 逆向开发,iOS SDK开发,iOS深入开发的源点
fishhook(C 语言,注释版)
09-01
fishhook 是一个非常简单的库,它可以对运行在 iOS 模拟器和设备上的 MachO 二进制文件的部分符号进行动态重绑定。fishhook 提供了类似于在 macOS 上使用 DYLD_INTERPOSE 的功能。fishhook 可以用来 hook 系统的 C ...
OOMDetector:OOMDetector是iOS的内存监视组件,可为您提供OOM监视,内存分配监视,内存泄漏检测和其他功能。
02-03
OOMDetector是一个iOS内存监控组件,应用此组件可以帮助您轻松实现OOM监控,大内存分配监控,内存泄漏检测等功能。 特性 1.OOM监视:监视OOM,转储引起突发内存的数值 2.大内存分配监控:监控单次大块内存分配,提供...
HookDefend:iOS逆向之反HOOK的基本防护
05-16
HookDefendiOS逆向之反HOOK的基本防护学习完上面的文章后,深感之强大,既然fishhookhook系统的函数。那么猜想:如果在我们的项目中hook了Method Swizzle,那么别人还能hook我们的项目吗??一、写上基本的防护,...
iOS Crash防护
07-09
主要是对常见易错的地方进行容错处理,避免崩溃,并保存出错时的函数调用栈,以方便快速定位代码,主要是利用的runtime和fishhook知识。GitHub:https://github.com/wsl2ls/iOS_TipsiOS的一些示例,持续更新中:1、...
FishhookDemo-master.zip
04-09
iOS hook c runtime 自定c
组件化工具BeeHive(一):事件分发
weixin_33978044的博客
06-12 499
前言 BeeHive是阿里开源的一个组件化框架工具,其内部是使用Spring框架Service的理念来实现模块解耦的,实际上就是使用protocol-class的方案。另外,在组件化的基础上,BeeHive还增加了一个事件分发的功能来配合使用。 目录 1. 概览 2. 事件分发的作用 3. 事件分发的配置过程 4. 注册Module的几种方式 5. 事件分发的内部实现 6. 事件种类 1. 概...
IOSFishHook原理及例子
qq_39153421的博客
07-27 1947
一、HOOK概述 HOOK,中文为“钩子”或“挂钩”,在ios逆向中是指改变程序的运行流程的一种技术,通过hook可以让别人的程序执行自己的代码逻辑,在逆向中经常使用。所以就来看看HOOK的原理吧! 上图很常见的微信抢红包,hook原理就相当于程序本来收到红包消息用户应该点击红包之后点击“抢”,才能领红包,而通过HOOK既可以执行自己的代码,用户不需要点击自动执行抢红包代码,这就是...
iOS安全攻防(二十):越狱检测的攻与防
热门推荐
念茜的博客
03-02 4万+
越狱检测的攻与防在应用开发过程中,我们希望知道设备是否越狱,正以什么权限运行程序,好对应采取一些防御和安全提示措施。iOS7相比之前版本的系统而言,升级了沙盒机制,封锁了几乎全部应用沙盒可以共享数据的入口。即使在越狱情况下,限制也非常多,大大增加了应用层攻击难度。比如,在iOS7之前,我们可以尝试往沙盒外写文件判断是否越狱,但iOS7越狱后也无该权限,还使用老方法检测导致误判。那么,到底应该如何
13、fishhook原理&Dobby
Holothurian
04-20 1297
Dobby原理: 运行时对目标函数的汇编代码替换,修改的是内存中MachO的代码段Dobby替换汇编代码时,对原始函数的调用,影响栈的拉伸和平衡在真实HOOK场景中,我们拿不到符号名称,只能对地址进行HOOKHOOK地址时,需要加上PAGEZERO和ASLR。
hook下 open fopen
最新发布
07-28
引用\[1\]中的代码展示了如何使用fishhook库来hook open和fopen函数。在main函数中,通过rebind_symbols函数将fopen函数重新绑定到my_fopen函数上,然后在my_fopen函数中可以对打开文件的操作进行个性化的判断和记录...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值