1.方法hook
先上代码
+ (void)load {
static dispatch_once_t onceToken;
dispatch_once(&onceToken, ^{
Class class = [self class];
SEL originalSelector = @selector(test);
SEL swizzledSelector = @selector(swizzle_test);
Method originalMethod = class_getInstanceMethod(class, originalSelector);
Method swizzledMethod = class_getInstanceMethod(class, swizzledSelector);
BOOL didAddMethod = class_addMethod(class, originalSelector, method_getImplementation(swizzledMethod), method_getTypeEncoding(swizzledMethod));
if (didAddMethod) {
class_replaceMethod(class,
swizzledSelector,
method_getImplementation(originalMethod),
method_getTypeEncoding(originalMethod));
} else {
method_exchangeImplementations(originalMethod, swizzledMethod);
}
});
}
- (void)test {
NSLog(@"test");
}
- (void)swizzle_test {
[self swizzle_test];
}
一个方法对应一个sel和imp,方法A的imp指针和方法B的imp指针进行了替换,并且在要替换的方法中调用了一下原来的方法实现。这个也就就是开发中最常用到的方法混淆。
2.函数hook
推荐使用https://github.com/facebook/fishhook 这个库来做函数hook,使用起来简便。内部实现复杂,很强大,源码基本上看不懂。大致原理还是要弄清楚的。例如有2个函数,函数A,函数B,想要将函数A的实现替换为函数B的实现。fishhook的实现大致分为2步,第一步找到目标函数的函数地址。第二步找到函数名,进行比对。匹配成功,替换目标函数地址为自己的函数地址。
struct rebinding {
const char *name; // 目标函数名
void *replacement; // 替换函数
void **replaced; // 二级目标函数指针
};
/*
struct rebinding rebindings[]:要重新绑定的结构体数组
rebindings_nel:要重新绑定的函数个数
*/
int rebind_symbols(struct rebinding rebindings[], size_t rebindings_nel);
int rebind_symbols_image(void *header,
intptr_t slide,
struct rebinding rebindings[],
size_t rebindings_nel);
上代码:
示例1:hook Foundation库的NSSetUncaughtExceptionHandler()函数(生效)
static NSUncaughtExceptionHandler *g_vaildUncaughtExceptionHandler;
static void (*ori_NSSetUncaughtExceptionHandler)( NSUncaughtExceptionHandler *_Nullable);
void swizzle_NSSetUncaughtExceptionHandler( NSUncaughtExceptionHandler * handler) {
g_vaildUncaughtExceptionHandler = NSGetUncaughtExceptionHandler();
if (g_vaildUncaughtExceptionHandler != NULL) {
NSLog(@"UncaughtExceptionHandler=%p",g_vaildUncaughtExceptionHandler);
}
ori_NSSetUncaughtExceptionHandler(handler);
g_vaildUncaughtExceptionHandler = NSGetUncaughtExceptionHandler();
}
static void xr_uncaught_exception_handler (NSException *exception) {
NSLog(@"XX");
}
int main(int argc, const char * argv[]) {
@autoreleasepool {
rebind_symbols((struct rebinding [1]){"NSSetUncaughtExceptionHandler",swizzle_NSSetUncaughtExceptionHandler,(void *)&ori_NSSetUncaughtExceptionHandler}, 1);
NSSetUncaughtExceptionHandler(&xr_uncaught_exception_handler);
[@[] objectAtIndex:1];
}
return 0;
}
示例2:hook自己的函数(不生效)
void test(void) {
NSLog(@"test");
}
void swizzle_test(void) {
NSLog(@"swizzle_test");
}
static void (*funcptr)(void);
int main(int argc, const char * argv[]) {
@autoreleasepool {
// 初始化一个 rebinding 结构体
struct rebinding test_rebinding = { "test", swizzle_test, (void *)&funcptr };
// 将结构体包装成数组,并传入数组的大小,对原符号 open 进行重绑定
rebind_symbols((struct rebinding[1]){test_rebinding}, 1);
// 调用原函数
test();
}
return 0;
}
函数的hook大致原理和方法hook类似。方法调用其实在运行时也就是转成一个个函数调用。根据方法名(SEL)去查找对应的方法实现的函数地址(IMP),然后执行该函数。只不过函数和方法的存储空间不一样,查找函数地址的实现方法也就不一样。但是原理是差不多的。
示例2中,发现hook不生效。而示例1中可以。很奇怪。原来fishhook只能hook其他镜像中函数,不可以hook当前镜像(库或可执行文件)中运行的函数。在main函数执行之前,dylb会通过load_images加载项目里所有的镜像。而Foundation库和项目本身分别是两个镜像。所以示例1中hook是Foundation库镜像的函数。而示例2hook的则是本身镜像中的函数。所以也就会不生效。
Snip20170425_14.png
网友评论