hook objc_msgSend方法以获取OC方法入参

hook objc_msgSend方法以获取OC方法入参
2022-12-28 18:2:24 Author: 看雪学苑(查看原文) 阅读量:10 收藏

本文为看雪论坛优秀文章

看雪论坛作者ID：LeoW丨

objc_msgSend是iOS里最重要的方法。

按道理来说，hook objc_msgSend就可以获取到app中所有调用的OC方法名和参数等。

所有的OC方法都需要经过objc_msgSend方法消息转发寻找方法IMP。

参考hook objc_msgSend从而获得OC方法执行时间（https://github.com/cxr0715/hook_objc_msgSend）

简说objc_msgSend方法

objc_msgSend源码参考苹果openSource（https://opensource.apple.com/source/objc4/objc4-723/runtime/Messengers.subproj/objc-msg-arm64.s.auto.html）。

此方法考虑效率，使用汇编编写，此方法大致上有4个关键步骤：

① 获取传入的target的class。

② 找到class对应方法的缓存。

③ 尝试在缓存bukets中找到方法的具体实现。如果没有在cache中找到，则进入消息转发，深层查找，找到后，将方法和对应的IMP写入cache中。

④ 直接调用方法的实现。

综上看，这个方法是一个"跳板"函数，并且它是线程安全的。

上述的4个步骤中，1，2，4是线程安全的，3步骤利用一些trick保障了线程安全，具体超出了本文的范围，可查看剖析objc_msgSend，其中对objc_msgSend方法的汇编实现，逐行讲解。

想法1 视为普通C函数hook

因为根据 #include <objc/message.h> 中objc_msgSend函数的定义如下:

id _Nullable objc_msgSend(id _Nullable self, SEL _Nonnull op, ...)

所以将它视为普通的C函数，利用 fishhook / cydia substrate hook，结合va_list分析传入的参数，应该就可以。

但是，不可以。通过据这里介绍，arm 64位上的va_list结构改变了，不能使用va_list了，因此此方法不能实现。

没有验证正确性。

想法2 利用fish Hook+汇编 hook

既然利用va_list获取参数不可行。

参考objc_msgSend源码（https://opensource.apple.com/source/objc4/objc4-723/runtime/Messengers.subproj/objc-msg-arm64.s.auto.html），因为在arm 64上，x0 - x8寄存器用于传参，所以结合汇编代码，应该可以hook，crx0715已经成功，具体可以查看它的讲解。

使用fishhook很好，因为fishhook是导出表hook，不会修改原方法的实现。

大概实现如下：

其中，保存寄存器，即使用stp命令，将寄存器保存到栈上。

提高栈帧SP，减小地址即可。因为iOS上内存栈帧由高地址向低地址，即后入的参数在内存低地址。

"stp x8, x9, [sp, #-16]!\n" \

偏移寻址的标记后多了一个 !，在执行完上文的 stp 指令后，还会使 sp 寄存器也产生偏移。

同理，还原寄存器，使用ldp命令降低栈帧SP。

想法3 利用inline hook + 汇编hook

既然fishhook可行，inline hook也可以。

区别在于inline hook会修改原始方法的前3条指令，备份函数会将这前3条指令备份下来，然后br跳转到原始方法的第四条指令。如此调用备份函数就好像调用原始objc_msgSend一样。具体inline hook的如何修改的原理就不赘述了。

具体流程和fishhook一致，不过经过实验有个坑，就是在before_objc_msgSend_inline和after_objc_msgSend_inline中暂时不能调用OC方法，因为会造成如下死循环。

得到objc_msgSend的参数

由于参数保存在x0-x8寄存器中，那么在before_objc_msgSend中对寄存器分析，就可以获取到入参。

// 打印调用的OC方法的对象和方法名，和最多两个参数。void printSpecificParam_fish(id self, SEL _cmd, uintptr_t param1, uintptr_t param2,uintptr_t lr){    // 此方法中暂只能使用C方法,使用OC方法可能会导致寄存器异常导致崩溃，经测试，发生在相同方法调用相同方法时崩溃    // NSlog可以用    const char * className = object_getClassName(self);    const char * selector = sel_getName(_cmd);    //NSLog(@"class : %s, methodname : %s",className,selector);    if ( strcmp( selector, "fileExistsAtPath:" ) == 0) {        NSLog(@"class : %s, methodname : %s, param1 : %@",className,selector,param1);    }else {        NSLog(@"class : %s, methodname : %s",className,selector);    }}

这里有个坑，self参数，在一些app中会引入引用计数问题导致崩溃，还没有具体查询。作为TODO吧，现在的printSpecificParam_fish参数入参需要修改一下，将self去除：

void printSpecificParam_fish( SEL _cmd, uintptr_t param1, uintptr_t param2,uintptr_t lr){        const char * selector = sel_getName(_cmd);    NSLog(@"methodname : %s",selector);}

运行结果

可以看到打印了所有的OC方法的方法名和参数。

最后

完成代码可以参考github地址

看雪ID：LeoW丨

https://bbs.pediy.com/user-home-889798.htm

*本文由看雪论坛 LeoW丨原创，转载请注明来自看雪社区

# 往期推荐

1.CVE-2022-21882提权漏洞学习笔记

2.wibu证书 - 初探

3.win10 1909逆向之APIC中断和实验

4.EMET下EAF机制分析以及模拟实现

5.sql注入学习分享

6.V8 Array.prototype.concat函数出现过的issues和他们的POC们

球分享

球点赞

球在看

点击“阅读原文”，了解更多！

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458489490&idx=2&sn=fa567d47b2b7a65289b6eb64b65d54c0&chksm=b18ea21886f92b0eaeb664cee226dce4676fdbc5ada6c6dda1aa5117f92176555b425ade987c#rd
如有侵权请联系:admin#unsafe.sh