深入 fishhook 的内心世界

fishhook 用于替换 iOS 程序中动态库的符号,常被用来 hook 系统中的 C 函数。

fishhook 的实现得益于 iOS 的动态链接机制,相关信息可以参考:iOS 系统的延迟绑定机制,而在此之前,你还需要了解 Mach-O 文件,详情可参考这篇文章:Mach-O 文件探索

对于程序引用的动态库中的函数,链接器会将它的地址放在 __la_symbol_ptr 中,而对于动态库的全局数据,则是放在 __nl_symbol_ptr 中,所以整个 fishhook 的核心工作就是替换 __la_symbol_ptr 以及 __nl_symbol_ptr 的内容。

下面是一段官方示例代码,它告诉我们如何用正确的姿势来使用 fishhook:

上述代码的作用就是将系统的 open 函数以及 close 函数替换成我们自己的实现,整个过程由 rebind_symbols 函数完成。

rebind_symbols 函数的处理流程如下:

  1. 使用 prepend_rebindings 函数来处理我们传入的绑定信息,fishhook 会将它们组织成一个链表,并用 _rebindings_head 指向链表的头部,接下来会判断用户是否是第一次进行符号替换。

  2. 如果是第一次替换符号,则调用 _dyld_register_func_for_add_image 注册回调函数 _rebind_symbols_for_image,之后程序每次加载动态库时都会去调用 _rebind_symbols_for_image。当注册成功时,对于那些已经加载的动态库也会触发回调,所以不用担心注册的时机。

  3. 如果不是第一次替换符号,那么就遍历程序已经加载的动态库,对其调用 _rebind_symbols_for_image 函数。

_rebind_symbols_for_image 函数如下,它实际上是调用 rebind_symbols_for_image

rebind_symbols_for_image 的代码:

rebind_symbols_for_image 函数看上去有点长,但是如果你静下心来观察的话,发现它还是没有超过80行。。。。。。不过不要紧,我们慢慢往下看。

函数中经常出现的变量类型如 mach_header、segment_command、symtab_command 等都可以在系统的 loader.h 文件中找到相应的定义,所以这里不做过多的解释,想要了解更多的话请参考:Mach-O 文件探索

rebind_symbols_for_image 首先会在程序的 load commands 中寻找符号表、动态符号表以及 LINKEDIT 段所对应的加载命令,它们包含程序动态链接过程的关键信息:

在确认上述信息齐全之后,会去计算它们的虚拟地址:

值得一提的是这行代码:

因为地址空间加载随机化的缘故,系统在加载程序时,会在其原有的地址空间上进行偏移操作,而这个 slide 正是偏移的大小,所以 linkedit_base 代表的是程序被加载后的基地址。

接下来,rebind_symbols_for_image 会在 __DATA 段中寻找类型为 S_LAZY_SYMBOL_POINTERS 以及 S_NON_LAZY_SYMBOL_POINTERS 的节,二者分别包含我们要替换的 __la_symbol_ptr 以及 __nl_symbol_ptr,然后调用 perform_rebinding_with_section 函数:

perform_rebinding_with_section 函数也是整个 fishhook 的核心代码,负责完成符号的替换:

这里最关键的就是下面两行代码的解读:

indirect_symtab 是动态符号表的地址,表中包含动态符号在符号表中的索引。那么 section->reserved1 又是代表什么呢?这里的 section 实际上是指 __DATA 段中包含 __la_symbol_ptr 以及 __nl_symbol_ptr 的 section,它们会在 reserved1 字段中记录自身所包含的动态符号在 indirect_symtab 的起始索引,因此通过 indirect_symbol_indices 便可以得到 section 所包含的动态符号在符号表中的索引信息。

indirect_symbol_bindings 则是代表程序偏移后的相关 section 的虚拟地址,fishhook 会在其中寻找指向目标动态符号的指针,然后将其指向我们自己的符号。

symtab_index 表示动态符号在符号表中的索引,据此我们可以得到动态符号的名字,接下来就是遍历用户传来的绑定信息,若是和动态符号相匹配,则进行替换:

这里引用下 fishhook 官方的流程图:

最后的感慨:fishhook 真是有创意!

发表评论

Close Menu