CydiaSubstrate
CydiaSubstrate 是绝大部分tweak正常工作的基础,主要分为三部分:MobileHooker,CydiaSubstrate,Safe mode
MobileHooker
MobileHooker的作用是替换系统函数(即hook)
// 作用于OC函数,可直接替换掉方法
void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP *result);(Logos语法对此函数进行了封装,但底层实现完全基于MSHookMessageEx)
// 作用于C , C++
void MSHookFunction(void* function, void* replacement, void** original);(通过编写汇编指令,在进程执行到function时转而执行replacement,同时保存function的指令返回其地址,可选择性的执行function,并保证进程能够执行完replacement后继续正常执行)
ps:之前hook必须进行越狱才能操作,现在直接汇编就能实现hookrepalce替换进程—>下表进程由上向下执行进程
正常执行的进程1 勾住函数A替换为函数B的进程2 ☟Instructions ☟Instructions ☟FunctionA ☟FunctionB (FunctionA暂存) ☟Instructions ☟Instructions 进程先执行一些指令,在原本应该执行的函数A的地方跳转到了函数B的位置执行函数B,同时函数A的 代码被MobielHooker暂时保存了下来。在函数B中,可以选择是否执行函数A,在函数B执行完成 后,则会继续执行剩下的指令。(ps:MSHookFunction的指令长度是有限制的,至少为8字节,如 果要hook住那些段函数该怎么办?—->一种变通的方法是hook住短函数内部调用的其他函数—- 短函数之所以短,是因为内部一般都是调用了其他函数,由其他函数来做出实际操作。因此,把长度 符合要求的其他函数作为MSHookFunction的目标,然后在replacement里做一些逻辑判断,将它 与函数关联上,再把对应的短函数的修改写在这里)
MobileLoader
MobileLoader的作用是加载第三方dylib。在iOS启动时,会由launched将MobileLoader载入内存,然后MobileLoader会根据dylib的同名plist文件指定的作用范围,有选择的在不同进程里通过dlopen函数打开目录/Library/MobileSubstrate/DynamicLibraries/下的所有dylib.
Safe mode
应用的质量良莠不齐,程序崩溃再说难免,因为tweak的本质是dylib,寄生在别的进程里,一旦出错,可能导致整个进程崩溃,而一旦崩溃的是SpringBoard等系统进程,则会造成iOS瘫痪,所以CydiaSubstrate引入了Safe mode,它会补获SIGTRAP、SIGTBRT、SIGILL、SIGBUS、SIGSEGV、SIGSYS这六种信号,然后进入安全模式。
(ps:在安全模式里,所有基于CydiaSubstrate的第三方dylib会被禁用,便于查找于修复;如果设备因为dylib的原因无法进入系统,比如,开机一直卡在白苹果上,或者进度圈不停地转—>home+lock+然后音量上键禁用CydiaSubstrate,系统重启后再查错与排修,修复后重启iOS,CydiaSubstrate会自动重启)
demo1核心代码
// MSFindSymbol的作用--->查找待hook的symbol,函数的指令被放在内存中,当进程需要执行这个函数时,它必须要知道去内存的哪个地方找到这个函数,然后执行它的指令,也就是说
// 进程要根据函数名,找到它在内存中的地址,而这个名称与地址的映射关系,是存储在"symbol table"中的-----"symbol table" 中的symbol就是这个函数的名称,进程会根据这个
// symbol找到它在内存中的地址.然后跳转过去执行.
#import <substrate.h>
void (*old_ZN8CPPClass11CPPFuctionEPKc)(void *, const char *);
void new__ZN8CPPClass11CPPFunctionEPKc(void *hiddenThis, const char *arg0)
{
if (strcmp(arg0,"this is a short C function!") == 0)
old_ZN8CPPClass11CPPFuctionEPKc(hiddenThis,"this is a hijacked short C function form new__ZN8CPPClass11CPPFunctionEPKc!");
else old_ZN8CPPClass11CPPFuctionEPKc(hiddenThis,"this is a hijacked c++ function");
}
void (*old_CFunction)(const char *);
void new_CFunction(const char *arg0)
{
old_CFunction("this is a hijacked C function!"); // call the original CFunction
}
void (*old_ShortCFuntion)(const char *);
void new_ShortCFunction(const char *arg0)
{
old_ShortCFuntion("this is a hijacked short C function form new_ShortCFunction!"); // call the original ShortCFunction
}
%ctor
{
@autoreleasepool
{
MSImageRef image = MSGetImageByName("/Application/iostargetapphhly.app/iostargetapphhly");
void *__ZN8CPPClass11CPPFunctionEPKc = MSFindSymbol(image,"__ZN8CPPClass11CPPFunctionEPKc");
if (__ZN8CPPClass11CPPFunctionEPKc) NSLog(@"iosre : found cppfunction!");
MSHookFunction((void *)__ZN8CPPClass11CPPFunctionEPKc, (void *)&new__ZN8CPPClass11CPPFunctionEPKc, (void **)&old_ZN8CPPClass11CPPFuctionEPKc);
void *_CFunction = MSFindSymbol(image,"_CFunction");
if (_CFunction) NSLog(@"iosre:found CFunction");
MSHookFunction((void *)_CFunction, (void *)&new_CFunction, (void **)&old_CFunction);
void *_ShortCFunction = MSFindSymbol(image, "_ShortCFunction");
if (_ShortCFunction) NSLog(@"iosre: found ShortCFunction");
MSHookFunction((void *)_ShortCFunction, (void *)&new_ShortCFunction, (void **)&old_ShortCFuntion); // This MSHookFunction will fail because ShortCFunction is too short to be hooked
}
}demo2核心代码
//
// RootViewController.cpp
// ssd
//
// Created by esirnus on 16/5/23.
