iOS逆向基础动态库注入实现过程(三)

最新推荐文章于 2020-12-24 11:20:43 发布
最新推荐文章于 2020-12-24 11:20:43 发布
阅读量1.2k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/n603482184/article/details/100888999
版权

       在逆向过程,我们很多时候需要动态调试把自己的代码注入目标app,替换或拦截部分功能,那是如何实现将自己代码载入目标app从而hook的呢?今天我们聊下动态库注入的过程。       

       本文以ofo小黄车iOS为例一步步分析动态库如何注入目标APP,首先我们通过MachoOView查看ofo的MachO结构如下:

640?wx_fmt=jpeg

可以知道程序默认加载了系统库Foundation、libobjc.A.dylib、libSystem.B.dylib、UIKit,还加载了React,ReactiveObjc,ofoComponents等自己的组件。

       接下来我们使用MonkeyDev或IPAPatch新建自己动态库运行打包,我们再次通过MachoOView查看结构如下,可以看到我们的代码GesanInsetDylib以动态库libesanInsertDylib.dylib的形式注入了二进制文件。

640?wx_fmt=jpeg

        通过上述过程我们大概可以看到动态库注入就是通过修改可执行文件的Load Commands,增加一个LC_LOAD_DYLIB,写入dylib路径。这样程序执行的时候就会来解析这个LC_LOAD_DYLIB找到要注入的dylib,从而进行加载。

        那么动态库是怎样注入的,Mach-O文件的Load Commands是如何修改的呢?我们查看IPAPatch的patch.sh源文件可见如下脚本,注释说的很明白这里就是依赖optool实现的,庆神的MonkeyDev里pach.sh依赖monkeyparser实现注入,但和optool注入原理类似。

640?wx_fmt=png

if [[ ${MONKEYDEV_INSERT_DYLIB} == "YES" ]];then                            
     "$MONKEYPARSER" install -c load -p "@executable_path/Frameworks/lib""$TARGET_NAME""Dylib.dylib" -t "$BUILD_APP_PATH/$APP_BINARY"     
     "$MONKEYPARSER" unrestrict -t "$BUILD_APP_PATH/$APP_BINARY"
     chmod +x "$BUILD_APP_PATH/$APP_BINARY"
fi

        上边我们提到optool,本文也是以optool为例分析,题外话作者是alexzielenski,个人网站的一段自我介绍an 18 year-old independent Mac & iOS developer,2013年的时候才18岁,optool是四年前写的,大概2014年,真是强,献上膝盖。

640?wx_fmt=png

optool is a tool which interfaces with MachO binaries in order to insert/remove load commands, strip code signatures, resign, and remove aslr. Below is its help.使用这个工具可以修改load commands,重签,移除aslr内存随机偏移。接下来我们看下源码结构如图:

640?wx_fmt=png

我们从程序main.m的main入口函数入手看下源码分析注入原理,可以看到main函数里主要如下工作:

int main(int argc, const char * argv[]) {                            
     1 通过XPMArgumentSignature输入参数
      如 install -c <command> -p <payload> -t <target> [-o=<output>] [-b] [--resign]
     2 读入Mocho可执行文件
      NSData *originalData = [NSData dataWithContentsOfFile:executablePath];
      headersFromBinary(headers, binary, &numHeaders);
      .....         
     3 接下来各种Action处理
      [package booleanValueForSignature:install]//注入动态库
      [package booleanValueForSignature:resign] //重签
      ....
}

本篇只探讨动态库注入,那么我们看下action处理在install这个条件下代码如下图,可以看到调用了insertLoadEntryIntoBinary这个函数。

640?wx_fmt=png

我们跳到operations.m文件下找到这个函数,函数入参依次为动态库路径,二进制文件数据,macho头信息,load command type类型。

BOOL insertLoadEntryIntoBinary(NSString *dylibPath, NSMutableData *binary, struct thin_header macho, uint32_t type){                           
     1 判断load command type      
     2 解析load commands查看我们要插入的dylib是否已经存在
       binaryHasLoadCommandForDylib
       .....         
     3 create a new load command
       struct dylib_command command; //新建dylib_command
       struct dylib dylib;           
       ....初始化....
     4 设置动态库数据
       NSMutableData *commandData = [NSMutableData data];
       [commandData appendData:[dylibPath dataUsingEncoding:NSASCIIStringEncoding]]; 
       ....
     5 将动态库插入二进制文件
       [binary replaceBytesInRange:NSMakeRange(lastOffset, 0) withBytes:commandData.bytes length:commandData.length];
     6  设置macho header
        macho.header.ncmds += 1;//增加一个load command
        macho.header.sizeofcmds += command.cmdsize;
        .....
      return YES;
}

