Fishhook原理解析

最新推荐文章于 2023-04-20 11:57:10 发布
最新推荐文章于 2023-04-20 11:57:10 发布
阅读量2.9k 收藏 4
点赞数
分类专栏: iOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/genzld/article/details/105300109
版权

初识fishhook

Fishhook 是 facebook 的开源库。官方描述,它的作用是:

... enables dynamically rebinding symbols in Mach-O binaries running on iOS in the simulator and on device

支持对 iOS 模拟器和设备上运行的 Mach-O 二进制文件,动态地重绑定其中的符号

更浅显的解读是,如果你的程序调用了动态库中的函数 A,可以通过 fishhook,在运行时将“调用函数 A”改为“调用函数 B”。

Fishhook 的源码只有 250 行,因此可以方便地接入到业务中。

C函数调用也能篡改?

我们能理解 OC 中 method swizzling 的原理。因为 OC 有一套运行时机制,因此给 OC 对象 ​obj​ 发送消息 ​call​ 时,要经过 runtime 的匹配,才能在运行时得出 ​call​  方法的地址,让指令跳转到 ​call​ 方法内部。因此,只要在 runtime 匹配的过程中做手脚,就可以将 ​call​ 方法篡改为其他方法。

但是 C 语言中,调用某个函数,指令跳转到某个地址,这是在编译链接时就决定的。看起来我们并不能在运行时改变这个地址。但实际上,如果调用的函数是动态库中的,那么,这个二进制程序,在启动前也并不知道动态库中这个函数的地址。这个地址也是运行时计算得到的。因此这就给 fishhook 提供了机会。

先看上一篇博客:

Fishhook做了什么?

  这时,我们想,如果把 __la_symbol_ptr 中存的地址改了,那是不是就能把 printf 函数指向其它一段指令了呢?Fishhook 也是这样想的。所以 Fishhook 的原理,也是篡改内存中 __la_symbol_ptr 中的内容。把原本应该存 printf() 地址的那块内存,内容改为 my_printf() 地址。

  那么问题来了,我们能用函数指针的方式,知道 my_printf() 的地址,但是我们怎么知道,__la_symbol_ptr 中的第几个元素,表示的是 printf() 的地址呢?

  如果我们能知道 __la_symbol_ptr 中的第 n 个元素,表示的函数的名字,那我们可以遍历 __la_symbol_ptr 数组,找到表示 printf() 的那个。

于是现在问题变成了,我们怎么知道 __la_symbol_ptr 中的每个元素表示的函数的名字呢?

这里就有一个规律:遍历__la_symbol_ptr中的每个元素获取到函数名,去判断是否要篡改的函数

走一遍流程:

__la_symbol_ptr -->  Indirect Symbols

MachO 文件有个规律,__la_symbol_ptr 节中的第 i 个数据,在 Indirect Symbols 中有对应的体现,且 index 变成了 reserved0 + i。

printf() 对应的数据,在 __la_symbol_ptr 节中是第 10 个元素,__la_symbol_ptr 中的 reserved1 为 12,那么我们找到 Indirect Symbols 中的第 22 个元素:

这里的值是 0x50

Indirect Symbols --> Symbol Table

我们拿着 0x50,去 Symbol Table 中找到 Symbol Table 中 index = 0x50 的数据。??

得到0x233

struct nlist_64 {
    union {
        uint32_t  n_strx; /* index into the string table */
    } n_un;
    uint8_t n_type;        /* type flag, see below */
    uint8_t n_sect;        /* section number or NO_SECT */
    uint16_t n_desc;       /* see <mach-o/stab.h> */
    uint64_t n_value;      /* value of this symbol (or stab offset) */
};

Symbol Table --> String Table

Symbol Table 中偏移量为 0x233 的字符串,就是 _printf

这样,主 binary 就知道,__la_symbol_ptr 节中的第 10 个元素,代表 printf,

篡改 __la_symbol_ptr 中的数据

这样,fishhook 只要遍历一次 __la_symbol_ptr,当发现第 i 个元素对应的名字,就是我们要 hook 的名字时,就可以将 __la_symbol_ptr 中的第 i 个元素的值篡改掉,完成 hook 的过程。

