方法hook和函數(shù)hook

1.方法hook

先上代碼

+ (void)load {
    static dispatch_once_t onceToken;
    dispatch_once(&onceToken, ^{
        Class class = [self class];
        
        SEL originalSelector = @selector(test);
        SEL swizzledSelector = @selector(swizzle_test);
        
        
        Method originalMethod = class_getInstanceMethod(class, originalSelector);
        Method swizzledMethod = class_getInstanceMethod(class, swizzledSelector);
        

        BOOL didAddMethod = class_addMethod(class, originalSelector, method_getImplementation(swizzledMethod), method_getTypeEncoding(swizzledMethod));
        
        if (didAddMethod) {
            class_replaceMethod(class,
                                swizzledSelector,
                                method_getImplementation(originalMethod),
                                method_getTypeEncoding(originalMethod));
        } else {
            method_exchangeImplementations(originalMethod, swizzledMethod);
        }
    });
}

- (void)test {
    NSLog(@"test");
}
- (void)swizzle_test {
    [self swizzle_test];
}

一個方法對應(yīng)一個sel和imp燃少，方法A的imp指針和方法B的imp指針進(jìn)行了替換该默，并且在要替換的方法中調(diào)用了一下原來的方法實(shí)現(xiàn)般贼。這個也就就是開發(fā)中最常用到的方法混淆瘸恼。

2.函數(shù)hook
推薦使用https://github.com/facebook/fishhook 這個庫來做函數(shù)hook梧躺，使用起來簡便似谁。內(nèi)部實(shí)現(xiàn)復(fù)雜傲绣，很強(qiáng)大，源碼基本上看不懂巩踏。大致原理還是要弄清楚的秃诵。例如有2個函數(shù)，函數(shù)A塞琼，函數(shù)B菠净，想要將函數(shù)A的實(shí)現(xiàn)替換為函數(shù)B的實(shí)現(xiàn)。fishhook的實(shí)現(xiàn)大致分為2步彪杉，第一步找到目標(biāo)函數(shù)的函數(shù)地址毅往。第二步找到函數(shù)名，進(jìn)行比對派近。匹配成功攀唯，替換目標(biāo)函數(shù)地址為自己的函數(shù)地址。

struct rebinding {
    const char *name; // 目標(biāo)函數(shù)名
    void *replacement; // 替換函數(shù)
    void **replaced; // 二級目標(biāo)函數(shù)指針
};
/*
  struct rebinding rebindings[]:要重新綁定的結(jié)構(gòu)體數(shù)組
  rebindings_nel：要重新綁定的函數(shù)個數(shù)
*/
int rebind_symbols(struct rebinding rebindings[], size_t rebindings_nel);

int rebind_symbols_image(void *header,
                         intptr_t slide,
                         struct rebinding rebindings[],
                         size_t rebindings_nel);

上代碼：
示例1：hook Foundation庫的NSSetUncaughtExceptionHandler()函數(shù)（生效）

static NSUncaughtExceptionHandler *g_vaildUncaughtExceptionHandler;
static void (*ori_NSSetUncaughtExceptionHandler)( NSUncaughtExceptionHandler *_Nullable);

void swizzle_NSSetUncaughtExceptionHandler( NSUncaughtExceptionHandler * handler) {
    g_vaildUncaughtExceptionHandler = NSGetUncaughtExceptionHandler();
    if (g_vaildUncaughtExceptionHandler != NULL) {
        NSLog(@"UncaughtExceptionHandler=%p",g_vaildUncaughtExceptionHandler);
    }
    ori_NSSetUncaughtExceptionHandler(handler);
    g_vaildUncaughtExceptionHandler = NSGetUncaughtExceptionHandler();
}

static void xr_uncaught_exception_handler (NSException *exception) {
    NSLog(@"XX");
}

int main(int argc, const char * argv[]) {
    @autoreleasepool {
        
        rebind_symbols((struct rebinding [1]){"NSSetUncaughtExceptionHandler",swizzle_NSSetUncaughtExceptionHandler,(void *)&ori_NSSetUncaughtExceptionHandler}, 1);
        NSSetUncaughtExceptionHandler(&xr_uncaught_exception_handler);
         [@[] objectAtIndex:1];
        
    }
    return 0;
}

示例2：hook自己的函數(shù)（不生效）

void test(void) {
    NSLog(@"test");
}
void swizzle_test(void) {
    NSLog(@"swizzle_test");
}
static void (*funcptr)(void);

int main(int argc, const char * argv[]) {
    @autoreleasepool {
        
        // 初始化一個 rebinding 結(jié)構(gòu)體
        struct rebinding test_rebinding = { "test", swizzle_test, (void *)&funcptr };
        // 將結(jié)構(gòu)體包裝成數(shù)組渴丸，并傳入數(shù)組的大小侯嘀，對原符號 open 進(jìn)行重綁定
        rebind_symbols((struct rebinding[1]){test_rebinding}, 1);
        // 調(diào)用原函數(shù)
        test();
        
