本技術實現(xiàn)在YSBlockHook中澡刹。

1.方法調用的幾種Hook機制

iOS系統(tǒng)中一共有：C函數(shù)晾剖、Block然想、OC類方法三種形式的方法調用哟沫。Hook一個方法調用的目的一般是為了監(jiān)控攔截或者統(tǒng)計一些系統(tǒng)的行為。Hook的機制有很多種巍耗，通常良好的Hook方法都是以AOP的形式來實現(xiàn)的秋麸。

當我們想Hook一個OC類的某些具體的方法時可以通過Method Swizzling技術來實現(xiàn)、當我們想Hook動態(tài)庫中導出的某個C函數(shù)時可以通過修改導入函數(shù)地址表中的信息來實現(xiàn)(可以使用開源庫fishhook來完成)炬太、當我們想Hook所有OC類的方法時則可以通過替換objc_msgSend系列函數(shù)來實現(xiàn)灸蟆。。亲族。

那么對于Block方法呢而言呢炒考？

2.Block的內部實現(xiàn)原理和實現(xiàn)機制簡介

這里假定你對Block內部實現(xiàn)原理和運行機制有所了解，如果不了解則請參考文章《深入解構iOS的block閉包實現(xiàn)原理》或者自行通過搜索引擎搜索霎迫。

源程序中定義的每個Block在編譯時都會轉化為一個和OC類對象布局相似的對象斋枢，每個Block也存在著isa這個數(shù)據(jù)成員，根據(jù)isa指向的不同知给，Block分為__NSStackBlock瓤帚、__NSMallocBlock、__NSGlobalBlock 三種類型炼鞠。也就是說從某種程度上Block對象也是一種OC對象缘滥。下面的類圖描述了Block類的層次結構。

Block類層次結構圖

Block類以及其派生類在CoreFoundation.framework中被定義和實現(xiàn)谒主，并且沒有對外公開朝扼。

每個Block對象在內存中的布局，也就是Block對象的存儲結構被定義如下(代碼出自蘋果開源出來的庫實現(xiàn)libclosure中的文件Block_private.h)：

//需要注意的是下面兩個只是模板霎肯，具體的每個Block定義時總是按這個模板來定義的擎颖。

//Block描述榛斯，每個Block一個描述并定義在全局數(shù)據(jù)段
struct Block_descriptor_1 {
    uintptr_t reserved;   //記住這個變量和結構體，它很重要Ｂ酢驮俗！
    uintptr_t size;
};

//Block對象的內存布局
struct Block_layout {
    void *isa;
    volatile int32_t flags; // contains ref count
    int32_t reserved;
    uintptr_t invoke;   //Block對象的實現(xiàn)函數(shù)
    struct Block_descriptor_1 *descriptor;
    // imported variables，這里是每個block對象的特定數(shù)據(jù)成員區(qū)域
};

這里要關注一下struct Block_descriptor_1中的reserved這個數(shù)據(jù)成員允跑，雖然系統(tǒng)沒有用到它王凑，但是下面就會用到它而且很重要！

在了解了Block對象的類型以及Block對象的內存布局后聋丝，再來考察一下一個Block從定義到調用是如何實現(xiàn)的索烹。就以下面的源代碼為例：

int main(int argc, char *argv[])
{
   //定義
    int a = 10;
    void (^testblock)(void) = ^(){
        NSLog(@"Hello world!%d", a);
    };
    
    //執(zhí)行
    testblock();

    return 0;
}

在將OC代碼翻譯為C語言代碼后每個Block的定義和調用將變成如下的偽代碼：

//testblock的描述信息
struct Block_descriptor_1_fortestblock {
    uintptr_t reserved; 
    uintptr_t size;
};

//testblock的布局存儲結構體
struct Block_layout_fortestblock {
    void *isa;
    volatile int32_t flags; // contains ref count
    int32_t reserved;
    uintptr_t invoke;   //Block對象的實現(xiàn)函數(shù)
    struct Block_descriptor_1_fortestblock *descriptor;
    int m_a;  //外部的傳遞進來的數(shù)據(jù)。
};

//testb17585454165void main_invoke_fortestblock(struct Block_layout_fortestblock *cself)
{
      NSLog(@"Hello world!%d", cself->m_a);
}

