HOOK概述

HOOK中文译为“挂钩”或“钩子”。在iOS逆向中是指改变程序运行流程的一种技术。通过HOOK技术可以让别人的程序执行自己所写的代码。在逆向中经常使用这种技术。所以在学习过程中，我们重点要了解其原理，这样能够对恶意代码进行有效的防护。

HOOK示意图.jpg

iOS中HOOK技术的几种方式

• Method Swizzle：主要用于OC方法，利用OC的Runtime特性，动态改变SEL（方法编号）和IMP（方法实现）的对应关系，达到OC方法调用流程改变的目的，这种技术在之前的11 - 代码注入使用过了。

• fishhook：Facebook提供的一个动态修改链接MachO文件的工具。利用MachO文件加载原理，通过修改懒加载和非懒加载两个表的指针，达到对C函数进行HOOK的目的，官方地址

• Cydia Substrate：原名为Mobile Substrate，它的主要作用是针对OC方法、C函数以及函数地址进行HOOK操作。当然它并不是仅仅针对iOS而设计的，安卓一样可以使用，官方地址

Method Swizzle

利用OC的Runtime特性，动态改变SEL（方法编号）和IMP（方法实现）的对应关系，达到OC方法调用流程改变的目的。主要用于OC方法。

在OC中，SEL和IMP之间的关系，就像是一本书的目录中的标题与页码的关系。

16214177466743.jpg

SEL是方法编号，可以类比成目录中的标题。
IMP是方法实现的地址，可以类比成目录中的页码。

Method Swizzle技术就是通过runtime提供的函数修改SEL和IMP的对应关系

16214179363700.jpg

Cydia Substrate

Cydia Substrate主要由3部分组成：

1. MobileHooker
2. MobileLoader
3. safe mode

MobileHooker

它定义一系列的宏和函数，底层调用objc的runtime和fishhook来替换系统或者目标应用的函数。

它有两个重要的函数

• MSHookMessageEx：主要作用于Objective-C方法

void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP result) 

• MSHookFunction：主要作用于C和C++函数，Logos语法的%hook就是对以下函数做了一层封装

void MSHookFunction(void function, void* replacement, void** p_original)

MobileLoader

MobileLoader用于加载第三方dylib到运行的应用程序中。启动时MobileLoader会根据规则把指定目录的第三方的动态库加载进去，第三方的动态库也就是我们写的破解程序。

safe mode

破解程序本质是dylib，寄生在别人进程里。 系统进程一旦出错，可能导致整个进程崩溃，崩溃后就会造成iOS瘫痪。所以Cydia Substrate引入了安全模式，在安全模式下所有基于Cydia Substratede的三方dylib都会被禁用，便于查错与修复。

fishhook

关键函数

//用来重新绑定符号表的函数，使用它来交换
FISHHOOK_VISIBILITY
int rebind_symbols(struct rebinding rebindings[], size_t rebindings_nel);

参数说明：

• rebindings：存放rebinding结构体的数组，可以同时交换多个函数。rebinding结构体如下：

struct rebinding {
 const char *name;  //待HOOK函数的名称
 void *replacement; //新的函数地址
 void **replaced;   //原函数地址
};

• rebindings_nel：rebindings数组的长度。

HOOK系统函数的流程

外部函数调用原理

当App启动时，dyld读取主程序MachO文件，会加载共享缓存中的系统库，将程序中用到的系统函数的真实地址替换MachO中的占位地址。

对于MachO中的代码段(__TEXT)来说，它是只读的。在运行时，无法直接修改外部函数的真实地址。为了解决上述情况，苹果采用PIC技术（位置独立代码），当调用外部函数时，在编译阶段，会在MachO的可读可写的数据段，定义符号，占8字节，用来存放外部函数的地址。但在编译阶段暂存的是占位地址。在运行时，dyld将符号绑定真实函数地址。对于代码段来说，并没有任何改变。

故此，外部调用函数，并不是直接地址访问，而是通过符号找到地址。这跟OC中SEL与IMP的对应关系非常相似。这种机制，可以让开发者动态HOOK外部调用函数，在OC中动态改变SEL与IMP的对应关系，对于外部调用函数，动态改变的是符号和地址的对应关系，上述操作称为：符号表重绑定。

NSLog调用流程

1、应用启动时，确定ASLR，通过lldb中的image list可以查看当前ASLR

16209769185501.jpg

其中0x0000000100d54000包含了程序的__PAGEZERO（0x100000000），因此，ASLR为：0x100d54000 - 0x100000000 = 0xd54000

