[原创]iOS下远程进程注入dylib源码-iOS安全-看雪-安全社区|安全招聘|kanxue.com

[原创]iOS下远程进程注入dylib源码

发表于: 2014-5-15 14:16 38605

[原创]iOS下远程进程注入dylib源码

rainyx

2014-5-15 14:16

38605

实现了iOS下远程进程注入dylib的功能，借鉴了一些资料，自己实现了下，写的很糙，拿出来供大家参考。

大致原理跟Win下的CreateRemoteThread类似，细节都在代码中。

其中一段是用汇编写的，找不到s文件了，其实很简单，作用是执行dlopen加载目标dylib。

注：在armv7、armv7s中测试有效。


//
//  main.c
//  swinjector
//
//  Created by rainyx on 13-7-24.
//  Copyright (c) 2013年 __MyCompanyName__. All rights reserved.
//

#include <stdio.h>
#include <stdlib.h>
#include <dlfcn.h>
#include <mach/mach.h>
#include <mach/machine/thread_status.h>
#include <pthread.h>

#define CPSR_T_MASK (1u<<5)

struct INJECT_CONTEXT
{
    unsigned int _pthreadStruct;
    void (*__pthread_set_self)(pthread_t);
    int (*pthread_create)(pthread_t *, const pthread_attr_t *, void *(*)(void *), void *);
    int (*pthread_join)(pthread_t, void **);
    mach_port_t (*mach_thread_self)();
    kern_return_t (*thread_terminate)(thread_act_t);
    const char *library;
    void *(*dlopen)(const char *, int);
} INJECT_CONTEXT;


int main (int argc, const char * argv[])
{
    if(argc!=3)
    {
        printf("Usage: <PID> <Dynamic library path>\n");
        return 0;
    }
    
    const char *library = argv[2];
    
    mach_port_t self = mach_task_self();
    mach_port_t remoteTask;
    
    pid_t pid = (pid_t)strtoul(argv[1], NULL, 10);
    task_for_pid(mach_task_self(), pid, &remoteTask);
    
    if(!remoteTask)
    {
        printf("Failed: task_for_pid, pid: %d(0x%X).\n", pid, pid);
        return 0;
    }
    
    // 分配栈空间
    vm_address_t remoteStack;
    vm_size_t stackSize = 16*1024;
    vm_allocate(remoteTask, &remoteStack, stackSize, TRUE);
    
    // 写入library字符串
    vm_size_t libraryLen = strlen(library);
    vm_address_t remoteLibrary;
    vm_allocate(remoteTask, &remoteLibrary, libraryLen, TRUE);
    vm_write(remoteTask, remoteLibrary, library, (mach_msg_type_number_t)libraryLen);
    
    // 分配_pthread struct空间
    vm_address_t remotePthreadStruct;
    vm_size_t pthreadStructSize = 1024;
    vm_allocate(remoteTask, &remotePthreadStruct, pthreadStructSize, TRUE);
    
    // 写入Context
    struct INJECT_CONTEXT context;
    
    extern void __pthread_set_self(pthread_t);
    
    context.library = remoteLibrary;
    context._pthreadStruct = (unsigned int)remotePthreadStruct;
    context.__pthread_set_self = &__pthread_set_self;
    context.thread_terminate = &thread_terminate;
    context.mach_thread_self = &mach_thread_self;
    context.pthread_create = &pthread_create;
    context.pthread_join = &pthread_join;
    context.dlopen = &dlopen;
    
    vm_size_t contextSize = sizeof(INJECT_CONTEXT);
    vm_address_t remoteContext;
    vm_allocate(remoteTask, &remoteContext, contextSize, TRUE);
    vm_write(remoteTask, remoteContext, &context, (mach_msg_type_number_t)contextSize);
    
