iOS安全攻防(十七):Fishhook

原创 2014年02月12日 00:08:03

Fishhook



众所周知,Objective-C的首选hook方案为Method Swizzle,于是大家纷纷表示核心内容应该用C写。
接下来进阶说说iOS下C函数的hook方案,先介绍第一种方案————fishhook .


什么是fishhook

fishhook是facebook提供的一个动态修改链接Mach-O符号表的开源工具。



什么是Mach-O

Mach-O为Mach Object文件格式的缩写,也是用于iOS可执行文件,目标代码,动态库,内核转储的文件格式。
Mach-O有自己的dylib规范。



fishhook的原理

详见官方的How it works,这里我作个简要说明。
dyld链接2种符号,lazy和non-lazy,fishhook可以重新链接/替换本地符号。





如图所示,__DATA区有两个section和动态符号链接相关:__nl_symbol_ptr 、__la_symbol_ptr。__nl_symbol_ptr为一个指针数组,直接对应non-lazy绑定数据。__la_symbol_ptr也是一个指针数组,通过dyld_stub_binder辅助链接。<mach-o/loader.h>的section头提供符号表的偏移量。
图示中,1061是间接符号表的偏移量,*(偏移量+间接符号地址)=16343,即符号表偏移量。符号表中每一个结构都是一个nlist结构体,其中包含字符表偏移量。通过字符表偏移量最终确定函数指针。

fishhook就是对间接符号表的偏移量动的手脚,提供一个假的nlist结构体,从而达到hook的目的。


fishhook替换符号函数:

int rebind_symbols(struct rebinding rebindings[], size_t rebindings_nel) {
  int retval = prepend_rebindings(rebindings, rebindings_nel);
  if (retval < 0) {
    return retval;
  }
  // If this was the first call, register callback for image additions (which is also invoked for
  // existing images, otherwise, just run on existing images
  if (!rebindings_head->next) {
    _dyld_register_func_for_add_image(rebind_symbols_for_image);
  } else {
    uint32_t c = _dyld_image_count();
    for (uint32_t i = 0; i < c; i++) {
      rebind_symbols_for_image(_dyld_get_image_header(i), _dyld_get_image_vmaddr_slide(i));
    }
  }
  return retval;
}

关键函数是 _dyld_register_func_for_add_image,这个函数是用来注册回调,当dyld链接符号时,调用此回调函数。 rebind_symbols_for_image 做了具体的替换和填充。




fishhook替换Core Foundation函数的例子



以下是官方提供的替换Core Foundation中open和close函数的实例代码
#import <dlfcn.h>

#import <UIKit/UIKit.h>

#import "AppDelegate.h"
#import "fishhook.h"

static int (*orig_close)(int);
static int (*orig_open)(const char *, int, ...);

void save_original_symbols() {
  orig_close = dlsym(RTLD_DEFAULT, "close");
  orig_open = dlsym(RTLD_DEFAULT, "open");
}

int my_close(int fd) {
  printf("Calling real close(%d)\n", fd);
  return orig_close(fd);
}

int my_open(const char *path, int oflag, ...) {
  va_list ap = {0};
  mode_t mode = 0;

  if ((oflag & O_CREAT) != 0) {
    // mode only applies to O_CREAT
    va_start(ap, oflag);
    mode = va_arg(ap, int);
    va_end(ap);
    printf("Calling real open('%s', %d, %d)\n", path, oflag, mode);
    return orig_open(path, oflag, mode);
  } else {
    printf("Calling real open('%s', %d)\n", path, oflag);
    return orig_open(path, oflag, mode);
  }
}

int main(int argc, char * argv[])
{
  @autoreleasepool {
    save_original_symbols();
    //fishhook用法
    rebind_symbols((struct rebinding[2]){{"close", my_close}, {"open", my_open}}, 2);

    // Open our own binary and print out first 4 bytes (which is the same
    // for all Mach-O binaries on a given architecture)
    int fd = open(argv[0], O_RDONLY);
    uint32_t magic_number = 0;
    read(fd, &magic_number, 4);
    printf("Mach-O Magic Number: %x \n", magic_number);
    close(fd);

    return UIApplicationMain(argc, argv, nil, NSStringFromClass([AppDelegate class]));
  }
}



