_dyld系列hook

最新推荐文章于 2024-10-10 08:31:35 发布
原创 最新推荐文章于 2024-10-10 08:31:35 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ios #xcode #ui

TODO:

【已解决】iOS反越狱检测:优化findRealImageCount改为调用_dyld_get_image_vmaddr_slide计算逻辑
【已解决】iOS反越狱检测:_dyld_image_count和_dyld_get_image_name返回hook后的值
【已解决】iOS反越狱检测:如何hook绕过_dyld_image_count和_dyld_get_image_name
【已解决】iOS反越狱检测:优化findRealImageCount改为调用_dyld_get_image_vmaddr_slide计算逻辑
【已解决】iOS反越狱检测:_dyld_get_image_name的hook绕过
【已解决】iOS反越狱检测:_dyld_image_count和_dyld_get_image_name改为普通hook逻辑
【已解决】iOS反越狱检测:dyld的_dyld_image_count和_dyld_get_image_name
【已解决】iOS反越狱检测:_dyld_register_func_for_add_image和_dyld_register_func_for_remove_image

/*==============================================================================
Hook: _dyld_image_count(), _dyld_get_image_name(), _dyld_get_image_header(), _dyld_get_image_vmaddr_slide()
==============================================================================*/

/*
https://developer.apple.com/library/archive/documentation/System/Conceptual/ManPages_iPhoneOS/man3/dyld.3.html
   _dyld_image_count,
   _dyld_get_image_header,
   _dyld_get_image_vmaddr_slide,
   _dyld_get_image_name,
   _dyld_register_func_for_add_image,
   _dyld_register_func_for_remove_image,
   NSVersionOfRunTimeLibrary,
   NSVersionOfLinkTimeLibrary,
   _NSGetExecutablePath
*/

uint32_t _dyld_image_count(void);
//uint32_t orig__dyld_image_count(void);
//uint32_t _logos_orig$_ungrouped$_dyld_image_count(void);
//uint32_t (*_logos_orig$_ungrouped$_dyld_image_count)(void);
//static uint32_t (*_logos_orig$_ungrouped$_dyld_image_count)(void);

const struct mach_header* _dyld_get_image_header(uint32_t image_index);
const char* _dyld_get_image_name(uint32_t image_index);
intptr_t _dyld_get_image_vmaddr_slide(uint32_t image_index);

void _dyld_register_func_for_add_image(void (*func)(const struct mach_header* mh, intptr_t vmaddr_slide));
void _dyld_register_func_for_remove_image(void (*func)(const struct mach_header* mh, intptr_t vmaddr_slide));

int32_t NSVersionOfRunTimeLibrary(const char* libraryName);

int32_t NSVersionOfLinkTimeLibrary(const char* libraryName);

int _NSGetExecutablePath(char* buf, uint32_t* bufsize);

const int IMAGE_INDEX_FAKE_END = IMAGE_INDEX_FAKE_START + IMAGE_INDEX_MAX_VALID_NUMBER;

// Global Variable
int gOrigImageCount = -1;
int gHookedImageCount = -1;
int gRealOrigImageCount = -1; // after hooked, image name/header/slide got hooked image count -> so need find real original image count

int* gJbDylibIdxList = NULL;
int gJbDylibIdxListLen = -1;

int* gHookedImgIdxList = NULL;
int gHookedImgIdxListLen = -1;

static int generateFakeImageIndex(int origImageIndex){
   
   
   int fakeImgIdx = origImageIndex + IMAGE_INDEX_FAKE_START;
   iosLogDebug("generateFakeImageIndex: origImageIndex=%d -> fakeImgIdx=%d", origImageIndex, fakeImgIdx);
   return fakeImgIdx;
}

static bool isFakeImageIndex(int curImageIndex){
   
   
   bool isFakeIdx = (curImageIndex >= IMAGE_INDEX_FAKE_START) && (curImageIndex < IMAGE_INDEX_FAKE_END);
   iosLogDebug("curImageIndex=%d -> isFakeIdx=%s", curImageIndex, boolToStr(isFakeIdx));
   return isFakeIdx;
}

static int fakeToRealImageIndex(int fakeImgageIndex){
   
   
   int realImageIndex = fakeImgageIndex - IMAGE_INDEX_FAKE_START;
   iosLogDebug("fakeImgageIndex=%d -> realImageIndex=%d", fakeImgageIndex, realImageIndex);
   return realImageIndex;
}

static void dbgPrintImgIdxList(int* imgIdxList){
   
   
   iosLogDebug("imgIdxList=%p", imgIdxList);

   if (NULL != imgIdxList){
   
   
       int curListIdx = 0;
       int curIdxValue = DYLD_IMAGE_INDEX_INVALID;
       curIdxValue = imgIdxList[curListIdx];
       if (DYLD_IMAGE_INDEX_INVALID == curIdxValue) {
   
   
           iosLogDebug("[%d] %d", curListIdx, curIdxValue);
       }

       while(DYLD_IMAGE_INDEX_INVALID != curIdxValue){
   
   
           iosLogDebug("[%d] %d", curListIdx, curIdxValue);

