fishhook

fishhook是Facebook提供的用于hook系统c函数的库。它能动态重新绑定运行在iOS模拟器和真机设备上的MachO文件中的符号表中的符号。

hacker

准备知识

• PIC(Position Independent Code)位置代码独立。
  为了使多个进程能够共享内存中的同一份代码拷贝，已达到节约内存资源的目的。
• ASLR（Address Space Layout Randomization）地址空间布局随机化技术。
  它将进程的某些内存空间地址进行随机化来增大入侵者预测目的地址的难度，从而降低进程被成功入侵的风险。因而每次启动程序时，程序在内存中的地址都不一样。
• DYLD（Dynamic Loader）动态加载器。在Darwin/OS X被叫做dyld,它用来加载所有的frameworks, dynamic libraries, and bundles (plug-ins)。

由于苹果的动态库遵循PIC，存在于共享缓存库，同时采用了ASLR技术。每次重启手机后，动态库的地址都会随机偏移，需要通过基地址加偏移地址来获取代码的真实地址。

MachO文件

MachO文件是苹果系统的可执行文件。通过DYLD动态加载。

我们的应用程序为了能够获取动态库的真实地址，由DYLD动态加载MachO中的符号表，将符号表中的指针指向动态库地址。从而达到调用系统库的目的。

而fishhook正是通过dyld来修改符号表中指向动态库的指针来达到hook的目的。

MachO中，__DATA段中与动态符号绑定相关的有两个section：__nl_symbol_ptr和__la_symbol_ptr。

• __nl_symbol_ptr是一个非懒加载数据的指针数组。
• __la_symbol_ptr在第一次调用前，dyld会去通过dyld_stub_binder填充指针数组。在第一次调用之后才会真正链接到动态库的位置。

__la_symbol_ptr

为了在MachO中找到想要hook的函数的名字，需要在几个间接的层间进行跳转。在这两个section的section header提供了一个offset用来指向对应的section。

section_header

而__la_symbol_ptr指针数组的下标和indirect_symbol_table中的下标是一一对应的。

indirect_symbol_table

indirect_symbol_table中的每个元素的data中保存着一个十六进制的数，这个数就是真正的符号表中的数组下标。比如NSStringFromClass这个函数的Data为0x54，对应十进制84，在symbol_table中的第84位即可找到。

symbol_table

而symbol_table对应的元素中的data同样保存着一个十六进制的数，这个数是字符串表中的偏移地址。比如NSStringFromClass在string_table中的偏移为0x92，找到string_table的首地址，为0xCA18，则该函数的字符串常量位于 0xCA18 + 0x92 = 0xCAAA 的位置。

string_table

借用fishhook的图

fishhook过程

用法

static void (*orig_NSLog)(NSString *format, ...);

void my_NSLog(NSString *format, ...)
{
    orig_NSLog(@"hook成功:%@",format);
}

- (void)viewDidLoad {
    [super viewDidLoad];
    
    struct rebinding rebind;
    rebind.name = "NSLog";
    rebind.replacement = my_NSLog;
    rebind.replaced = (void *)&orig_NSLog;
    
    rebind_symbols((struct rebinding[1]){rebind}, 1);
    
    NSLog(@"test");
}

总结

fishhook正是通过查找到需要hook的函数指针，然后替换成自己写的函数指针，从而实现hook系统函数的目的。

fishhook不能hook自定义的函数，是因为自定义的函数不在__la_symbol_ptr中。

资料

• Dynamic Loader Release Notes
• dyld源码
• fishhook源码