一、Dobby
GitHub:Dobby
按文档生成一个Xcode工程。获取DobbyX.framework。一个跨平台的用于Hook静态语言的框架。
Copy cd Dobby && mkdir build_for_ios_arm64 && cd build_for_ios_arm64
cmake .. -G Xcode \
-DCMAKE_TOOLCHAIN_FILE=cmake/ios.toolchain.cmake \
-DPLATFORM=OS64 -DARCHS="arm64" -DCMAKE_SYSTEM_PROCESSOR=arm64 \
-DENABLE_BITCODE=0 -DENABLE_ARC=0 -DENABLE_VISIBILITY=1 -DDEPLOYMENT_TARGET=9.3 \
-DDynamicBinaryInstrument=ON -DNearBranch=ON -DPlugin.SymbolResolver=ON -DPlugin.Darwin.HideLibrary=ON -DPlugin.Darwin.ObjectiveC=ON 二、将framework集成进工程
将上面获取到的DobbyX.framework,拖进项目。
Build Phases 中添加 Copy file,添加DobbyX.framework,类型为framework
三、使用
3.1 int DobbyHook(void *address, void *replace_call, void **origin_call);
由于静态语言没有符号,直接通过地址来进行hook
3.2 试验一下
下面就是简单的使用方式
Copy #import "ViewController.h"
#import "DobbyX.framework/Headers/dobby.h"
@interface ViewController ()
@end
@implementation ViewController
int test_sum(int a, int b) {
return a + b;
}
- (void)viewDidLoad {
[super viewDidLoad];
self.view.backgroundColor = [UIColor redColor];
DobbyHook(test_sum, new_sum, (void *)&old_sum_p);
}
/// 原始函数指针
static int (*old_sum_p)(int a, int b);
// 新函数地址
int new_sum(int a, int b) {
int right = old_sum_p(a, b);
NSLog(@"Hook了!正确的结果是:%d",right);
return right + 1;
}
- (void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event {
NSLog(@"结果:%d",test_sum(1, 1));
}
@end 控制台输出:
Copy [*] ================================
[*] Dobby
[*] ================================
[*] dobby in debug log mode, disable with cmake flag "-DDOBBY_DEBUG=OFF"
[*] [DobbyHook] Initialize at 0x104d31d90
[*] [trampoline] Generate trampoline buffer 0x104d31d90 -> 0x104d31e74
[*] [insn relocate] origin 0x104d31d90 - 12
[*] [insn relocate] relocated 0x10d2c0000 - 32
[*] [intercept routing] Active patch 0x104d31d90
2021-05-19 08:33:00.081796+0800 DobbyDemo[4207:1785806] Hook了!正确的结果是:2
2021-05-19 08:33:00.081972+0800 DobbyDemo[4207:1785806] 结果:3 四、流程分析
4.1 汇编分析 test_sum
a. 原始函数的汇编
Copy DobbyDemo`test_sum:
0x104a71dc4 <+0>: sub sp, sp, #0x10 ; =0x10
0x104a71dc8 <+4>: str w0, [sp, #0xc]
0x104a71dcc <+8>: str w1, [sp, #0x8]
-> 0x104a71dd0 <+12>: ldr w8, [sp, #0xc]
0x104a71dd4 <+16>: ldr w9, [sp, #0x8]
0x104a71dd8 <+20>: add w0, w8, w9
0x104a71ddc <+24>: add sp, sp, #0x10 ; =0x10
0x104a71de0 <+28>: ret b. Hook后的汇编
Copy DobbyDemo`test_sum:
0x104c7dd90 <+0>: adrp x17, 0
0x104c7dd94 <+4>: add x17, x17, #0xe74 ; =0xe74
0x104c7dd98 <+8>: br x17
-> 0x104c7dd9c <+12>: ldr w8, [sp, #0xc]
0x104c7dda0 <+16>: ldr w9, [sp, #0x8]
0x104c7dda4 <+20>: add w0, w8, w9
0x104c7dda8 <+24>: add sp, sp, #0x10 ; =0x10
0x104c7ddac <+28>: ret c. 分析
我们可以发现,前面三行指令不一样了。下面我们从调用方法断点开始调试
touchbegin
Copy ...