参考资料

Fishhook 源码:https://github.com/facebook/fishhook

iOS逆向(6)-从fishhook看runtime,hook系统C函数 https://www.jianshu.com/p/b6a72aa6c146

Dyld之二: 动态链接过程:https://blog.cnbluebox.com/blog/2017/10/12/dyld2/

TheShyclear
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS安全攻防(十七):Fishhook
念茜的博客
02-12 4万+
Fishhook众所周知,Objective-C的首选hook方案为Method Swizzle,于是大家纷纷表示核心内容应该用C写。接下来进阶说说iOS下C函数的hook方案,先介绍第一种方案————fishhook .什么是fishhookfishhook是facebook提供的一个动态修改链接Mach-O符号表的开源工具。什么是Mach-OMach-O为Mach Object文件格式的缩写,
Fishhook替换C函数的原理
Leo的专栏
11-04 6460
FishhookFishhook是FaceBook出品的,可以用来Hook C函数的一个开源库。它的主要接口就一个:struct rebinding { const char *name; //字符串名称 void *replacement; //替换后的方法 void **replaced; //原始的方法(通常要存储下来,在替换后的方法里调用) };//两个参数分别是rebindin
fishhook原理
weixin_34391445的博客
11-26 168
2019独角兽企业重金招聘Python工程师标准>>> ...
iOS Method Swizzling
01-28
AOP 编程必看代码,iOS 逆向开发,iOS SDK开发,iOS深入开发的源点
fishhook(C 语言,注释版)
09-01
fishhook 是一个非常简单的库,它可以对运行在 iOS 模拟器和设备上的 MachO 二进制文件的部分符号进行动态重绑定。fishhook 提供了类似于在 macOS 上使用 DYLD_INTERPOSE 的功能。fishhook 可以用来 hook 系统的 C 函数以进行调试和跟踪(比如解决文件描述符重复回收等问题)
fishhook_read:原始解析-源码解析
03-24
fishhook_read:原始解析
FishhookDemo-master.zip
04-09
iOS hook c runtime 自定c
13、fishhook原理&Dobby
Holothurian
04-20 1280
Dobby原理: 运行时对目标函数的汇编代码替换,修改的是内存中MachO的代码段Dobby替换汇编代码时,对原始函数的调用,会影响栈的拉伸和平衡在真实HOOK场景中,我们拿不到符号名称,只能对地址进行HOOKHOOK地址时,需要加上PAGEZERO和ASLR。
iOS 懒加载符号的绑定流程
onebutterfly
05-20 498
懒加载符号的绑定流程 一、测试资料及步骤 首先看一下我们使用的测试代码以及debug方式 1、测试代码如下 int main(int argc,char *argv[]) { NSLog(@"--"); NSLog(@"--"); } 2、开启debug模式 在源码NSLog上添加断点, 然后勾选xcode菜单Debug->Workflow->Always Show Disassembly, 这样就可以逐步调试汇编代码. 在lldb上输入si就可以按照指令逐步调试. 二、Mach-O文件
Mach-O的动态链接相关知识
omnispace的博客
03-13 684
0x00 摘要 通过分析Mach-O的动态链接过程,加深对Mach-O文件结构的理解。对Mach-O文件格式的简单的分析看这里这里。 0x01 Mach-O Lazy Bind Mach-O文件的通过dyld加载的时候并没有确定每一个函数的具体地址在哪里,而是在真正调用该函数的时候通过过程连接表(procedure linkage table),后面简称PLT,来进行一次lazybind。
Mach-O文件和Facebook的fishhook
yhawaii的专栏
01-17 674
1. 概述 我们知道Windows下的文件都是PE文件,同样在OS X和iOS中可执行文件是Mach-o格式的。 Mach-O通常有三部分组成: 头部 (Header): Mach-O文件的架构 比如Mac的 PPC, PPC64, IA-32, x86-64,ios的arm系列. 加载命令(Load commands): . 原始段数据(Raw segment data):可以拥有多个段(se...
使用 fishhook 进行简单的 hook 防护(Demo)
09-29
