通过DYLD_INSERT_LIBRARIES实现基于动态库的hook功能

最新推荐文章于 2024-02-22 16:49:26 发布
最新推荐文章于 2024-02-22 16:49:26 发布
阅读量5.4k 收藏 2
点赞数
分类专栏: ios逆向
Wrox Press Mac OS X and iOS Internals, To the Apple’s Core (2013).pdf PAGE164也有描述:
支持动态库插入(Interposing)功能,是苹果加载器dyld在传统加载器的一个不同的地方。通过向宏DYLD_INSERT_LIBRARIES里写入动态库完整路径。就可以在执行文件加载时将该动态库插入。
dyld源代码摘列:
include/mach-o/dyld-interposing.h
#if !defined(_DYLD_INTERPOSING_H_)
#define _DYLD_INTERPOSING_H_
/* Example:
* static
* int
* my_open(const char* path, int flags, mode_t mode)
* {
* int value;
* // do stuff before open (including changing the arguments)
* value = open(path, flags, mode);
* // do stuff after open (including changing the return value(s))
* return value;
* }
* DYLD_INTERPOSE(my_open, open)
*/
#define DYLD_INTERPOSE(_replacment,_replacee) \
__attribute__((used)) static struct{ const void* replacment; const void* replacee; }
_interpose_##_replacee \
__attribute__ ((section (“__DATA,__interpose”))) = { (const void*)(unsigned
long)&_replacment, (const void*)(unsigned long)&_replacee };
#endif
Interposing就是说注入的动态库会创建一个叫做__interpose的数据段,里面放好原始函数的地址,以及替换函数的地址,dyld在加载时对跳转地址进行替换。
《Mac hook——DYLD_INSERT_LIBRARIES》
http://danqingdani.blog.163.com/blog/static/186094195201311105254605/
我测试了一下这种方法也可以用在iOS上
jerry@ubuntu:~/toolchain4/Projects/hook$ ~/toolchain4/pre/bin/arm-apple-darwin9-gcc -dynamiclib -o mysharedlib.dylib mysharedlib.c
jerry@ubuntu:~/toolchain4/Projects/hook$ ~/toolchain4/pre/bin/arm-apple-darwin9-gcc mysharedlib.dylib main.c -o main
jerry@ubuntu:~/toolchain4/Projects/hook$ ~/toolchain4/pre/bin/arm-apple-darwin9-gcc -flat_namespace -dynamiclib -o openhook.dylib openhook.c
JerrysPhone:/home/jerry root# ./main
hello,dani
JerrysPhone:/home/jerry root# export DYLD_FORCE_FLAT_NAMESPACE=1
JerrysPhone:/home/jerry root# export DYLD_INSERT_LIBRARIES=openhook.dylib
JerrysPhone:/home/jerry root# ./main
——–zz——hello,dani
对于系统动态库也同样适用:
############################################################################
#include <stdio.h>
#include <unistd.h>
#include <fcntl.h>
#include <stdlib.h>
#include <malloc/malloc.h> // for malloc_printf()
// This is the expected interpose structure
typedef struct interpose_s {
void *new_func;
void *orig_func;
} interpose_t;
// Our prototypes – requires since we are putting them in
// the interposing_functions, below
void *my_malloc(int size); // matches real malloc()
void my_free (void *); // matches real free()
static const interpose_t interposing_functions[] \
__attribute__ ((section(“__DATA, __interpose”))) = {
{ (void *)my_free, (void *)free },
{ (void *)my_malloc, (void *)malloc },
};
void *my_malloc (int size)
{
// In our function we have access to the real malloc() -// and since we don’t want to mess with the heap ourselves,
// just call it.
