动态库的注入

一、认识库

是一种共享程序代码的方式,在计算机科学中,(英语:library)是用于开发软件的子程序集合。库和可执行文件的区别是,库不是独立程序,他们是向其他程序提供服务的代码。
库链接(英语:linking)是指把一个或多个库包括到程序中,有两种链接形式:静态链接和动态链接;相应的,前者链接的库叫做静态库,后者的叫做动态库。

  • 静态库

静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序,将一个或多个库或目标文件(先前由编译器或汇编器生成)链接到一块生成可执行程序。静态链接的最大缺点是生成的可执行文件太大,需要更多的系统资源,在装入内存时也会消耗更多的时间。

特点如下:

  1. 静态库的存在形式有.a和.framework

  2. 静态库由一个或多个object文件组成,可以将静态库拆分成多个object文件

  • 动态库

动态链接,在可执行文件装载时或运行时,由操作系统的装载程序加载库。在iOS系统里面这个装载程序就是dyld。

特点如下:

  1. 动态库的存在形式有.dylib、.framework及链接符号.tbd

  2. 动态库的格式和普通二进制文件没有区别

  3. 动态库的好处是可以只保留一份文件和内存空间,可以被多个进程使用,比如系统的动态库dyld_shared_cache_arm64dyld_shared_cache_armv7s

  4. 可以减小可执行文件的体积,不需要链接到目标文件

二、动态库注入

逆向修改三方应用,让三方应用执行我们的代码,这就是代码注入,动态库注入是一种方式。其中动态库注入分为framework注入dylib注入
学习动态库注入之前,先简单了解一下Mach-O文件

Mach-O为Mach Object文件格式的缩写,它是一种用于可执行文件,目标代码,动态库,内核转储的文件格式。
每个Mach-O文件包括一个Mach-O头,然后是一系列的载入命令,再是一个或多个块,每个块包括0到255个段。

现在我们要关注的是Mach-O的Load Command段,该段主要告诉操作系统(实质就是dyld)如何加载文件中的数据以及动态链接系统的动态库,利用MachOView工具查看已解密的微信可执行文件中的Load Command段:

关注LC_LOAD_DYLIB

看到Load Command段下的LC_LOAD_DYLIB段,该段表示应用程序依赖的动态库,包括动态库名称、当前版本号、兼容版本号等。此时我们会思考到是否可以通过一些骚操作给这个可执行文件增加一段,加载我们自己编写的动态库?接下来我们尝试一下这个骚操作

1. framework注入

上次学习到利用Shell脚本应用重签名三方应用进行调试,这次我们可以使用它来动态注入framework让三方应用执行我们写的代码。

  • 在已经重签名三方应用的工程下创建动态库framework
    创建注入的动态库

在framework里简单地创建一个类,并且在+load方法(类加载的时候执行,先于main)里写一些简单代码作为测试,如下:


编写注入代码

Command + B编译工程,查看生成的app目录


编译出的framework
替换.app包下的Frameworks文件夹

注意:
这里虽然编译的时候会将我们创建的动态库framework打包进.app文件夹内,但是,运行的时候并不会加载我们的framework(读者可以自行尝试),原因很简单,因为这样并不会修改增加Mach-O可执行文件的LC_LOAD_DYLIB段,整个过程只是编译->运行重签名脚本,替换了我们当前工程的.app包,每次运行都仍然是原来第三方ipa应用里的原可执行文件。因此我们需要对原可执行文件下手。

方法一:
使用yololib工具将我们编译好的动态库framework注入原ipa包内的可执行文件,具体如下:

yololib 你的可执行文件 Frameworks/xxx.framework/xxx

真正注入加载framework的骚操作

再次用MachOView查看可执行文件,可以看到已经增加了LC_LOAD_DYLIB字段

增加了字段

此时再重新打包成ipa包,放到重签名下的TargetApp文件夹进行重签,运行工程就可以看到加载了我们注入的动态库以及运行了相关代码,打包过程不再赘述,运行结果如下:


注入成功

方法二:
思考一下我们每次重签完三方应用后,编写完需要注入的动态库之后再用工具注入的话,如果我们下一次修改了动态库,又再次需要手动注入一次,显得很麻烦没必要,既然重签名也可以通过脚本,举一反三,我们将动态库framework注入的操作也放到脚本,每次运行工程的时候自动注入,我们只需要集中精力编写我们的动态库即可,修改重签名脚本,在脚本末尾添加代码,如下:

INJECT_FRAMEWORK_PATH="Frameworks/KenHookFramework.framework/KenHookFramework" (这里命令参数写死,需要替换成自己写的framework)

yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_PATH"

1.jpg

再次运行工程,脚本就帮我们做了替换包内容,重签名,framework注入的操作

通过脚本注入,再次运行工程结果

2.dylib注入

选择Library
默认选择动态库

创建dylib之后有两个注意点:
1.创建的Library是属于macOS下的,将Build Settings下的Base SDK更改为iOS,如下:

2.创建的Library签名默认使用Mac Developer,将其改成iOS Developer,目的是让它能在iOS平台上使用

  • 目标工程引用、依赖dylib
    工程Target切换到dylib,编译,show in Finder可以发现编译出的dylib与.app文件夹在同级目录,Xcode没有将dylib编译进我们的目标工程,因此我们需要添加依赖,如下:
    Copy Files
选择dylib

再次编译目标工程,在xxx.app/Frameworks/目录下就会看到对应的dylib,运行目标工程并不会执行我们动态库的代码,原因与framework注入注意点同理,这里我们不使用手动注入原ipa包可执行文件,而是使用重签名脚本替我们完成,修改脚本,如下:

INJECT_FRAMEWORK_PATH="Frameworks/libKenHookDylib.dylib"

yololib "$TARGET_APP_PATH/$APP_BINARY" "$INJECT_FRAMEWORK_PATH"

脚本添加注入代码
  • 运行工程,检验是否注入

    注入成功

  • 查看Mach-O文件
    用MachOView查看新编译出来的可执行文件,可以看到已经添加了对应字段

三、总结

  • 认识静态库与动态库

  • 认识应用的Mach-O可执行文件

  • 通过增加Load Command的LC_LOAD_DYLIB字段,指定动态库的路径实现注入

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,311评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,339评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,671评论 0 342
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,252评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,253评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,031评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,340评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,973评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,466评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,937评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,039评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,701评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,254评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,259评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,485评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,497评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,786评论 2 345

推荐阅读更多精彩内容

  • 静态库与动态库的区别 首先来看什么是库,库(Library)说白了就是一段编译好的二进制代码,加上头文件就可以供别...
    吃瓜群众呀阅读 11,880评论 3 42
  • 仅以方便自己查阅记录前言1.静态库和动态库有什么异同?静态库:链接时完整地拷贝至可执行文件中,被多次使用就有多份冗...
    190CM阅读 4,178评论 0 4
  • 前言 说到动态库,就不得不提静态库。静态库可以看做是一个具有特定功能的代码块,如果app中引用了静态库,则在编译时...
    wangzzzzz阅读 5,314评论 6 13
  • 1 dyld 1.1 dyld简介 在iOS系统中,几乎所有的程序都会用到动态库,而动态库在加载的时候都需要用d...
    Kevin_Junbaozi阅读 11,776评论 4 44
  • 前言 1.静态库和动态库有什么异同? 静态库:链接时完整地拷贝至可执行文件中,被多次使用就有多份冗余拷贝。利用静态...
    Ly梦k阅读 8,566评论 3 18