//testblock對象描述的實例弱睦，存儲在全局內存區(qū)
struct Block_descriptor_1_fortestblock  _testblockdesc = {0, sizeof(struct Block_layout_fortestblock)};

int main(int argc, char *argv[])
{
   //定義部分
    int a = 10;
    struct Block_layout_fortestblock testblock = {
            .isa = __NSConcreteStackBlock,
            .flags =0,
            .reserved = 0,
            .invoke = main_invoke_fortestblock,
            .descriptor = & _testblockdesc,
            .m_a = a
    };

   //調用部分
   testblock.invoke();
   
    return 0;
}

可以看出Block對象的生成和調用都是在編譯期間就已經(jīng)固定在代碼中了百姓，它不像其他OC對象調用方法時需要通過runtime來執(zhí)行間接調用。并且線上程序中所有關于Block的符號信息都會被strip掉况木。所以上述的所介紹的幾種Hook方法都無法Hook住一個Block對象的函數(shù)調用垒拢。

如果想要Hook住系統(tǒng)的所有Block調用，需要解決如下幾個問題：
a. 如何在運行時將所有的Block的invoke函數(shù)替換為一個統(tǒng)一的Hook函數(shù)火惊。
b. 這個統(tǒng)一的Hook函數(shù)如何調用原始Block的invoke函數(shù)求类。
c. 如何構建這個統(tǒng)一的Hook函數(shù)。

3.實現(xiàn)Block對象Hook的方法和原理

一個OC類對象的實例通過引用計數(shù)來管理對象的生命周期矗晃。在MRC時代當對象進行賦值和拷貝時需要通過調用retain方法來實現(xiàn)引用計數(shù)的增加仑嗅，而在ARC時代對象進行賦值和拷貝時就不再需要顯示調用retain方法了，而是系統(tǒng)內部在編譯時會自動插入相應的代碼來實現(xiàn)引用計數(shù)的添加和減少张症。不管如何只要是對OC對象執(zhí)行賦值拷貝操作，最終內部都會調用retain方法鸵贬。

Block對象也是一種OC對象Ｋ姿！

每當一個Block對象在需要進行賦值或者拷貝操作時阔逼，也會激發(fā)對retain方法的調用兆衅。因為Block對象賦值操作一般是發(fā)生在Block方法執(zhí)行之前，因此我們可以通過Method Swizzling的機制來Hook 類的retain方法嗜浮，然后在重寫的retain方法內部將Block對象的invoke數(shù)據(jù)成員替換為一個統(tǒng)一的Hook函數(shù)羡亩！

通過考察__NSStackBlock、__NSMallocBlock危融、__NSGlobalBlock 三個類的實現(xiàn)發(fā)現(xiàn)這三個類都重載了NSObject的retain方法畏铆，這樣在執(zhí)行Method Swizzling時就不需要對NSObject的retain方法執(zhí)行替換，而只要對上述三個類的retain執(zhí)行替換即可吉殃。

你可以說出為什么這三個派生類都會對retain方法進行重載嗎辞居？答案可以從這三種Block的類型定義以及所表示的意義中去尋找楷怒。

Block技術不僅可以用在OC語言中，LLVM對C語言進行的擴展也能使用Block瓦灶，比如gcd庫中大量的使用了Block鸠删。在C語言中如果對一個Block進行賦值或者拷貝系統(tǒng)需要通過C庫函數(shù)：

//函數(shù)聲明在Block.h頭文件匯總
// Create a heap based copy of a Block or simply add a reference to an existing one.
// This must be paired with Block_release to recover memory, even when running
// under Objective-C Garbage Collection.
BLOCK_EXPORT void *_Block_copy(const void *aBlock)
    __OSX_AVAILABLE_STARTING(__MAC_10_6, __IPHONE_3_2);

來實現(xiàn)，這個函數(shù)定義在libsystem_blocks.dylib庫中贼陶，并且?guī)鞂崿F(xiàn)已經(jīng)開源：libclosure刃泡。因此可以借助fishhook庫來對__Block_copy這個函數(shù)進行替換處理，然后在替換的函數(shù)函數(shù)中將一個Block的原始的invoke函數(shù)替換為統(tǒng)一的Hook函數(shù)碉怔。

另外一個C語言函數(shù)objc_retainBlock烘贴，也是實現(xiàn)了對Block進行賦值時的引用計數(shù)增加，這個函數(shù)內部就是簡單的調用__Block_copy方法眨层。因此我們也可以添加對objc_retainBlock的替換處理庙楚。