2、在NSLog前通过断点停住，通过汇编可以看到，当前断点处的地址为：0x100d5a2a8
NSLog符号在Mach-O中的偏移为：0x100d5a2a8 - 0x100d54000 = 0x62A8

3、查看并执行0x100d5a2a8地址中的内容

• 通过地址直接打印内容

  
  16209724398621.jpg

• Mach-O查看内容

  
  16209634703042.jpg

• 使用dis -s打印

  
  16209724739354.jpg

0x62A8的内容位于__TEXT段的__stubs中，__stubs称为符号桩，它的本质就是一段代码，用于跳转到懒加载符号表中，找到对应符号的值。这里0x62A8就是NSLog的桩，代码内容如下：

(lldb) dis -s 0x100d5a2a8
testDyld`NSLog:
    0x100d5a2a8 <+0>: nop    
    0x100d5a2ac <+4>: ldr    x16, #0x5d54              ; (void *)0x0000000100d5a3d4
    0x100d5a2b0 <+8>: br     x16

如何通过桩跳转至懒加载符号表呢？接下来我们从地址开始分析。
【1】当前程序运行的地址为：0x100d5a2ac
【2】将0x100d5a2ac+0x5d54偏移量，得到0x0000000100d60000
【3】为了清楚0x0000000100d60000这个值对应于Mach-O哪个偏移值，需要将0x0000000100d60000 - ASLR - 内存虚拟地址，即0x0000000100d60000 - 0x0000000000d54000 - 0x0000000100000000 = 0xC000
【4】查看Mach-O中0xC000偏移量的内容，即懒加载符号表中NSLog符号指针

16209818713591.jpg

【5】取出懒加载符号表中，NSLog符号对应的指针：0x00000001000063D4，在内存中，0x00000001000063D4 + ASLR = 0x00000001000063D4 + 0x0000000000d54000 = 0x0000000100d5a3d4

【6】跳转至0x0000000100d5a3d4地址处执行。0x0000000100d5a3d4 - ASLR - 虚拟地址 = 0x0000000100d5a3d4 - 0x0000000000d54000 - 0x0000000100000000 = 0x63D4，在MachO中，找到偏移地址0x63D4，指向__TEXT,__stubs_helper中的代码，查看Mach-O中0x63D4偏移量的内容

16214786011481.jpg

【7】从Mach-O中可以看到，使用b指令跳转至偏移量为0x63BC处。再使用br指令跳转至偏移量为0x8008处。

【8】查看Mach-O中0x8008偏移量的内容。

16214788786615.jpg

这里是指向dyld_stub_binder函数，该函数是用于符号绑定的。

【9】dyld_stub_binder也是外部函数，它的地址是如何找到的？从Mach-O中，可以看到dyld_stub_binder函数的偏移地址为0x8008，但其值全是0，说明在Mach-O中没有值，而dyld_stub_binder函数的真实地址其实是dyld加载主程序时，会绑定非懒加载符号和弱引用符号，所以dyld_stub_binder函数的值，在程序启动时被dyld直接绑定。

16214791417013.jpg

【10】至此，首次调用外部符号时，已经完成NSLog的符号绑定，从共享缓存中将NSLog的实际地址取出来，并填充至0x100d5a2a8汇编处。填充完成之后如下图所示：

16209736407336.jpg

【11】当第二次调用NSLog时，此时，符号表中存储了NSLog的真实地址，因此可以直接跳转至NSLog的函数处执行。

总结

• HOOK
  定义：改变程序执行流程的一种技术。

• HOOK常用的三种方式

  • Method Swizzle，利用OC运行时特性，修改SEL和IMP的对应关系。
  • fishHook，HOOK外部符号常用的方式，修改变符号和地址的对应关系。
  • Cydia Substrate，主要作用是针对OC方法、C函数以及函数地址进行HOOK操作

• 外部符号调用流程，以NSLog为例

  • 【第一步】通过代码段__TEXT中__stubs（桩）中addr确定桩的地址。
  • 【第二步】将桩的内存地址+ASLR获取桩的内容，桩内容本质就是一段代码，用于跳转至懒加载符号表，找到对应符号的函数实现地址。
  • 【第三步】当首次调用外部符号时，符号对应的函数地址是一个占位地址，指向__stubs_helper中的代码，会通过调用dyld_stub_binder函数，执行符号绑定。
  • 【第四步】当再次加载NSLog时，由于已经完成符号绑定，因此，符号对应的函数地址不再是一个占位地址，而是NSLog函数的真实地址。