Tweak原理DYLD_INSERT_LIBRARIES
- 查看dyld源码(版本519.2.2)
-
当DYLD_INSERT_LIBRARIES不为空, 则循环插入 -> 越狱的插件是通过DYLD_INSERT_LIBRARIES来进行注入的.
image.png
-
该代码前面,有个processIsRestricted(进程限制), 如果该值存在, 则删除Insert_Libraries里面的数据
image.png
- hasRestrictedSegment -> 为真就可以 -> 判断某个MachO是否是受限的
__RESTRICT防护
- 新建Xcode项目(antiTweak), 运行到手机
- 在touchesbegan里面 写上exit(0);
- 新建tweak项目(antitweakdemo), hook -> touchesbegan -> NSLog(@"破解成功");
- make报错改touchesbegan的参数类型为id
- 运行插件, 插件运行成功,成功hook
- 让__RESTRICT或__restrict起作用, 这样hasRestrictedSegment就会为真
- Xcode设置Build Settings -> other linker -> Other Linker Flags -> -Wl,-sectcreate,__RESTRICT,__restrict,/dev/null
- 项目设置完后,编译打开编译包,用MachOView查看 -> 发现section字段里面有__RESTRICT,__restrict
- 这种可以防止插件的插入(仅限低版本iOS10以下的系统),
- 因为dyld的代码升级, 这种方法失效了
- 并且这种只针对用DYLD_INSERT_LIBRARIES的插入的插件
修改二进制破解
针对以上的防护, 可以找到该字段, 修改二进制
- 将生成的MachO文件,用MachOView打开找到Load Commands -> 修改__RESTRICT对应的二进制(只用改一个就可以) -> 然后关掉重新打开 -> 发现Sections(__RESTRICT,__restrict)里面的值有变化了 -> 记得重签一下 -> 就破解成功了
放置__RESTRICT被修改,用自己的函数来验证
借助dyld源码里面扫码动态库的方法,来构建白名单
#import "ViewController.h"
#import <mach-o/loader.h>
#import <mach-o/dyld.h>
#if __LP64__
#define macho_header mach_header_64
#define LC_SEGMENT_COMMAND LC_SEGMENT_64
#define LC_SEGMENT_COMMAND_WRONG LC_SEGMENT
#define LC_ENCRYPT_COMMAND LC_ENCRYPTION_INFO
#define macho_segment_command segment_command_64
#define macho_section section_64
#else
#define macho_header mach_header
#define LC_SEGMENT_COMMAND LC_SEGMENT
#define LC_SEGMENT_COMMAND_WRONG LC_SEGMENT_64
#define LC_ENCRYPT_COMMAND LC_ENCRYPTION_INFO_64
#define macho_segment_command segment_command
#define macho_section section
#endif
@interface ViewController ()
@end
@implementation ViewController
+(void)load
{
const struct macho_header * header = _dyld_get_image_header(0);
if (hk_hasRestrictedSegment(header)) {
NSLog(@"防止Tweak注入!");
}else{
NSLog(@"被修改了!");
// exit(0);//相当于这是一个记号! -- 给服务器发请求!
}
}
- (void)viewDidLoad {
[super viewDidLoad];
// Do any additional setup after loading the view.
}
-(void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
//这里不能碰!
exit(0);
}
//参考dyldy源码里面的扫码方法
static bool hk_hasRestrictedSegment(const struct macho_header* mh)
{
const uint32_t cmd_count = mh->ncmds;
const struct load_command* const cmds = (struct load_command*)(((char*)mh)+sizeof(struct macho_header));
const struct load_command* cmd = cmds;
for (uint32_t i = 0; i < cmd_count; ++i) {
switch (cmd->cmd) {
case LC_SEGMENT_COMMAND:
{
const struct macho_segment_command* seg = (struct macho_segment_command*)cmd;
// printf("seg name: %s\n", seg->segname);
//dyld::log("seg name: %s\n", seg->segname);
if (strcmp(seg->segname, "__RESTRICT") == 0) {
const struct macho_section* const sectionsStart = (struct macho_section*)((char*)seg + sizeof(struct macho_segment_command));
const struct macho_section* const sectionsEnd = §ionsStart[seg->nsects];
for (const struct macho_section* sect=sectionsStart; sect < sectionsEnd; ++sect) {
if (strcmp(sect->sectname, "__restrict") == 0)
return true;
}
}
}
break;
}
cmd = (const struct load_command*)(((char*)cmd)+cmd->cmdsize);
}
return false;
}
@end
如果想要修改hk_hasRestrictedSegment, 需要精准定位hk_hasRestrictedSegment的函数地址,用InlineHook,因为上架的时候是去符号的,并且检测到修改时, 不要用exit(0);来立即杀掉进程, 因为这个标记太明显, 可以考考, 延迟杀掉或者上报服务器或者断网(当检测到被修改时,让所有请求都超时)(做一个感知比较弱的操作来迷惑进攻者)
白名单检测(误杀比较大,建议黑名单)
#import <mach-o/dyld.h>
#import <mach-o/loader.h>
const char * libStrs = ".app/whitelistDemo/Developer/usr/lib/libBacktraceRecording.dylib/Developer/usr/lib/libMainThreadChecker.dylib/Developer/Library/PrivateFrameworks/DTDDISupport.framework/libViewDebuggerSupport.dylib/System/Library/Frameworks/Foundation.framework/Foundation/usr/lib/libobjc.A.dylib/usr/lib/libSystem.B.dylib/System/Library/Frameworks/UIKit.framework/UIKit/System/Library/Frameworks/CoreFoundation.framework/CoreFoundation/usr/lib/libcompression.dylib";
@interface ViewController ()
@end
@implementation ViewController
+(void)load
{
int count = _dyld_image_count();//你进程依赖库的数量!