到这里整个动态库注入过程我们已经完成,接下来有符号表恢复,重签相关代码感兴趣的可自行阅读。

       最后这里简单说下动态库,动态库在编译时并不联入二进制代码,而是在程序启动后运行时通过load command载入内存,动态库载入流程怎样的?程序启动main函数执行前程序已经执行了哪些代码?像ofo采用pod管理依赖包生成很多动态库在启动时载入会不会造成程序启动慢?那采用carthage会不会变快?等等这些一系列的问题我们在后边的文章中讨论。

附相关资料 :

iOS逆向基础Mach-O文件(1)

iOS逆向基础砸壳原理(2)

https://github.com/alexzielenski/optool

Tips:需要安全相关电子书的ioser可以在本公众号后台留下邮箱

640?wx_fmt=png

    更多骚操作,尽在iOSTips,关注公众号,第一时间get新姿势。



iOSTips
关注
iOS动态库注入原理:基于修改Mach-O 的Load Command、利用环境变量DYLD_INSERT_LIBRARIES、在挂载的进程上创建一个挂起的线程,然后在这个线程里申请一片用。
iOS逆向与安全
08-12 1万+
动态库注入原理: 一个是基于修改Mach-O 的Load Commands,即通过修改可执行文件的Load Commands来实现的. 在Load Commands中增加一个LC_LOAD_DYLIB , 写入dylib路径。Usage: insert_dylib dylib_path binary_path [new_binary_path] 一个是利用环境变量DYLD_INSERT_LIBRARIES,例如使用它进行dumpdecrypted(补充:Clutch 通过posix_spawnp生成.
编写dylib_iOS逆向-无需越狱注入动态库
weixin_39850152的博客
12-24 2645
0x0 获取iTunes下载现在iTunes已经没有下载ipa的功能了第方市场目前大部分只能依靠第方市场来下载,而且第方市场的ipa其实有一个优势,大部分都是已经脱壳的,省去一个步骤OTA安装的企业版app这种就更好办了首先拿到ota的url,基本上是itms-service之类的scheme查看里面的一个url=的参数,就是plist配置的地址下载或者查看这个plist,可以发现里面就有i...
iOS安全攻防(十九):基于脚本实现动态库注入
热门推荐
念茜的博客
02-21 2万+
基于脚本实现动态库注入MobileSubstrate可以帮助我们加载自己的动态库,于是开发者们谨慎的采取了对MobileSubstrate的检索和防御措施。那么,除了依靠MobileSubstrate帮忙注入dylib,还有别的攻击入口吗?理理思路,条件、目的很明确:1)必须在应用程序启动之前,把dylib的环境变量配置好2)dylib的位置必须能被应用程序放问到3)最后再启动应用程序啊哈,原汁原
iOS 动态库注入
kangpp的博客
08-02 1116
iOS动态库注入,可注入framework、dylib 这两种动态库(开发者创建的framework本质上还是一个静态库)。注入本质上将动态库注入到可执行的 Mach-O 文件中。 注入静态库前提还是要理解重签名,以及使用脚本进行重签名的操作。然后执行注入流程。 iOS 代码重签名 1、framework 注入 ...
# iOS 使用 InjectionIII 注入动态库实现快速调试
测试0901-1
04-01 500
前言 最近在看 "戴老师" 专栏推出的 "App 如何通过注入动态库的方式实现极速编译调试?" 感触很深, 相信每个 iOS 的小伙伴在写代码的时候, 都存在这个烦恼, 每次修改个小功能, 都需要重新 Build 一次, 才能运行, 当项目功能不断积累到一定程度时, 编译时间可能超乎我们想象, 每次修改个 Color, text 等等, 都要经历一次漫长...
iOS Hacker 动态库 dylib 注入
十年磨一剑,霜刃未曾试!
07-20 1万+
iOS Hacker 动态库 dylib 注入很多情况下我们希望自己写的代码能够在其他应用中运行,如果代码简单的话,可以写 Tweak 或者使用 Cycript。但如果代码多的话,那最好是写一个动态库,然后把文件注入到应用中得到代码的执行。一般有两种方法,本文简单的讲解一下。一、编写 dylib​ 首先得先写一个测试用的动态库。Xcode 新建 iOS 工程的时候,选择 Framework 工
optool,iOS逆向工具,用于向可执行二进制中注入动态库
12-14
optool,iOS逆向工具,用于向可执行二进制中注入动态库
ZXHookDetection:【iOS应用安全、安全攻防】hook及越狱的基本防护与检测(动态库注入检测、hook检测与防护、越狱检测、签名校验、IDA反编译分析加密协议Demo);【数据传输安全】浅谈http、https与数据加密