           ++curListIdx;
           curIdxValue = imgIdxList[curListIdx];
       }

       int listCount = curListIdx;
       iosLogDebug("end listCount=%d", listCount);
   }
}

static void getJbDylibImgIdxList(int origImageCount, int** outJbDylibIdxList,  int* jbDylibIdxListLen){
   
   
   iosLogDebug("origImageCount=%d", origImageCount);

   int intSize = sizeof(int);
   int mallocCount = IMAGE_INDEX_MAX_JAILBREAK + 1;
   int mallocSize = intSize * mallocCount;
   iosLogDebug("intSize=%d, mallocCount=%d, mallocSize=%d", intSize, mallocCount, mallocSize);

   int curListIdx = 0;

   int* jbDylibIdxList = (int *)malloc(mallocSize);
   iosLogDebug("jbDylibIdxList=%p", jbDylibIdxList);

   if (NULL != jbDylibIdxList) {
   
   
       for (int origImgIdx = 0 ; origImgIdx < origImageCount; ++origImgIdx) {
   
   
           int fakeImgIdx = generateFakeImageIndex(origImgIdx);
           iosLogDebug("origImgIdx=%d, fakeImgIdx=%d", origImgIdx, fakeImgIdx);
           const char* curImageName = _dyld_get_image_name(fakeImgIdx);
           iosLogDebug("curImageName=%{public}s", curImageName);

           bool isJbDylib = isJailbreakDylib(curImageName);
           iosLogDebug("isJbDylib=%s", boolToStr(isJbDylib));

