初探反HOOK防护

当HOOK第三方App时，对于OC方法，一般会使用Method Swizzle。例如：使用系统提供的method_exchangeImplementations函数，将两个方法进行交换

自己开发的App，如果使用fishHook，预先将method_exchangeImplementations和自定义函数交换，攻击方在不知道函数名称的情况下，将很难进行HOOK

案例1：

使用fishHook交换method_exchangeImplementations

搭建App项目，命名为AntiHook，作为反HOOK案例

防护代码写在Framework中更适宜，因为load方法调用时机比主程序更快，并且可以在别人注入的动态库之前被执行

添加target，创建Framework，命名为HookMgr，设置为动态库

在Framework中，创建AntiHookCode文件，并导入fishhook

打开AntiHookCode.m文件，写入以下代码：

#import "AntiHookCode.h"
#import "fishhook.h"
#import <objc/message.h>

@implementation AntiHookCode

+(void)load{
   struct rebinding reb;
   reb.name="method_exchangeImplementations";
   reb.replacement=my_exchange;
   reb.replaced=(void *)&sys_exchange;

   struct rebinding rebs[] = { reb };
   rebind_symbols(rebs, 1);
}

void (*sys_exchange)(Method _Nonnull m1, Method _Nonnull m2);

void my_exchange(Method _Nonnull m1, Method _Nonnull m2){
   NSLog(@"检测到HOOK");
}

@end

在App中，打开ViewController.m文件，写入以下代码：

#import "ViewController.h"
#import <HookMgr/HookMgr.h>

@implementation ViewController

- (void)viewDidLoad {
   [super viewDidLoad];
}

- (IBAction)btnClick1:(id)sender {
   NSLog(@"按钮1调用!");
}

- (IBAction)btnClick2:(id)sender {
   NSLog(@"按钮2调用了!");
}

@end

创建Payload目录

编译项目，将编译后的AntiHook.app拷贝到Payload目录下

使用zip命令，将Payload打包为AntiHook.ipa

zip -ry AntiHook.ipa Payload

案例2：

测试AntiHook项目的反HOOK防护是否有效

搭建App项目，命名为HookDemo，作为重签名App

添加target，创建Framework，命名为Hook，设置为动态库

在Framework中，创建Inject文件

打开Inject.h文件，写入以下代码：

#import "Inject.h"
#import <objc/runtime.h>

@implementation Inject

+(void)load{
   Method sysClick1 = class_getInstanceMethod(objc_getClass("ViewController"), @selector(btnClick1:));
   Method myClick1 = class_getInstanceMethod(self, @selector(my_btnClick1));
   method_exchangeImplementations(sysClick1, myClick1);
}

-(void)my_btnClick1{
   NSLog(@"🍺🍺🍺🍺🍺");
}

@end

将appSign.sh文件、yololib文件，拷贝到项目根目录。然后在项目根目录，创建App目录

将案例1中，最后打包的AntiHook.ipa文件，拷贝到App目录

在HookDemo中，选择Build Phases，在Run Script中输入：./appSign.sh

真机运行项目，检测到HOOK代码

点击按钮1，输出的还是原始内容

AntiHook项目中的防护代码生效，当注入的动态库，使用method_exchangeImplementations函数时，可以被检测出来，并让攻击方的HOOK失效

案例3：

在本工程中使用方法交换

来到AntiHook项目

在HookMgr中，打开AntiHookCode.h文件，写入以下代码：

#import <Foundation/Foundation.h>
#import <objc/message.h>

CF_EXPORT void (*sys_exchange)(Method _Nonnull m1, Method _Nonnull m2);

@interface AntiHookCode : NSObject

@end

打开HookMgr.h文件，写入以下代码：

#import <Foundation/Foundation.h>
#import <HookMgr/AntiHookCode.h>

在AntiHook中，打开ViewController.m文件，写入以下代码：

#import "ViewController.h"
#import <HookMgr/HookMgr.h>

@implementation ViewController

- (void)viewDidLoad {
   [super viewDidLoad];

   Method sysClick2 = class_getInstanceMethod(self.class, @selector(btnClick2:));
   Method myClick2 = class_getInstanceMethod(self.class, @selector(test));
   sys_exchange(sysClick2, myClick2);
}