for (int i = 1; i < count; i++) {
const char * imageName = _dyld_get_image_name(i);
// printf("%s",imageName);
if (!strstr(libStrs, imageName)) {//如果这个库不在白名单中!
// printf("该动态库有危险!%s\n",imageName);//exit(0)
}
}
}
- 第一次用不越狱的手机来运行, 来拿到所有的库
- printf("%s",imageName); -> 打印要所有加载过的库的名字
- 打印出来的字符串,最开始的包含有沙盒路径,需要去掉,因为沙盒路径在不断的变化.
- 所以上面的检测方法, 是从for循环下标等于1开始的
- 这里测试的时候可以用越狱手机来运行测试, 可以监测到越狱的库,并打印出来对应的有危险的库名称
- 如果要做一个完整的白名单,需要跑不同的手机,拿到所有手机的常用库,所以比较难, 这里推荐构建一个黑名单来检测
- 这个名单, 建议放在服务器中,来适应不同的变化
- 检测到之后的逻辑,就是不建议立即杀掉, 需要做弱感知的操作来迷惑(包括延迟杀掉进程/上报服务器/断网/或者请求回来之后不做处理等弱感知操作)
ptrace防护
LLDB之所以可以附加进程 -> 就是因为debugserver发送指令来跟踪我们的进程 -> ptrace()
所以在这里有这么个想法, 不允许进程附加来阻止LLDB附加,来防止别人来调试我们的APP.
- antiDebug
- 引入MyPtraceHeader.h -> 有头文件就可以调用, 因为ptrace是系统的函数
- 看下面的详细调用以及解释
- 如果加上以下函数, 用Xcode运行APP就会闪退, 不用Xcode运行就能正常打开
- 所以要加上环境判断,如果是大环境线上的,就放开该函数来防止别人调试
//告诉系统,当前进程.拒绝被debugserver附加!
//arg1:ptrace要做到事情
//arg2:需要操作的进程
//arg4/arg3:取决于第一个参数!
ptrace(PT_DENY_ATTACH, 0, 0, 0);
//如果附加就闪退!!
ptrace防护的特点
- 附加不了进程
- Xcode重签闪退
- 正常使用正常
破解ptrace
- antiAntiDebug
- 下符号断点ptrace,可以断到该函数,如果是ptrace防护,可以断到
- bt -> 查看堆栈
- 正常用sbt() -> 恢复符号表来找到hook的位置
- 因为ptrace是一个系统函数 -> 需要间接符号表
- 用fishhook符号重绑定来破解
- 测试的时候记得修改支持的最低系统,高系统有可能运行出错
#import "InjectCode.h"
#import "fishhook.h"
#import "MyPtraceHeader.h"
@implementation InjectCode
//定义函数指针!
int (*ptrace_p)(int _request, pid_t _pid, caddr_t _addr, int _data);
+(void)load
{
//交换
struct rebinding ptraceBd;
ptraceBd.name ="ptrace";
ptraceBd.replacement = my_ptrace;
ptraceBd.replaced = (void *)&ptrace_p;
struct rebinding bds[] = {ptraceBd};
rebind_symbols(bds, 1);
}
//自定义
int my_ptrace (int _request, pid_t _pid, caddr_t _addr, int _data){
if (_request != PT_DENY_ATTACH) {//如果不是拒绝附加,保持调用!
return ptrace_p(_request,_pid,_addr,_data);
}
return 0;
}
网友评论