05-27
ZXHookDetection 越狱检测 1.使用NSFileManager通过检测一些越狱后的关键文件/路径是否可以访问来判断是否越狱 常见的文件/路径有 static char *JailbrokenPathArr[] = {"/Applications/Cydia.app","/usr/sbin/sshd...
dylibInjecting:iOS逆向之代码注入(dylib)
05-19
iOS逆向之代码注入(dylib) 题外话:此教程是一篇严肃的学术探讨类文章,仅仅用于学习研究,也请读者不要用于商业或其他非法途径上,笔者一概不负责哟~~ ##准备工作 非越狱的iPhone手机 用PP助手下载: 微信6.6.5...
iOS逆向工具
04-03
本文将深入探讨标题为“iOS逆向工具”的主题,包括`debugserver`、`lldb`命令行、`class-dump`以及`cycript`这四个关键工具。 首先,`debugserver`是Apple提供的一个调试服务器,主要用于远程调试iOS应用。通过将`...
苹果iOS ipa安装包动态库注入工具
04-20
苹果iOS ipa安装包动态库注入工具,十分方便,注入dylib动态库
专注于非越狱环境下iOS应用逆向研究,从dylib注入,应用重签名到App Hook.zip
09-24
专注于非越狱环境下iOS应用逆向研究,从dylib注入,应用重签名到App Hook.zip,专注于非越狱环境下iOS应用逆向研究,从dylib注入,应用重签名到App Hook
optool 工具
08-02
Optool工具使用简介试讲阶段一、BOCC赛事查询工具发展历程二、工具的程序原理及编码规则、工具的主界面及功能区分类介绍、模块及工作流程从无到有,从简单到复杂
IOS上的几种注入动态库的方式
Tesi1a的充电桩
06-30 5988
0x00 准备环境 编译dylib 首先得先写一个测试用的动态库。Xcode 新建 iOS 工程的时候,选择 Framework 工程,默认文件格式为动态库 #import <Foundation/Foundation.h> __attribute__((constructor)) static void EntryPoint() { NSLog(@"inject seuce...
视频教程- iOS动态库注入-iOS
weixin_34624050的博客
05-28 374
iOS动态库注入 多年一线开发岗位编程,曾任职用友上市公司高级软件工程师、...
在ipa中注入动态库dylib并运行自己的代码
kakaluo123的博客
09-07 9876
最近接到一个需求,要求将自己写的dylib注入到别人的ipa中,在启动该程序后可以运行自己的代码。这个需求主要分为两部分,第一部分是注入dylib,第二部分是运行自定义代码。于是乎四处去找实现方案,对于第一部分一般都是事先将dylib手动放入 /Library/MobileSubstrate/DynamicLibraries/ 下,不符合我们的需求,最后找到了一个开源的mac工具:LibAhead
ipa重签名2(.dylib注入
b719426297的专栏
08-24 8854
最近在iPad上经常用”xx视频”客户端看视频,每个视频播放前总有时间不短的广告,非常不爽(尤其是视频2分钟,广告2分钟)。于是逆向了”xx视频”客户端,用theos写了一个Tweak;终于,可以在iPad(已越狱)上用“xx视频”客户端愉快的看视频了。 但是,想在非越狱设备上安装无广告版“xx视频”客户端该怎么办呢? 将在越狱设备上编写的Tweak注入到“xx视频”的可执行文件
dyci——IOS动态代码注入
weixin_34034261的博客
08-26 155
有时候用xib,更改了布局需要重新运行才可以看到效果,对于比较复杂的应用尤其浪费时间,下面介绍一个工具dyci-不需要重Run应用,也能看到效果 yci的网址:https://github.com/DyCI/dyci-main 可以下载来看源码和示例代码。 安装方法如下,打开终端输入如下命令 git clone https://github.com/DyCI/dyci-main.gitcd...
编写dylib_代码实现dylib注入iPA
weixin_36269652的博客
12-24 2555
yololib实现了使用终端将dylib注入到ipa,当我们编写Mac端工具的时候也可以调用NSTask执行终端,然而为了简单化,这里使用了纯代码的方式.MachOView打开xxx.app/exec文件的时候可以看到所有库的加载路径,注入dylib文件其实也就是在exec文件中添加一条dylib加载路径otool命令行同样可以查看到xxx.app/exec文件库的加载路径otool -L xxx...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值