-(void)test{
   NSLog(@"本工程HOOK，🍺🍺🍺🍺🍺");
}

- (IBAction)btnClick1:(id)sender {
   NSLog(@"按钮1调用!");
}

- (IBAction)btnClick2:(id)sender {
   NSLog(@"按钮2调用了!");
}

@end

真机运行项目，点击按钮2

在本工程中，使用sys_exchange函数HOOK成功。但对于攻击方，在不知道函数名称的情况下，则很难进行HOOK

上述防护方式，过于简单。它会在MachO的字符串表中，存储method_exchangeImplementations的字符串

使用Hopper，打开HookMgr动态库的MachO文件

攻击方通过字符串，很容易定位到防护代码，然后对其破解。例如，在更早的执行时机，对防护的关键函数HOOK，让防护代码失效

所以上述方式，不建议使用。高明的防护代码，应该让攻击方很难发现，尽量不留下痕迹。在程序运行过程中，不知不觉的将其干掉

MokeyDev

MokeyDev：作者刘培庆，原iOSOpenDev的升级版，一款非越狱插件开发集成神器

主要包括四个模块：

• Logos Tweak：使用theos提供的logify.pl工具，将*.xm文件转成*.mm文件参与执行。集成了CydiaSubstrate，可以使用MSHookMessageEx和MSHookFunction来Hook指定地址和OC函数
• CaptainHook Tweak：使用CaptainHook提供的头文件，进行OC函数的Hook以及属性的获取
• Command-line Tool：可以直接创建运行于越狱设备的命令行工具
• MonkeyApp：这是自动给第三方应用集成Reveal、Cycript和注入dylib的模块。支持调试dylib和第三方应用，支持Pod给第三放应用集成SDK，只需要准备一个砸壳后的ipa或app文件即可

安装MokeyDev，需要先安装theos。详情可参见：官方文档 & 安装说明

安装中，遇到xcode 12 Types.xcspec not found错误，可执行以下命令：

sudo ln -s /Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/Library/Xcode/PrivatePlugIns/IDEOSXSupportCore.ideplugin/Contents/Resources /Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/Library/Xcode/Specifications

• 详情可查看：原文地址

案例1

搭建MokeyApp项目

安装MokeyDev成功后，打开Xcode，创建新项目

选择MokeyApp

创建成功，默认包含App和注入的动态库

案例2

使用MokeyApp实现应用重签名

MokeyApp支持.ipa和.app格式

将ipa包，拷贝到MokeyDemo下的TargetApp目录中

运行MokeyDemo项目，即可安装成功

案例3

使用MokeyApp实现代码注入

在MokeyDemoDylib中，点击MokeyDemoDylib.xm文件，选择Objective-C++ Source

打开MokeyDemoDylib.xm文件，写入以下代码：

#import <UIKit/UIKit.h>

%hook ViewController

- (void)btnClick1:(id)sender {
   NSLog(@"🍺🍺🍺🍺🍺");
}

%end

• 使用Logos语法，详情可查看：官方文档

真机运行项目，检测到HOOK代码

点击按钮1，输出的是交换后的内容

HOOK成功后，调用原始函数

- (void)btnClick1:(id)sender {
   NSLog(@"🍺🍺🍺🍺🍺");
  %orig;
}

只需要%orig一句代码，即可调用

使用MokeyApp，在AntiHook项目中，可以检测到method_exchangeImplementations函数的使用，说明防护代码有效。至于方法还是被交换了，可能MokeyDev使用的是get/set方法

案例4

在AntiHook项目中，增加对method_setImplementation的防护

来到AntiHookCode项目

在Framework中，打开AntiHookCode.m文件，修改为以下代码

#import "AntiHookCode.h"
#import "fishhook.h"

@implementation AntiHookCode

+(void)load{
   
   struct rebinding rebExchange;
   rebExchange.name="method_exchangeImplementations";
   rebExchange.replacement=my_check;
   rebExchange.replaced=(void *)&sys_exchange;
   
   struct rebinding rebSetImp;
   rebSetImp.name="method_setImplementation";
   rebSetImp.replacement=my_check;
   rebSetImp.replaced=(void *)&sys_setImp;

   struct rebinding rebs[] = { rebExchange, rebSetImp };
   rebind_symbols(rebs, 2);
}

void (*sys_exchange)(Method _Nonnull m1, Method _Nonnull m2);
IMP _Nonnull (*sys_setImp)(Method _Nonnull m, IMP _Nonnull imp);

void my_check(Method _Nonnull m1, Method _Nonnull m2){
   NSLog(@"检测到HOOK");
}

@end

编译项目，将ipa包，覆盖到MokeyDemo下的TargetApp目录中

真机运行项目，检测到HOOK代码

点击按钮1，输出的还是原始内容

当method_setImplementation函数被交换，MokeyDev的HOOK代码同样失效

在MokeyDev中，使用的是Substrate框架

在MokeyDemoDylib.xm中写入的Logos语法，也是被libsubstrate.dylib库进行解析

将.xm中的代码，解析到MokeyDemoDylib.mm文件

在MSHookMessageEx函数内部，也是通过get/set方法，对OC方法进行HOOK

总结：

反HOOK防护

• 利用fishHook，修改Method Swizzle相关函数
• 不推荐使用，防护痕迹过于明显。会导致其他三方库无法使用Method Swizzle
• 防护代码需要最先被执行，否则先被HOOK，防护代码失效
• 原始工程编写的Framework库，优先于注入库的加载，适合写防护代码

MokeyDev

• 原iOSOpenDev的升级版，一款非越狱插件开发集成神器
• 使用Substrate框架
• 底层通过get/set方法，对OC方法进行HOOK