1.DefenseDemo 是用于防护的代码。 2.AttackDemo 是用于进攻的代码。 3.Other 用于存储逆向过程中的中间产物。
fishhook(二):基本使用 && 源码分析
Airths 的博客
10-24 695
目录fishhook 基本使用fishhook 源码分析验证实验:通过 MachOView 验证 fishhook 准备基地址的过程拓展延伸:fishhook 为何能在第一次调用外部 C 函数之前,获取到外部 C 函数的真实地址巩固练习:通过 lldb 恢复被 fishhook 替换掉的符号地址使用 fishhook 进行简单的 hook 防护注意 fishhook 基本使用 fishhook 简介 fishhook 是一个非常简单的库,它可以对运行在 iOS 模拟器和设备上的 MachO 二进制文件的
iOS逆向之fishhook原理
ZhaiAlan的博客
04-01 451
FishHook fishHook是Facebook提供的一个动态修改链接mach-O文件的工具。利用MachO文件加载原理,通过修改懒加载表(Lazy Symbol Pointers)和非懒加载表(Non-Lazy Symbol Pointers)这两个表的指针达到C函数HOOK的目的。 在逆向中经常使用fishHook这个工具。所以在学习过程中,我们重点要了解其原理,这样能够对恶意代码进行...
iOS逆向开发案例
02-26
本套课程相信能够帮助到想学习逆向的你,为你节约大量的时间,将时间充分运用到实践的过程中,并非在逆向的“门前”爬坑。在这个系列里,我们从密码学入手,了解常见加密算法,通过数字签名等技术学习iOS应用签名。剖析原理,通过重签名技术绕过系统检测开启逆向之旅。
IOS 之FishHook原理及例子
qq_39153421的博客
07-27 1943
一、HOOK概述 HOOK,中文为“钩子”或“挂钩”,在ios逆向中是指改变程序的运行流程的一种技术,通过hook可以让别人的程序执行自己的代码逻辑,在逆向中经常使用。所以就来看看HOOK原理吧! 上图很常见的微信抢红包,hook原理就相当于程序本来收到红包消息用户应该点击红包之后点击“抢”,才能领红包,而通过HOOK既可以执行自己的代码,用户不需要点击自动执行抢红包代码,这就是...
iOS逆向之fishHook原理探究
weixin_34241036的博客
05-27 225
HOOK原理 1、MachO是被谁加载的? DYLD动态加载 2、ASLR技术(地址空间布局随机化):MachO文件加载的时候是随机地址 3、PIC(位置代码独立) 如果MachO内部需要调用 系统的库函数时 先在_DATA段中建立一个指针,指向外部函数 DYLD会动态的进行绑定,将MachO中的DATA段中的指针,指向外部函数(DYLD会告诉MachO要依赖的外部库的位置) _DATA段中建立...
hook下 open fopen
最新发布
07-28
引用\[1\]中的代码展示了如何使用fishhook库来hook open和fopen函数。在main函数中,通过rebind_symbols函数将fopen函数重新绑定到my_fopen函数上,然后在my_fopen函数中可以对打开文件的操作进行个性化的判断和记录。这样就可以实现对open和fopen函数的hook操作。 引用\[2\]中提到,通过hook open函数可以打印系统中所有调用open函数打开文件的文件路径和使用open函数的进程PID以及进程名。在hook_fun()函数中可以对open函数的调用进行个性化的判断,例如禁止打开某些文件、篡改打开文件的路径或记录打开文件的行为等。 在Linux系统下,文件的创建、读取、追加、写入和删除等操作涉及到以下系统调用:open、fopen、read、write、lseek、close和unlink。通过hook这些系统调用,可以对文件操作进行监控和控制。 所以,通过使用fishhook库和hook技术,可以实现对open和fopen函数的hook操作,从而对文件操作进行个性化的判断和记录。 #### 引用[.reference_title] - *1* [使用fishhook hook函数fopen](https://blog.csdn.net/pureszgd/article/details/105282990)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [简述API HOOK技术及原理](https://blog.csdn.net/bing1564/article/details/130457403)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [【Android】Frida Hook 文件读写操作](https://blog.csdn.net/xiru9972/article/details/131182528)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值