inlineHook--Dobby

Dobby

下载

从Git上clone下来，指令：git clone https://github.com/jmpews/Dobby.git --depth=1

Dobby是跨平台的，因为不是Xcode工程，需要借助cMake编译成Xcode工程，需要先安装CMake支持，到官网下载CMake.dmg，笔者下载的是cmake-3.20.2-macos-universal.dmg。

cMake配置环境变量:
export CMAKE=/Applications/CMake.app/Contents/bin
export PATH=$CMAKE:$PATH

编译

命令：
cd Dobby && mkdir build_for_ios_arm64 && cd build_for_ios_arm64

cmake .. -G Xcode \
-DCMAKE_TOOLCHAIN_FILE=cmake/ios.toolchain.cmake \
-DPLATFORM=OS64 -DARCHS="arm64" -DCMAKE_SYSTEM_PROCESSOR=arm64 \
-DENABLE_BITCODE=0 -DENABLE_ARC=0 -DENABLE_VISIBILITY=1 -DDEPLOYMENT_TARGET=9.3 \
-DDynamicBinaryInstrument=ON -DNearBranch=ON -DPlugin.SymbolResolver=ON -DPlugin.Darwin.HideLibrary=ON -DPlugin.Darwin.ObjectiveC=ON

编译支持Xcode打开的工程
通过上面的命令，如果成功的话，在build_for_ios_arm64会的到Dobby的工程，然后用Xcode打开，配置相应开发者账号，主要请求描述文件
Dobby工程
设置bitcode支持，然后command + b,就会得到一个Dobbyx.framework,就可以拿这个Dobbyx.framework去实现inlineHooK了
bitcode支持 得到Dobbyx.framework

使用

新建工程，将上面编译得到的Dobbyx.framework拉近工程，查看如果没有Copy file就添加。添加库文件，改Destination为Frameworks

添加Copy File

添加完成后，编译运行到手机，控制台树池如下就成功了。就可以开始测试验证一下能不能Hook了。

image.png

导入头文件#import <DobbyX/dobby.h>,编写HOOK代码：

int sum(int a, int b){
    return a + b;
}

- (void)viewDidLoad {
    [super viewDidLoad];
    
    // replace function
    // 参数1：需要hook函数地址
    // 参数2：新函数地址
    // 参数3：原来函数地址
//    int DobbyHook(void *address, void *replace_call, void **origin_call);

    DobbyHook(sum, psy_Sum, (void *)&orgin_sum);
}
// 原函数地址
static int (*orgin_sum)(int a, int b);
// 新函数
int psy_Sum(int a, int b){
    NSLog(@"Hook成功了，原函数结果：%d",orgin_sum(a,b));
    return a - b;
}

- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
    NSLog(@"sum结果是：%d",sum(20, 40));
}

验证是否HOOK成功，可以在控制台看到成功了。

image.png

探究

因为DobbyHook函数我们无法查看它的实现，我们看一下它是怎么实现HOOK的，在touchesBegan中下断点，查看一下汇编，然后单步进入sum函数，我看可以发现，其汇编并不想我们平时看到的那样会有：拉伸栈，保护x29,x30寄存器，然后栈平衡。最后这个x17寄存器又是什么地址呢？

image.png
经过静态分析，经过0x100511db0 <+0>: adrp x17,0 0x100511db4 <+4>: add x17, x17, #0xe4c这两句，我们得到x17,的地址是0x100511e4c，也可以在控制台直接打印查看，发现是我们自定义的psy_Sum：
psy_Sum函数地址 image.png

  Dobby是运行时实现HOOK的，我们可以调试一下，拿到sum的地址偏移，在编译时期看一下Macho文件，相应的地址偏移值，可发现是存在站拉伸和x29,x30保护的，DobbyHook后，运行时，汇编代码就改变了：其对目标函数的汇编代码进行修改，修改的是内存中MachO代码。

拓展

因为平时上架的应用都是脱符号strip的,所以大部分时候我们是通过地址实现inlineHook，拿到地址偏移值，在通过aslr + 偏移值，算出地址变量。

1、算地址偏移

拿到目标函数的地址 工程入口首地址

首先拿到目标函数sum的地址 0x100361d84，在拿到工程入口首地址0x000000010035c000, 目标函数偏移地址 = 0x100361d84 - 0x000000010035c000 = 0x5D84

2、拿到aslr

通过#import <mach-o/dyld.h>的_dyld_get_image_vmaddr_slide函数拿到aslr，因为拿到的ASLR是不包含pagezero（0x0000000100000000）的，所以地址偏移加上pagezero 等于 0x100005D84

3、调用DobbyHook完成HOOK

调用DobbyHook((aslr + 0x100005D84), psy_sum, &orgin_sum)就完成根据地址HOOK的目的