解決了第一個問題后，接下來再解決第二個問題趴樱。還記得上面提到過的struct Block_descriptor_1中的reserved這個數(shù)據(jù)成員嗎? 當我們通過上述的方法對所有Block對象的invoke成員替換為一個統(tǒng)一的Hook函數(shù)前馒闷，可以將Block對象的原始invoke函數(shù)保存到這個保留字段中去。然后就可以在統(tǒng)一的Hook函數(shù)內部讀取這個保留字段中的保存的原始invoke函數(shù)來執(zhí)行真實的方法調用了叁征。

因為一個Block對象函數(shù)的第一個參數(shù)其實是一個隱藏的參數(shù)纳账，這個隱藏的參數(shù)就是Block對象本身，因此很容易就可以從隱藏的參數(shù)中來獲取到對應的保留字段捺疼。

下面的代碼將展示通過方法交換來實現(xiàn)Hook處理的偽代碼

struct Block_descriptor {
    void *reserved;
    uintptr_t size;
};

struct Block_layout {
    void *isa;
    int32_t flags; // contains ref count
    int32_t reserved;
    void  *invoke;
    struct Block_descriptor *descriptor;
};

//統(tǒng)一的Hook函數(shù),這里以偽代碼的形式提供
void blockhook(void *obj, ...)
{
   struct Block_layout *layout = (struct Block_layout*) obj;
   //調用原始的invoke函數(shù)
   layout->descriptor->reserved(...);
}
//模擬器下如果返回類型是結構體并且大于16字節(jié)那么第一個參數(shù)是返回值保存的內存地址疏虫，block對象變?yōu)榈诙€參數(shù)
void blockhook_stret(void *pret, void *obj, ...)
{
   struct Block_layout *layout = (struct Block_layout*) obj;
   //調用原始的invoke函數(shù)
   layout->descriptor->reserved(...);
}

//執(zhí)行Block對象的方法替換處理
void replaceBlockInvokeFunction(const void *blockObj)
{
   struct Block_layout *layout = (struct Block_layout*)blockObj;
   if (layout != NULL && layout->descriptor != NULL){
         int32_t BLOCK_USE_STRET = (1 << 29);  //如果模擬器下返回的類型是一個大于16字節(jié)的結構體，那么block的第一個參數(shù)為返回的指針啤呼，而不是block對象卧秘。
         void *hookfunc = ((layout->flags & BLOCK_USE_STRET) == BLOCK_USE_STRET) ? blockhook_stret : blockhook;
         if (layout->invoke != hookfunc){
                layout->descriptor->reserved = layout->invoke;
                layout->invoke = hookfunc;
            }
    }
}

void *(*__NSStackBlock_retain_old)(void *obj, SEL cmd) = NULL;
void *__NSStackBlock_retain_new(void *obj, SEL cmd)
{
    replaceBlockInvokeFunction(obj);
    return __NSStackBlock_retain_old(obj, cmd);
}

void *(*__NSMallocBlock_retain_old)(void *obj, SEL cmd) = NULL;
void *__NSMallocBlock_retain_new(void *obj, SEL cmd)
{
    replaceBlockInvokeFunction(obj);
    return __NSMallocBlock_retain_old(obj, cmd);
}

void *(*__NSGlobalBlock_retain_old)(void *obj, SEL cmd) = NULL;
void *__NSGlobalBlock_retain_new(void *obj, SEL cmd)
{
    replaceBlockInvokeFunction(obj);
    return __NSGlobalBlock_retain_old(obj, cmd);
}

int main(int argc, char *argv[])
{
      //因為類名和方法名都不能直接使用，所以這里都以字符串的形式來轉換獲取官扣。
    __NSStackBlock_retain_old = (void *(*)(void*,SEL))class_replaceMethod(NSClassFromString(@"__NSStackBlock"), sel_registerName("retain"), (IMP)__NSStackBlock_retain_new, nil);
    __NSMallocBlock_retain_old = (void *(*)(void*,SEL))class_replaceMethod(NSClassFromString(@"__NSMallocBlock"), sel_registerName("retain"), (IMP)__NSMallocBlock_retain_new, nil);
    __NSGlobalBlock_retain_old = (void *(*)(void*,SEL))class_replaceMethod(NSClassFromString(@"__NSGlobalBlock"), sel_registerName("retain"), (IMP)__NSGlobalBlock_retain_new, nil);