注释//fishhook用法 处

rebind_symbols((struct rebinding[2]){{"close", my_close}, {"open", my_open}}, 2);

传入rebind_symbols的第一个参数是一个结构体数组,大括号中为对应数组内容。




不得不说,facebook忒NB。



版权声明:本文为博主原创文章,未经博主允许不得转载。

FishHook钩子库开发日志

 FishHook钩子库开发日志 搬运自我的百度空间 FishHook是我开发了将近两年的Windows API Hook库,支持Win7/XP,支持x8...
  • myjisgreat
  • myjisgreat
  • 2015年06月13日 11:20
  • 1722

iOS逆向之四-FishHook的简单使用

iOS逆向之二-FishHook的简单使用 FishHook用于hook C函数,是Facebook提供的一个动态修改链接mach-O文件的工具,项目地址:fishhook 。 官方例子 一个官方的小...
  • zhangyutangde
  • zhangyutangde
  • 2017年10月25日 11:17
  • 129

iOS自己捕获异常定位错误代码

自己捕获iOS的异常并定位错误代码。原来以为跟用友盟等第三方捕获一样,直接用得到的错误地址到dsym工具或者用atos命令就可以直接得到错误代码,结果让人傻眼,完全对不上。 查了蛮久,才发现原来iO...
  • ackeep
  • ackeep
  • 2016年04月13日 15:35
  • 1303

iOS crash log 解析 symbol address = stack address - slide 运行时获取slide的api 利用dwarfdump从dsym文件中得到symbol

概述: 为什么 crash log 内 Exception Backtrace 部分的地址(stack address)不能从 dsym 文件中查出对应的代码? 因为 ASLR(Address spa...
  • xiaofei125145
  • xiaofei125145
  • 2015年12月26日 12:38
  • 1941

ios获取内存镜像模块基址

参考: https://developer.apple.com/library/ios/documentation/System/Conceptual/ManPages_iPhoneOS/man...
  • demonshir
  • demonshir
  • 2016年09月21日 22:14
  • 856

iOS安全攻防(二十):越狱检测的攻与防

越狱检测的攻与防在应用开发过程中,我们希望知道设备是否越狱,正以什么权限运行程序,好对应采取一些防御和安全提示措施。iOS7相比之前版本的系统而言,升级了沙盒机制,封锁了几乎全部应用沙盒可以共享数据的...
  • yiyaaixuexi
  • yiyaaixuexi
  • 2014年03月02日 13:38
  • 29453

iOS安全攻防(十五):使用iNalyzer分析应用程序

好想用 doxygen 画iOS app的class继承关系。 有没有比 class-dump-z 更直观的分析工具? 利器 iNalyzer 隆重登场~ 一、iNalyzer的安装 ...
  • logcabin
  • logcabin
  • 2014年06月17日 14:25
  • 673

iOS安全攻防(二十三):Objective-C代码混淆

class-dump可以很方便的导出程序头文件,不仅让攻击者了解了程序结构方便逆向,还让着急赶进度时写出的欠完善的程序给同行留下笑柄。 所以,我们迫切的希望混淆自己的代码。 混淆的常规...
  • sharpyl
  • sharpyl
  • 2014年09月28日 15:48
  • 418

iOS安全攻防(二十)动态调试利器---gdb基础篇

一、调试平台搭建   1、GNU Debugger。首先安装ios下的gdb调试器,添加源:cydia.radare.org 。搜索 GNU Debugger,安装之。(有些源的GDB好像不能用...
  • fishmai
  • fishmai
  • 2017年06月03日 20:20
  • 264

iOS 安全攻防系列(四):分析二进制软件

和现代语言一样,Object-C是一种反射式语言,他可以在运行时查看和修改自己 的行为。反射机制允许程序将指令看成数据,也允许在运行的时候对自己进行修改。Object-C 运行司环境不仅可以让一个程序...
  • woaizijiheni
  • woaizijiheni
  • 2016年01月31日 12:12
  • 914
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:iOS安全攻防(十七):Fishhook
举报原因:
原因补充:

(最多只允许输入30个字)