    // 写入Code
    unsigned char code[124] = {
        0x80, 0x40, 0x2D, 0xE9, 0x08, 0xD0, 0x4D, 0xE2, 0x00, 0x70, 0xA0, 0xE1, 0x00, 0x00, 0x97, 0xE5,
        0x00, 0x00, 0x80, 0xE5, 0x04, 0x10, 0x97, 0xE5, 0x31, 0xFF, 0x2F, 0xE1, 0x0D, 0x00, 0xA0, 0xE1,
        0x00, 0x10, 0xA0, 0xE3, 0x30, 0x20, 0x8F, 0xE2, 0x07, 0x30, 0xA0, 0xE1, 0x08, 0x40, 0x97, 0xE5,
        0x34, 0xFF, 0x2F, 0xE1, 0x00, 0x00, 0x9D, 0xE5, 0x04, 0x10, 0x8D, 0xE2, 0x0C, 0x20, 0x97, 0xE5,
        0x32, 0xFF, 0x2F, 0xE1, 0x10, 0x10, 0x97, 0xE5, 0x31, 0xFF, 0x2F, 0xE1, 0x14, 0x10, 0x97, 0xE5,
        0x31, 0xFF, 0x2F, 0xE1, 0x08, 0xD0, 0x8D, 0xE2, 0x80, 0x80, 0xBD, 0xE8, 0x80, 0x40, 0x2D, 0xE9,
        0x00, 0x70, 0xA0, 0xE1, 0x18, 0x00, 0x97, 0xE5, 0x02, 0x10, 0xA0, 0xE3, 0x1C, 0x20, 0x97, 0xE5,
        0x32, 0xFF, 0x2F, 0xE1, 0x00, 0x00, 0xA0, 0xE3, 0x80, 0x80, 0xBD, 0xE8
    };
    
    vm_size_t codeSize = 124;
    vm_address_t remoteCode;
    vm_allocate(remoteTask, &remoteCode, codeSize, TRUE);
    vm_write(remoteTask, remoteCode, &code, (mach_msg_type_number_t)codeSize);
    vm_protect(remoteTask, remoteCode, codeSize, FALSE, VM_PROT_READ | VM_PROT_WRITE | VM_PROT_EXECUTE);
    
    
    // 创建远程线程
    arm_thread_state_t state;
    memset(&state, 0, sizeof(state));
    
    state.__r[0] = (__uint32_t)remoteContext;
    state.__pc = (__uint32_t)remoteCode;
    state.__sp = (__uint32_t)(remoteStack + stackSize/2);
    
    if (state.__pc & 0x1)
    {
        state.__pc &= ~0x1;
        state.__cpsr |= CPSR_T_MASK;
    }
    else
    {
        state.__cpsr &= ~CPSR_T_MASK;
    }
    
    // 启动线程
    thread_act_t remoteThread;
    thread_create_running(remoteTask, ARM_THREAD_STATE, (thread_state_t) &state, ARM_THREAD_STATE_COUNT, &remoteThread);
    
    //printf("Remote thread is running.\n");
    
    // 等待线程结束，释放资源
    
    thread_state_flavor_t flavor;
    mach_msg_type_number_t count;
    flavor = ARM_THREAD_STATE;
    count = ARM_THREAD_STATE_COUNT;
    mach_msg_type_number_t read;
    kern_return_t status;
    
    while (true)
    {
        read = count;
        status = thread_get_state(remoteThread, flavor, (thread_state_t)&state, &read);
        if(status == KERN_SUCCESS)
        {
            usleep(10000);
            continue;
        }
        else if(status == KERN_TERMINATED || status == MACH_SEND_INVALID_DEST)
        {
            break;
        }
        else
        {
            // TODO on error.
        }
    }
    
    if(remoteThread)
        mach_port_deallocate(self, remoteThread);
    if(remoteCode)
        vm_deallocate(remoteTask, remoteCode, codeSize);
    if(remotePthreadStruct)
        vm_deallocate(remoteTask, remotePthreadStruct, pthreadStructSize);
    if(remoteLibrary)
        vm_deallocate(remoteTask, remoteLibrary, libraryLen);
    if(remoteContext)
        vm_deallocate(remoteTask, remoteContext, contextSize);
    if(remoteStack)
        vm_deallocate(remoteTask, remoteStack, stackSize);
    
    printf("Injected successfully!\n");
    