           if(isJbDylib){
   
   
               jbDylibIdxList[curListIdx] = origImgIdx;
               iosLogInfo("curImageNam
最低0.47元/天 解锁文章
iOS - 底层知识学习之路-Mach-o 、lldb、 dyld
zhonggaorong的专栏
03-31 655
MACHO与重定位符号表认识。 命令回顾 1. 将源代码编译成可执行文件命令 Clang 文件名 -o 输出的可执行文件名称 如: Clang test.m - o test 2. 查看可执行文件的代码段命令 objdump --macho -d 可执行文件名称 如: objdump --macho -d test 3. 将文件编译生.o文件命令 clang -c 文件名 -o .o文件名 如: clang -c test.m -o test.o 4. 分析.o文件的代码段命令.
深入iOS系统底层之映像文件操作API介绍
马甲包开发审核交流群:869685378
04-25 1896
绿树阴浓夏日长,楼台倒影入池塘。–《唐高骈·山亭夏日》 mach-o文件和进程的映像(image) iOS系统生成的可执行程序或者动态库文件的存储布局格式被称之为mach-o格式。文件中存放着程序的代码和数据,而程序运行时系统会为其建立一个进程,以及分配虚拟内存空间。同时会把程序文件中的内容加载到虚拟内存地址空间中去,这种加载的方法一般采用内存映射文件的技术来实现。所谓的映像可以理解为将一个程...
ios获取内存镜像模块基址
翻滚吧骚年
09-21 5288
参考: https://developer.apple.com/library/ios/documentation/System/Conceptual/ManPages_iPhoneOS/man3/dyld.3.html http://gslab.qq.com/article-42-1.html #include #include intptr_t _dyld_get_
Hook--基于LD_PRELOAD方法的文档拦截实现
世事易变,匪石弗转。
10-31 633
白名单中只添加了cat进程名,按道理说应该只有cat命令打开的文件才被允许执行,但是出现了bug,无法拦截open、more这两个命令打开文件,初步推测是因为LD_PRELOAD这种方法的局限性,还无法拦截open、more这些底层更为复杂的操作,需要考虑别的方法。实现一个动态链接库(DLL)的功能,其主要目的是拦截文件访问操作和命令执行操作,检查当前进程是否在白名单中,记录访问记录到日志,并定期检查白名单是否发生变化。定义一个空的白名单数组,然后从txt白名单文件中读取内容(进程名)存入到白名单数组中,
SetWindowsHookEx详解
深秋哋黎明的专栏
10-18 1283
SetWindowsHookEx详解 函数功能:该函数将一个应用程序定义的挂钩处理过程安装到挂钩链中去,您可以通过安装挂钩处理过程来对系统的某些类型事件进行监控,这些事件与某个特定的线程或系统中的所有事件相关. 函数原形:HHOOK SetWindowsHookEx( int idHook, HOOKPROC lpfn,HINSTANCE hMod,DWORD dwThreadId ); 参
iOS越狱开发 常用检测Hook 代码 闪退检测断点
六桥风月IT随笔
03-13 2223
__attribute__((constructor)) static void entry(){ rebind_symbols((struct rebinding[1]){{"abort", abort_hook, (void *)&abort_old}}, 1); rebind_symbols((struct rebinding[2]){{"exit", ...
objc_msgSend Hook核心功能精简学习与实现
常见的Hook方式包括:使用鱼钩(fishhook)类似的重绑定技术、手动修改函数开头的机器码插入跳转指令(如`brk`断点或`b`跳转)、或者借助DYLD_INSERT_LIBRARIES注入动态库并重写符号。 “函数调用”与“方法拦截”...
hook 拦截 socket数据
07-07
"hook 拦截 socket数据"这个主题就是关于如何利用iOS的动态符号表(dyld)钩子机制来拦截应用程序中的socket通信。在本文中,我们将深入探讨这个技术,包括其原理、实现方式以及相关的注意事项。 首先,让我们了解...
13、fishhook原理&Dobby
Holothurian
04-20 2420
Dobby原理: 运行时对目标函数的汇编代码替换,修改的是内存中MachO的代码段Dobby替换汇编代码时,对原始函数的调用,会影响栈的拉伸和平衡在真实HOOK场景中,我们拿不到符号名称,只能对地址进行HOOKHOOK地址时,需要加上PAGEZERO和ASLR。
iOS 任意线程调用栈的捕获和符号化(二)
Nate的博客
07-12 1833
由于我们在上面回溯线程调用栈拿到的是一组地址,所以这里进行符号化的输入输出应该分别是地址和符号,接口设计类似如下:- (NSString *)symbolicateAddress:(uintptr_t)addr;不过在实际操作中,我们需要依赖于dyld相关方法和数据结构:/* * Structure filled in by dladdr(). */ typedef struct dl_inf...
遍历自身加载的dylib--获取载入地址和ASLR地址等
majiakun1的专栏
01-29 1579
for (int i = 0; i _dyld_image_count(); i++) { char *image_name = (char *)_dyld_get_image_name(i); const struct mach_header *mh = _dyld_get_image_header(i); intptr_t vmaddr_sli
一文读懂iOS线程调用栈原理
henry_lei的博客
11-11 874
高级程序员都深入到汇编、寄存器、内核排查bug,你还在看日志嘛?本文带你窥探汇编、函数调用过程及寄存器的使用,并深入到内核,掌握KSCrash崩溃收集框架最重要的:线程调用栈原理。其实原理很简单,走起~ 简介 使用场景 说到线程调用栈大家肯定都不陌生,比如我们经常debug调试时断点查看调用栈,如下图所示: 还有应用排除bug的崩溃日志报告或者使用崩溃日志收集工具来收集整个线程的调用栈,如下图: 还要一个重要的用途就是应用性能优化中的“卡顿检测”,需要获取主线程的调用栈,来检测具体的函数调用过程分析.
[LINUX]LD_PRELOAD中对于dlopen函数的hook
小蜗牛之家
04-08 1210
- LD_PRELOAD的hook方式可以hook大部分的函数,通常需要通过dlopen获取共享库的句柄,然后用dlsym获取对应名称的函数地址, 用于后续调用; - 这种方式对于绝大多数的libc暴露的函数均有效,但是对于dlopen这种机制中需要使用的函数无法进行hook,因为一旦hook了dlopen函数,则会在获取共享库句柄的时候,陷入死循环; - 解决方式:自主编译libc,建立一个...
一种简单的hook方法--LD_PRELOAD变量
weixin_30443813的博客
02-19 437
LD_PRELOAD这个变量允许你定义在程序运行时优先加载的动态链接库,从而在程序运行时的动态链接 下面程序的看一个例子-getuid.c //getuid.c #include<stdio.h> #include<unistd.h> #include<sys/types.h> int main(void) { printf("my ...
Linux系统下的HOOK
蛇矛实验室
04-10 1115
Linux系统下的HOOK
【亲测免费】 xHook:Android 原生 ELF PLT Hook 库的强大工具
最新发布
gitblog_00740的博客
10-10 1342
xHook 是一个专为 Android 平台设计的 PLT(Procedure Linkage Table)Hook 库,主要用于处理原生 ELF(Executable and Linkable Format)文件中的共享库。xHook 旨在提供稳定且兼容的 Hook 解决方案,适用于从 Android 4.0 到 Android 10 的所有版本,支持多种架构,包括 armeabi、armeab...
[iOS]MonkeyDev安装
Gamin
11-19 4039
将hosts复制到桌面,在hosts末尾添加185.199.108.133 raw.githubusercontent.com,然后将其拖回etc目录替换掉原来的hosts文件。运行项目,会遇到报错ld: file not found: /usr/lib/libstdc++.dylib。打开Xcode,新建应用 ,可以看到下面多了一个MonkeyDev分类。安装ldid(如安装theos过程安装了ldid,跳过)重新执行MonkeyDev安装命令,安装成功。在终端执行安装命令安装MonkeyDev。
iOS系统越狱检测
热门推荐
zkdemon的专栏
11-30 2万+
越狱检测/越狱检测绕过——xCon 一直忽略了越狱检测与越狱检测绕过的问题,因为我认为在app争抢装机率的环境下,是不会在乎对方的设备越狱与否的。但很显然,我忽略了一个问题,app在设计的时候或许会依照设备是否越狱而采取不同的流程,比如说对越狱的设备采取更多的安全措施,在这种场景下,越狱检测是否可靠就成为了关键问题。本篇文章主要介绍越狱检测的常见方法(并配有相应的测试代码),以及最流行的
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小黑猫成仙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值