欢迎阅读iOS逆向系列（按序阅读食用效果更加）

• iOS逆向 RSA理论
• iOS逆向 hash理论
• iOS逆向 应用重签名+微信重签名实战
• iOS逆向 Shell脚本+脚本重签名
• iOS逆向 代码注入+Hook
• iOS逆向 MachO文件
• iOS逆向 dyld流程
• iOS逆向 HOOK原理之fishhook

写在前面

之前在iOS逆向 代码注入+Hook篇章讲过Method Swizzling，这是一种基于Runtime可以动态改变方法实现的HOOK方案，但Method Swizzling有自己的局限性，本文就将系统的介绍一下何谓HOOK和fishhook

一、HOOK概述

1.HOOK定义

HOOK翻译成中文为“挂钩”、“钩子”，在iOS逆向领域中指的是改变程序运行流程的一种技术，通过HOOK可以让别人的程序执行自己所写的代码

下列示意图就是对HOOK功能的形象诠释：

• 注入恶意代码让用户误以为打卡成功，实际并没有完成打卡（只修改中间流程）
• 注入恶意代码让用户误以为网络出问题（开辟新的流程分支）

  

2.HOOK方式

在iOS中HOOK技术有以下几种：

• Method Swizzling：利用OC的Runtime特性，动态改变SEL（方法编号）和IMP（方法实现）的对应关系，达到OC方法调用流程改变的目的
• fishhook：这是FaceBook提供的一个动态修改链接machO文件的工具，利用machO文件加载原理，通过修改懒加载和非懒加载两个表的指针达到C函数HOOK的目的
• Cydia Substrate：原名为Mobile Substrate，它的主要作用是针对OC方法、C函数以及函数地址进行HOOK操作，且安卓也能使用

之前已经介绍过Method Swizzling了，OC的Runtime特性让它有了“黑魔法”之称，同时也是局限性所在

三者的区别如下：

• Method Swizzling只适用于动态的OC方法（运行时确定函数实现地址）
• fishhook适用于静态的C方法（编译时确定函数实现地址）
• Cydia Substrate是一种强大的框架，只需要通过Logos语言（类似于正向开发）就可以进行Hook，适用于OC方法、C函数以及函数地址

二、fishhook

1.fishhook的使用

在github上找到fishhook的代码，将fishhook.c、fishhook.h拖入项目中

整个fishhook就开放了一个结构体rebinding和两个函数

• rebind_symbolshook项目中的所有函数名称
• rebind_symbols_image只hook某一个资源库的函数名称

  

使用fishhook的步骤：

1. 导入头文件

#import "fishhook.h"
复制代码

2. 指定交换函数——rebinding结构体对象

struct rebinding nslog;
nslog.name = "NSLog";
nslog.replacement = fxNSlog;
nslog.replaced = (void *)&sys_nslog;
复制代码

3. 调用rebind_symbols重新绑定符号

struct rebinding rebs[] = {nslog};
rebind_symbols(rebs, 1);
复制代码

完整代码如下：

#import "fishhook.h"

@interface ViewController ()

@end

@implementation ViewController

- (void)viewDidLoad {
    [super viewDidLoad];
    
    struct rebinding nslog;
    nslog.name = "NSLog";
    nslog.replacement = fxNSlog;
    nslog.replaced = (void *)&sys_nslog;
    
    struct rebinding rebs[] = {nslog};
    rebind_symbols(rebs, 1);
}

static void(*sys_nslog)(NSString *format, ...);

void fxNSlog(NSString *format, ...) {
    format = [format stringByAppendingFormat:@"已hook"];
    sys_nslog(format);
}

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event {
    NSLog(@"点击屏幕");
}

@end
复制代码

• 定义rebinding来指定交换的函数
  • name中指定Hook的函数名称（C字符串）
  • replacement中指定新的函数地址
    • c函数的名称就是函数指针——静态语言编译时就已确定
  • replaced中存放原始函数地址的指针
    • 由于NSLog在Foundation库中，在每个手机的内存地址都不一样，不能通过CMD+B就能确定其内存地址
    • 这里fishhook在运行的时刻会动态获取到NSLog的地址，所以这里定义新的函数指针保存函数实现
    • 使用&修改变量内部的值
    • 使用(void *)进行类型转换
• rebind_symbols中需要两个参数
  • 参数一是rebinding数组
  • 参数二是rebinding数组的长度