0x102b7df1c <+76>: bl 0x102b7e554 ; symbol stub for: objc_storeStrong
0x102b7df20 <+80>: mov w10, #0x1
0x102b7df24 <+84>: mov x0, x10
0x102b7df28 <+88>: mov x1, x10
-> 0x102b7df2c <+92>: bl 0x102b7dd90 ; test_sum at ViewController.m:17
... test_sum
Copy DobbyDemo`test_sum:
0x102b7dd90 <+0>: adrp x17, 0
0x102b7dd94 <+4>: add x17, x17, #0xe74 ; =0xe74
-> 0x102b7dd98 <+8>: br x17
0x102b7dd9c <+12>: ldr w8, [sp, #0xc]
0x102b7dda0 <+16>: ldr w9, [sp, #0x8]
0x102b7dda4 <+20>: add w0, w8, w9
0x102b7dda8 <+24>: add sp, sp, #0x10 ; =0x10
0x102b7ddac <+28>: ret
Copy (lldb) register read x17
x17 = 0x0000000102b7de74 DobbyDemo`new_sum at ViewController.m:31 这里发现x17已经编程了new_sum了!跳到new_sum中了。
在调用原函数指针的时候才会继续执行->下面的指令
d. 原理
五、将符号替换成地址
在实战的时候,更多情况下我们并不能像上面的Demo中一样简单的拿到方法进行替换。
所以我们需要将符号替换城地址!
5.1 定位函数地址
Copy -> 0x1025f1f3c <+84>: mov x0, x10
0x1025f1f40 <+88>: mov x1, x10
0x1025f1f44 <+92>: bl 0x1025f1dc4 ; test_sum at ViewController.m:17 a.函数地址
通过汇编断点我们看到真实的函数地址为:0x1025f1dc4
b.MachO中的偏移量
我们可以通过函数地址定位到它在MachO中的偏移量
ASLR
Copy (lldb) image list
[ 0] 6B1471FE-409A-37F0-93ED-86FDFDEE421E 0x00000001025ec000 /Users/RyukieW/Library/Developer/Xcode/DerivedData/DobbyDemo-fyyzoosecpnxmcakyfrtrxocpawl/Build/Products/Debug-iphoneos/DobbyDemo.app/DobbyDemo offset
通过MachOView验证我们的计算没有问题。
5.2 代码实现上面的逆向流程
a.通过代码获取ASLR
Copy uintptr_t aslr = _dyld_get_image_vmaddr_slide(0); 你可能会遇到下面的问题
Implicit declaration of function '_dyld_get_image_vmaddr_slide' is invalid in C99
#import <mach-o/dyld.h>
b.获得函数在MachO中的Offset
通过断点调试计算出偏移量,记录下来
Copy static uintptr_t addrSum = 0x100005D40; c. 通过地址进行hook
完整HOOK代码:
Copy static uintptr_t addrSum = 0x100005D40;
uintptr_t aslr = _dyld_get_image_vmaddr_slide(0);
addrSum += aslr;
DobbyHook((void *)addrSum, new_sum, (void *)&old_sum_p); d. 结果
Copy 2021-05-21 11:30:34.318180+0800 DobbyDemo[5521:2140764] Hook了!正确的结果是:2
2021-05-21 11:30:34.318525+0800 DobbyDemo[5521:2140764] 结果:3 5.3 注意点
对于自己的工程,每次修改代码,都会导致MachO内的偏移量改变,所以调试的时候需要注意
对于IPA包,同一个IPA包是不会变的,但是不同版本的会不一样
5.4 参考
利用纯地址进行HOOK