// Copyright © 2016年 esirnus. All rights reserved.
//
#import "RootViewController.h"
class CPPClass
{
public:
void CPPFunction(const char *);
};
void CPPClass::CPPFunction(const char *args0)
{
for (int i = 0; i < 66; i++) // 这个循环可以有足够长的时间来验证 MSHookFunction
{
u_int32_t randomNumber;
if (i % 3 == 0) randomNumber = arc4random_uniform(i);
NSProcessInfo *processInfo = [NSProcessInfo processInfo];
NSString *hostName = processInfo.hostName;
int pid = processInfo.processIdentifier;
NSString *globallyUniqueString = processInfo.globallyUniqueString;
NSString *processName = processInfo.processName;
NSArray *junks = @[hostName,globallyUniqueString,processName];
NSString *junk = @"";
for (int j = 0; j < pid; j++)
{
if (pid % 6 == 0) junk = junks[j % 3];
}
if (i % 68 == 1) NSLog(@"Junk: %@",junk);
}
NSLog(@"HHLY: CPPFunction:%s",args0);
}
extern "C" void CFunction(const char *args0)
{
for (int i = 0; i < 66; i++)
{
u_int32_t randomNumber;
if (i % 3 == 0) randomNumber = arc4random_uniform(i);
NSProcessInfo *processInfo = [NSProcessInfo processInfo];
NSString *hostName = processInfo.hostName;
int pid = processInfo.processIdentifier;
NSString *globallyUniqueString = processInfo.globallyUniqueString;
NSString *processName = processInfo.processName;
NSArray *junks = @[hostName,globallyUniqueString,processName];
NSString *junk = @"";
for (int j = 0; j < pid; j++)
{
if (pid % 6 == 0) junk = junks[j % 3];
}
if (i % 68 == 1) NSLog(@"Junk: %@",junk);
}
NSLog(@"HHLY: CFunction:%s",args0);
}
extern "C" void shortCFunction(const char *args0) // shortCFunction is too short to be hooked
{
CPPClass cppclass;
cppclass.CPPFunction(args0);
}
@implementation RootViewController
- (void)loadView {
self.view = [[[UIView alloc] initWithFrame:[[UIScreen mainScreen] applicationFrame]] autorelease];
// self.view = [[UIView alloc] initWithFrame:[UIScreen mainScreen].bounds];
self.view.backgroundColor = [UIColor redColor];
}
- (void)viewDidLoad
{
[super viewDidLoad];
CPPClass cppclass;
cppclass.CPPFunction("this is cpp function");
CFunction("this is c function");
shortCFunction("this is a short C function");
}
@endDemo说明
Demo—>iostargetapphhly目的:验证MSHookFunction对Function的指令总长度有限制
- 说明:针对MobileHooker的使用,CPPClass::CPPFunction,一个CFunction和一个ShortCFunction,作为hook的对象,CPPClass::CPPFunction和CFunction的目的是为了增加这两个函数的长度,使得针对它们俩的MSHookFunction生效,而ShortCFunction会因长度太短,导致针对它的MSHookFunction失效
Demo—>hhlydemoioshookertweak目的:间接hook短函数
对函数(ShortCFunction)直接hook失败了,而对短函数内部调用的其他函数hook是有效的,可通过判断参数,检测它的调用者是ShortCFunction,这样既可实现间接hook短函数
MSHookFunction的指令长度是有限制的,至少为8字节,如果要hook住那些段函数该怎么办?—->一种变通的方法是hook住短函数内部调用的其他函数—-短函数之所以短,是因为内部一般都是调用了其他函数,由其他函数来做出实际操作。因此,把长度符合要求的其他函数作为MSHookFunction的目标,然后在replacement里做一些逻辑判断,将它与函数关联上,再把对应的短函数的修改写在这里)
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