void *returned = malloc(size);
// call malloc_printf() because the real printf() calls malloc()
// internally – and would end up calling us, recursing ad infinitum
malloc_printf ( “+ %p %d\n”, returned, size);
return (returned);
}
void my_free (void *freed)
{
// Free – just print the address, then call the real free()
malloc_printf ( “- %p\n”, freed);
free(freed);
}
############################################################################
jerry@ubuntu:~/toolchain4/Projects/hook$ ~/toolchain4/pre/bin/arm-apple-darwin9-gcc -dynamiclib malloc_hook.c -o libMTrace.dyli -Wall
JerrysPhone:/home/jerry root# DYLD_INSERT_LIBRARIES=libMTrace.dylib ls
ls(1771) malloc: + 0x147e60 60
ls(1771) malloc: + 0×148450 4
ls(1771) malloc: + 0x1484a0 20
ls(1771) malloc: + 0x1484c0 20
ls(1771) malloc: + 0x1484f0 16
ls(1771) malloc: + 0×148510 20
ls(1771) malloc: – 0×148500
ls(1771) malloc: – 0x1484e0
ls(1771) malloc: – 0×148510
ls(1771) malloc: + 0×148500 16
ls(1771) malloc: + 0×148550 20
ls(1771) malloc: + 0×148570 16
ls(1771) malloc: – 0×148540
ls(1771) malloc: + 0×148590 20
其实Cydia的Substrate框架也是基于DYLD_INSERT_LIBRARIES来实现的。
对于SpringBoard下启动的GUI程序,环境变量里都存在参数DYLD_INSERT_LIBRARIES=/Library/MobileSubstrate/MobileSubstrate.dylib
这个动态库实际是指向/Library/Frameworks/CydiaSubstrate.framework/Libraries/SubstrateBootstrap.dylib
这里写一个重定向stdio代码
############################################################################
#include <stdio.h>
#include <unistd.h>
#include <fcntl.h>
#include <stdlib.h>
#include <sys/stat.h>
int save_fd;
void ExampleHookInitialize(void)
{
int fd;
fflush(stdout);
setvbuf(stdout,NULL,_IONBF,0);
save_fd = dup(STDOUT_FILENO);
fd = open(“/home/jerry/log.txt”,(O_RDWR | O_CREAT), 0644);
dup2(fd,STDOUT_FILENO);
printf(“Here is dll init, redirect stdout to logfile\n”);
return;
}
############################################################################
编译命令:这里的-init参数指定了动态库入口
~/toolchain4/pre/bin/arm-apple-darwin9-gcc -init _ExampleHookInitialize -dynamiclib -o testlib.dylib testlib.c
使用下面的命令测试:
DYLD_INSERT_LIBRARIES=testlib.dylib ls
发现ls输出的信息都被写入了/home/jerry/log.txt文件中。
如果用这个动态库替换掉上面说的SubstrateBootstrap.dylib
这样启动GUI程序后可以看到log.txt文件生成,但是除了”Here is dll init, redirect stdout to logfile\n”这句之后在无其他内容。后来我在__interpose里添加了对fopen的hook。但是效果也不好。对 SubstrateBootstrap.dylib的替换会对后启动的进程都造成影响,这样就会不好控制。
因为通过ssh登陆,控制台对应/dev/ttysxxx这样的节点:
0  1035     1   0   0:00.00 ??         0:00.40 sshd: root@ttys002
这样我可以
freopen(“/dev/ttys002″, “w”, stdout);
这样信息就直接送到终端软件上了。
hook这里要解决的问题是:

如何在toolchain4编译环境上使用Substrate框架,产生针对某个进程的hook动态库。 


注:

先感谢楼主。不过更正一下,interpose section 里只有replacement 的地址,被替换的函数地址都是填0的。被替换函数的具体信息是在LC_DYLD_INFO_ONLY load command里,在dyld动态链接的时候被dyld解释执行 

双刃剑客
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS动态库的注入原理:基于修改Mach-O 的Load Command、利用环境变量DYLD_INSERT_LIBRARIES、在挂载的进程上创建一个挂起的线程,然后在这个线程里申请一片用。
iOS逆向与安全
08-12 1万+
动态库的注入原理: 一个是基于修改Mach-O 的Load Commands,即通过修改可执行文件的Load Commands来实现的. 在Load Commands中增加一个LC_LOAD_DYLIB , 写入dylib路径。Usage: insert_dylib dylib_path binary_path [new_binary_path] 一个是利用环境变量DYLD_INSERT_LIBRARIES,例如使用它进行dumpdecrypted(补充:Clutch 通过posix_spawnp生成.