    }
    return 0;
}

函數(shù)的hook大致原理和方法hook類似。方法調(diào)用其實(shí)在運(yùn)行時(shí)也就是轉(zhuǎn)成一個個函數(shù)調(diào)用曙强。根據(jù)方法名（SEL）去查找對應(yīng)的方法實(shí)現(xiàn)的函數(shù)地址(IMP)残拐，然后執(zhí)行該函數(shù)。只不過函數(shù)和方法的存儲空間不一樣碟嘴，查找函數(shù)地址的實(shí)現(xiàn)方法也就不一樣。但是原理是差不多的囊卜。

示例2中娜扇，發(fā)現(xiàn)hook不生效。而示例1中可以栅组。很奇怪雀瓢。原來fishhook只能hook其他鏡像中函數(shù)，不可以hook當(dāng)前鏡像（庫或可執(zhí)行文件）中運(yùn)行的函數(shù)玉掸。在main函數(shù)執(zhí)行之前刃麸，dylb會通過load_images加載項(xiàng)目里所有的鏡像。而Foundation庫和項(xiàng)目本身分別是兩個鏡像司浪。所以示例1中hook是Foundation庫鏡像的函數(shù)泊业。而示例2hook的則是本身鏡像中的函數(shù)。所以也就會不生效啊易。

Snip20170425_14.png

最后編輯于：2017.12.03 21:29:27

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末吁伺，一起剝皮案震驚了整個濱河市，隨后出現(xiàn)的幾起案子租谈，更是在濱河造成了極大的恐慌篮奄，老刑警劉巖，帶你破解...
沈念sama閱讀 221,635評論 6贊 515
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場離奇詭異窟却，居然都是意外死亡昼丑，警方通過查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 94,543評論 3贊 399
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門夸赫，熙熙樓的掌柜王于貴愁眉苦臉地迎上來菩帝，“玉大人，你說我怎么就攤上這事憔足⌒哺剑” “怎么了？”我有些...
開封第一講書人閱讀 168,083評論 0贊 360
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵滓彰，是天一觀的道長控妻。經(jīng)常有香客問我，道長揭绑，這世上最難降的妖魔是什么弓候？我笑而不...
開封第一講書人閱讀 59,640評論 1贊 296
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮他匪，結(jié)果婚禮上菇存，老公的妹妹穿的比我還像新娘。我一直安慰自己邦蜜，他們只是感情好依鸥，可當(dāng)我...
茶點(diǎn)故事閱讀 68,640評論 6贊 397
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布。她就那樣靜靜地躺著悼沈，像睡著了一般贱迟。火紅的嫁衣襯著肌膚如雪。梳的紋絲不亂的頭發(fā)上絮供，一...
開封第一講書人閱讀 52,262評論 1贊 308
城市分裂傳說
那天衣吠，我揣著相機(jī)與錄音，去河邊找鬼壤靶。笑死缚俏，一個胖子當(dāng)著我的面吹牛，可吹牛的內(nèi)容都是我干的贮乳。我是一名探鬼主播忧换，決...
沈念sama閱讀 40,833評論 3贊 421
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼，長吁一口氣：“原來是場噩夢啊……” “哼塘揣！你這毒婦竟也來了包雀？” 一聲冷哼從身側(cè)響起，我...
開封第一講書人閱讀 39,736評論 0贊 276
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤亲铡，失蹤者是張志新（化名）和其女友劉穎才写，沒想到半個月后葡兑，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 46,280評論 1贊 319
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡赞草，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 38,369評論 3贊 340
?白月光啟示錄
正文我和宋清朗相戀三年讹堤，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片厨疙。...
茶點(diǎn)故事閱讀 40,503評論 1贊 352
活死人
序言：一個原本活蹦亂跳的男人離奇死亡洲守，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出沾凄，到底是詐尸還是另有隱情梗醇，我是刑警寧澤，帶...
沈念sama閱讀 36,185評論 5贊 350
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布撒蟀，位于F島的核電站叙谨，受9級特大地震影響，放射性物質(zhì)發(fā)生泄漏保屯。R本人自食惡果不足惜手负，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,870評論 3贊 333
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望姑尺。院中可真熱鬧竟终，春花似錦、人聲如沸切蟋。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,340評論 0贊 24
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽柄粹。三九已至瘾境，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間镰惦，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 33,460評論 1贊 272
情欲美人皮
我被黑心中介騙來泰國打工犬绒，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留旺入，地道東北人。一個月前我還...
沈念sama閱讀 48,909評論 3贊 376
代替公主和親
正文我出身青樓凯力，卻偏偏與公主長得像茵瘾，于是被迫代替她去往敵國和親。傳聞我的和親對象是個殘疾皇子咐鹤，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 45,512評論 2贊 359

方法hook和函數(shù)hook

推薦閱讀更多精彩內(nèi)容