2.fishhook的局限性

前面介绍了fishhook是用来hook C函数的，但在此前提下还是有它的局限性——无法交换自定义函数

• C函数是静态的，在编译时就已经确定了函数地址（函数实现地址在MachO本地文件中）
• 系统C函数则是存在着动态的部分

那么为什么系统级别的C函数就可以呢？这就要说到PIC技术了

3.PIC技术

PIC技术（Position-independent code），又叫做位置独立代码，是为了系统C函数在编译时期能够确认一个地址的一种技术手段

• 编译时在MachO文件中预留出一段空间——符号表（DATA段中）
• dyld把应用加载到内存中时（此时在Load Commands中会依赖Foundation），在符号表中找到了NSLog函数，就会进行链接绑定——将Foundation中NSLog的真实地址赋值到DATA段的NSLog符号上

而自定义的C函数不会生成符号表，直接就是一个函数地址，所以fishhook的局限性就在于只有符号表内的符号可以hook（重新绑定符号）

4.LLDB调试

因为NSLog是个懒加载的符号，所以加了行代言代码

1. 通过image list打印所有镜像资源——第一个就是进程的内存首地址

   

2. 获取到MachO中NSLog的内存偏移量

   

   使用计算器，内存首地址+内存偏移量=符号地址
3. 通过memory read 内存地址读出符号地址

   

   由于iOS是小端模式，内存地址8位倒着读
4. 通过dis -s 内存地址查看汇编

   

   此时的符号并没有绑定，因为还没有使用
5. 过掉断点（使用NSLog）再进行查看

   

   此时的NSLog符号已经被绑定
6. 再跳到下一步（重绑定符号）进行查看

   

   此时的NSLog符号已经被重绑定了

5.fishhook原理探索

在fishhook的开源网站上有这么一张工作原理图

• prepend_rebindings将rebindings数组不断添加到_rebindings_head链表的头部成为新的头节点
• 判断链表_rebindings_head->next是否为空来判断是否是第一次调用
  • 若首次调用则使用_dyld_register_func_for_add_image进行回调监听
  • 若不是则遍历调用_rebind_symbols_for_image
• 这个函数有个Int返回值
  • 如果重定向成功则返回 0
  • 如果失败则返回 -1

接下来是_rebind_symbols_for_image对MachO文件的操作：按照规则计算各种表的地址和指针在表中的偏移量

最后一步，perform_rebinding_with_section根据算好的符号表地址和偏移量，找到在符号表中用于指向共享库目标函数的指针，将该指针的值（即目标函数的地址）赋值给rebinding的*replaced，最后修改该指针的值为replacement（新的函数地址）

6.fishhook原理的实践——在MachO中查找函数实现

接下来就根据字符串对应在符号表中的指针，找到其在共享库的函数实现的

1. NSLog在Lazy Symbol Pointers中位列第一个，下标为0

   

2. Dynamic System Table->Indirect Symbols中的value与Lazy Symbol Pointers一一对应，此表中的Data(0xA9=169)即为另一个表的下标

   

3. 拿着这个下标在Symbol Table->Symbols中找到NSLog，此时的Data对应String Table Index中的偏移值(0x0000009B)

   

4. 最后在String Table中计算表头(0x000061EC)+偏移量(0x0000009B)，找到NSLog的函数地址

   

7.fishhook应用场景

既然fishhook可以交换C函数，那么就可以交换method_exchangeImplementations等函数来防止HOOK，项目本身如果需要使用method_exchangeImplementations则可以使用新的函数地址来进行操作

• 攻：可以插入新的动态库提前进行HOOK方法，此时fishhook的防护就不起作用了
• 防：也可以提前插入动态库进行fishhook交换（逆向注入的动态库一般排在原项目的动态库之后），此时fishhook代码先于hook代码，所以还是fishhook还是生效的
• 攻：釜底抽薪——直接找到fishhook的函数地址进行修改，再次运行
• ...

写在后面

在安全攻防领域中，hook原理起到至关重要的作用，而使用fishhook做防护虽然意义不大，但是了解fishhook原理对后续的学习还是挺有帮助的