    return 0;
 }

解決了第二個問題后翅敌，就需要解決第三個問題。上面的統(tǒng)一Hook函數(shù)blockhook和block_stret只是偽代碼實現(xiàn)惕蹄，因為任何一個Block中的函數(shù)的參數(shù)類型和個數(shù)是不一樣的摔寨，而且統(tǒng)一Hook函數(shù)也需要在適當?shù)臅r候調用原始的默認Block函數(shù)實現(xiàn)绩蜻，并且不能破壞參數(shù)信息。為了解決這些問題就使得這個統(tǒng)一的Hook函數(shù)不能用高級語言來實現(xiàn)，而只能用匯編語言來實現(xiàn)录粱。下面就是在arm64位體系下的實現(xiàn)代碼：

.text
.align 5
.private_extern _blockhook   
_blockhook:
   //為了不破壞原有參數(shù)瘾带，這里將所有參數(shù)壓入棧中
  stp q6, q7, [sp, #-0x20]!
  stp q4, q5, [sp, #-0x20]!
  stp q2, q3, [sp, #-0x20]!
  stp q0, q1, [sp, #-0x20]!
  stp x6, x7, [sp, #-0x10]!
  stp x4, x5, [sp, #-0x10]!
  stp x2, x3, [sp, #-0x10]!
  stp x0, x1, [sp, #-0x10]!
  stp x8, x30, [sp, #-0x10]!
  
  //這里可以添加任意邏輯來進行hook處理蹦狂。

  //這里將所有參數(shù)還原
  ldp x8, x30, [sp], #0x10
  ldp x0, x1, [sp], #0x10
  ldp x2, x3, [sp], #0x10
  ldp x4, x5, [sp], #0x10
  ldp x6, x7, [sp], #0x10
  ldp q0, q1, [sp], #0x20
  ldp q2, q3, [sp], #0x20
  ldp q4, q5, [sp], #0x20
  ldp q6, q7, [sp], #0x20

  ldr x16, [x0, #0x18]   //將block對象的descriptor數(shù)據(jù)成員取出
  ldr x16, [x16]         //獲取descriptor中的reserved成員
  br x16                 //執(zhí)行reserved中保存的原始函數(shù)指針痊乾。
LExit_blockhook:

對于x86_64/arm32位系統(tǒng)來說，如果block函數(shù)的返回是一個結構體并且長度超過16字節(jié)(arm32是8字節(jié))鸥滨。那么block對象里面的flags屬性就會設置為BLOCK_USE_STRET嗦哆。而x86_64/arm32位系統(tǒng)對于這種返回類型的函數(shù)就會將返回值存放到第一個參數(shù)所指向的內存中谤祖，同時會把原本的block對象變化為第二個參數(shù)，因此需要對這種情況進行特殊處理老速。

關于在運行時Hook所有Block方法調用的技術實現(xiàn)原理就介紹到這里了粥喜。當然一個完整的系統(tǒng)可能需要其他一些能力：

• 如果你只想Hook可執(zhí)行程序中定義的Block，那么請參考我的文章：深入iOS系統(tǒng)底層之映像操作API介紹 中的內容來實現(xiàn)Hook函數(shù)的過濾處理橘券。
• 如果你不想借助Block_descriptor中的reserved來保存原始的invoke函數(shù)额湘，那么可以參考我的文章：Thunk程序的實現(xiàn)原理以及在iOS中的應用(二)中介紹的技術來實現(xiàn)統(tǒng)一Hook函數(shù)以及完成對原始invoke函數(shù)的調用技術。

具體完整的代碼可以訪問我的github中的項目:YSBlockHook旁舰。這個項目以AOP的形式實現(xiàn)了真機arm64位模式下對可執(zhí)行程序中所有定義的Block進行Hook的方法锋华，Hook所做的事情就是在所有Block調用前，打印出這個Block的符號信息箭窜。

轉載于作者：歐陽大哥2013
鏈接：http://www.reibang.com/p/0a3d00485c7f

小編這呢毯焕，給大家推薦一個優(yōu)秀的iOS交流平臺，平臺里的伙伴們都是非常優(yōu)秀的iOS開發(fā)人員磺樱，我們專注于技術的分享與技巧的交流纳猫，大家可以在平臺上討論技術，交流學習竹捉。歡迎大家的加入（想要進入的可加小編微信15673450590）芜辕。