DYLD_INSERT_LIBRARIES的那些事
weixin_33881140的博客
04-25 1369
上次分享了使用 DYLD_INSERT_LIBRARIES 环境变量,可以不修改App的任何字节,实现注入dyld的过程。文章地址Cornerstone 4.0 破解教程 0x00 变数 最近试着用同样的方案破解 Reveal 14, 但是只要设置环境变量DYLD_INSERT_LIBRARIES就会报以下错 dyld: warning: could not load inserted libra...
ios环境变量 Hook getenv(DYLD_INSERT_LIBRARIES)
tslx1020的博客
12-09 674
【代码】ios环境变量 Hook getenv(DYLD_INSERT_LIBRARIES)
iOS中几种hook代码的方法
最新发布
老猿的自留地
02-22 1186
iOS中Object-C代码的主要hook方式。其原理是利用OC的Runtime特性,动态改变SEL(方法编号)和IMP(方法实现)的对应关系,达到OC方法调用流程改变的目的。比如, 我们可以通过hook字典NSMutableDictionary的 setObject:forKey和removeObjectForKey:方法,帮助其实现空安全。2.dobby是一个开源的第三方框架,主要用于C、C++等静态代码的hook。其原理是,直接修改目标函数的头部代码(修改的是内存中MachO的代码段。
切换XCode版本逆向DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib注入解密时报错dyld: Symbol not found: ___chkstk_darwin
zhaosuningzsn的博客
04-27 1839
iOS逆向DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib注入解密时报错 dyld: Symbol not found: ___chkstk_darwin Referenced from: dumpdecrypted.dylib (which was built for iOS 14.4) Expected in: /usr/lib/libSystem.B.dylib in dumpdecrypted.dylib Abort trap: 6 ...
iOS逆向之insert-dylib代码及可执行文件
08-31
Command line utility for inserting a dylib load command into a Mach-O binary. Does the following (to each arch if the binary is fat): Adds a LC_LOAD_DYLIB load command to the end of the load commands Increments the mach header's ncmds and adjusts its sizeofcmds (Removes code signature if present)
dyld-shared-cache-big-sur:对Apple的dyld项目的修改,以在从macOS Big Sur中提取dyld_shared_cache时修复Objective-C信息,以帮助Hopper生成可读的伪代码
04-22
对Apple的dyld项目的修改,用于在从macOS Big Sur中提取dyld_shared_cache时修复Objective-C信息,以帮助Hopper生成可读的伪代码。 注意:macOS Big Sur beta 9更改了dyld_shared_cache的格式。 当前,该项目仅支持...
Hook_Mac_QQ:挂钩Mac QQ客户端
06-10
compile this projectcopy QQPlugin.dylib to pathuse DYLD_INSERT_LIBRARIES=/path/QQPlugin.dylib /Applications/QQ.app/Contents/MacOS/QQ & in Terminal to start your Mac QQ ClientPS: test in Mac QQ Client ...
dyld_read:dyld加载流程分析
02-15
通过对 dyld_read 的深入理解和优化,开发者能够更好地掌握应用程序的启动性能,为用户提供更快、更流畅的体验。在 macOS 和 iOS 开发中,理解 dyld 的加载流程及其相关函数,如 dyld_read,是提升应用性能的关键...
dyld_soucecode_analysis:dyld原始码分析,dyld加载一个程序的大致过程-源码程序
03-24
dyld_soucecode_analysis-master这个压缩包中,你可能会找到dyld的源码文件、相关的分析文档和示例。通过阅读源码,你可以更深入地理解dyld的工作原理,学习如何解析Mach-O文件,如何实现自己的动态链接器,以及...
classdump-dyld:类转储任何Mach-o文件,而无需从dyld_shared_cache中提取文件
04-22
类转储重大更新从2016年2月5日起,我添加了cycript集成。...这在classdump-dyld无法注入和转储应用程序的情况下非常有用。 (这使weak_classdump项目已过时) cycript中的典型用法是: #cycript -p SpringBoard@im
dyld Interposing
lithermirror的专栏
03-02 855
从 Mac OS X 10.4 开始,dyld 就开始支持库函数的注入了。例如,如果想注入 C 函数库里的 open(),那么首先要实现替代函数的动态共享库,并且在这个库的 __DATA (数据段)里包含__interpose字段。__interpose字段包含原始的函数名和新的函数名。然后利用 DYLD_INSERT_ LIBRARIES 变量使用这个库,就可以打开注入功能了。下面这
OS X动态库实现函数拦截功能
KT的iOS开发小站
04-26 2323
OS X系统中,仅有很少的进程只需要内核加载器就可以完成,几乎所有的程序都是动态连接的,通常采用/usr/lib/dyld作为动态链接器。 作为一个私有的加载器,dyld提供了一些独有的特性,如函数拦截等。DYLD_INTERPOSE宏定义允许一个库将其函数实现替换为另一个函数实现。以下代码取自dyld的源代码,演示了这个功能。#if !defined(_DYLD_INTERPOSING_H_)
深入理解Symbol
Leo的专栏
11-30 7106
这里是引用 前言 符号(Symbol)是日常开发中经常接触的一个概念,虽然日常开发中直接应用的场景比较少,但符号编译期和运行时都扮演了重要的角色。 符号是什么 维基百科的定义 A symbol in computer programming is a primitive data type whose instances have a unique human-readable form. ...
dyld源码分析-动态加载main的流程和load函数执行的流程
fishmai的专栏
05-15 5868
0x00 摘要 在OS X或者IOS上运行一个程序时,dyld除了需要加载主要的执行程序之外,还需要加载需要的库文件以及库文件依赖的库文件。 1 2 // instantiate ImageLoader for main executable sMainExecutable = instantiateFromLoadedImage(mainExecutabl
iOS Hacker 动态库 dylib 注入
十年磨一剑,霜刃未曾试!
07-20 1万+
iOS Hacker 动态库 dylib 注入很多情况下我们希望自己写的代码能够在其他应用中运行,如果代码简单的话,可以写 Tweak 或者使用 Cycript。但如果代码多的话,那最好是写一个动态库,然后把文件注入到应用中得到代码的执行。一般有两种方法,本文简单的讲解一下。一、编写 dylib​ 首先得先写一个测试用的动态库。Xcode 新建 iOS 工程的时候,选择 Framework 工
iOS安全攻防(十九):基于脚本实现动态库注入
热门推荐
念茜的博客
02-21 2万+
基于脚本实现动态库注入MobileSubstrate可以帮助我们加载自己的动态库,于是开发者们谨慎的采取了对MobileSubstrate的检索和防御措施。那么,除了依靠MobileSubstrate帮忙注入dylib,还有别的攻击入口吗?理理思路,条件、目的很明确:1)必须在应用程序启动之前,把dylib的环境变量配置好2)dylib的位置必须能被应用程序放问到3)最后再启动应用程序啊哈,原汁原
dumpdecrypted对系统ios9.3.2以上的版本砸壳失败
知其所以然
09-03 5197
dumpdecrypted砸壳报错:kill9 的解决方案
使用_dyld_get_image_vmaddr_slide获取某个动态库的加载地址
07-16
在 iOS 中,`_dyld_get_image_vmaddr_slide` 函数法直接获取某个特定动态库的加载地址,它只能用来获取当前进程中加载的动态库的偏移量(Slide)。然而,我们可以结合其他方法来计算出特定动态库的加载地址。 以下是一种获取特定动态库加载地址的方法: ```objective-c #include <mach-o/dyld.h> uintptr_t getLibraryLoadAddress(const char *libraryName) { uint32_t count = _dyld_image_count(); for (uint32_t i = 0; i < count; i++) { const char *imageName = _dyld_get_image_name(i); if (strstr(imageName, libraryName) != NULL) { uintptr_t slide = _dyld_get_image_vmaddr_slide(i); uintptr_t loadAddress = _dyld_get_image_header(i)->vmaddr + slide; return loadAddress; } } return 0; } ``` 在上述代码中,我们定义了一个名为 `getLibraryLoadAddress` 的函数,它接受一个参数 `libraryName` 表示要获取加载地址的动态库的名称。 在函数内部,我们使用 `_dyld_image_count` 函数获取当前进程中加载的动态库数量。然后使用 `_dyld_get_image_name` 函数获取每个动态库的名称,与目标动态库名称进行匹配。 一旦找到目标动态库,我们使用 `_dyld_get_image_vmaddr_slide` 函数获取偏移量(Slide),并使用 `_dyld_get_image_header` 函数获取动态库的头部信息。通过将偏移量与动态库的虚拟内存基地址相加,即可得到目标动态库的加载地址。 如果成功获取到目标动态库的加载地址,则该地址将被返回。否则,返回 0。 使用示例: ```objective-c const char *libraryName = "libYourLibrary.dylib"; uintptr_t loadAddress = getLibraryLoadAddress(libraryName); if (loadAddress != 0) { printf("The load address of %s is 0x%lx\n", libraryName, loadAddress); } else { printf("Failed to get the load address of %s\n", libraryName); } ``` 请确保提供正确的动态库名称,并链接 `mach-o/dyld.h` 头文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值