	return 0;
}

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・40

免费・8

支持

最新回复 (28) 1 2 ▶
地狱怪客雪币： 341 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 2 楼虽然不懂手机但是看上去好高端 2014-5-15 14:26 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 3 楼 2014-5-15 14:45 0
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	coltor 2 4 楼不错~~,mac's hacker handbook 2014-5-15 14:57 0
stanford 雪币： 192 活跃值： (186) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 45 粉丝 2 关注私信	stanford 5 楼确实不错，But，ios好像不太用的到，Mac还是有用的。 2014-5-15 15:06 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 6 楼没错，原理及代码都是通用到，目前iOS上有成熟的框架，无需另写。 2014-5-15 15:13 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 7 楼记得有人问过我。当时说用pthread. 那边回说pthread容易被处理掉。改用 mac 上的 mach，可以无视调试器。 2014-5-15 17:11 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 8 楼 mach线程无法直接调用dlopen。必须经过pthread。你确定你说的不是ptrace？ 2014-5-15 18:11 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 9 楼绝对好书 2014-5-15 18:17 0
kgxxx 雪币： 14 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 82 粉丝 1 关注私信	kgxxx 10 楼高大上~ 2014-5-15 20:03 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 11 楼 cool。thx 2014-5-15 20:13 0
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	coltor 2 12 楼 Chapter11: Injecting,Hooking and Swizzing. 呵呵~~ 2014-5-15 21:03 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 13 楼大神轻虐！ 2014-5-15 22:10 0
tiany 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	tiany 14 楼现在还在用XP的路过，不过确实高大帅富屌的代码感觉。 2014-5-16 16:12 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 24 关注私信	fosom 8 15 楼高端,留贴 2014-5-20 18:25 0
brantb张雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	brantb张 16 楼框架叫什么名字呢 2014-5-26 15:48 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 17 楼 Cydia Substrate 2014-5-28 09:44 0
coolboyme 雪币： 3407 活跃值： (1232) 能力值： ( LV13，RANK：335 ) 在线值：发帖 27 回帖 109 粉丝 22 关注私信	coolboyme 5 18 楼 __pthread_set_self 这个符号找不到呢，在什么库里面呢。 2015-1-12 09:46 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 19 楼 dylib 类似dllmain的地方在哪。。 2016-4-11 15:32 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 20 楼看了下标题，6的不要不要的，居然2014年就出来了，居然没有看到，遗憾啊，来晚了 2016-4-16 13:49 0
computerboy 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	computerboy 21 楼 MARK一下 2016-8-26 01:06 0
小王fa 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	小王fa 22 楼看起来很高端 2016-9-26 21:58 0
wx_铁牛雪币： 581 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_铁牛 23 楼大神就喜欢玩这么高端的代码 2017-7-20 05:32 0
满天星空雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	满天星空 24 楼 ios12.0如何实现啊最后于 2020-11-11 15:37 被满天星空编辑，原因： 2020-11-11 10:33 0
尐进雪币： 5482 活跃值： (3272) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 166 粉丝 149 关注私信	尐进 25 楼 mark 2020-11-11 17:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

rainyx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
地狱怪客雪币： 341 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 2 楼虽然不懂手机但是看上去好高端 2014-5-15 14:26 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 3 楼 2014-5-15 14:45 0
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	coltor 2 4 楼不错~~,mac's hacker handbook 2014-5-15 14:57 0
stanford 雪币： 192 活跃值： (186) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 45 粉丝 2 关注私信	stanford 5 楼确实不错，But，ios好像不太用的到，Mac还是有用的。 2014-5-15 15:06 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 6 楼没错，原理及代码都是通用到，目前iOS上有成熟的框架，无需另写。 2014-5-15 15:13 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 7 楼记得有人问过我。当时说用pthread. 那边回说pthread容易被处理掉。改用 mac 上的 mach，可以无视调试器。 2014-5-15 17:11 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 8 楼 mach线程无法直接调用dlopen。必须经过pthread。你确定你说的不是ptrace？ 2014-5-15 18:11 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 9 楼绝对好书 2014-5-15 18:17 0
kgxxx 雪币： 14 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 82 粉丝 1 关注私信	kgxxx 10 楼高大上~ 2014-5-15 20:03 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 11 楼 cool。thx 2014-5-15 20:13 0
coltor 雪币： 69 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 86 粉丝 0 关注私信	coltor 2 12 楼 Chapter11: Injecting,Hooking and Swizzing. 呵呵~~ 2014-5-15 21:03 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 13 楼大神轻虐！ 2014-5-15 22:10 0
tiany 雪币： 253 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	tiany 14 楼现在还在用XP的路过，不过确实高大帅富屌的代码感觉。 2014-5-16 16:12 0
fosom 雪币： 1839 活跃值： (295) 能力值： ( LV9，RANK：370 ) 在线值：发帖 30 回帖 422 粉丝 24 关注私信	fosom 8 15 楼高端,留贴 2014-5-20 18:25 0
brantb张雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	brantb张 16 楼框架叫什么名字呢 2014-5-26 15:48 0
rainyx 雪币： 174 活跃值： (205) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 5 关注私信	rainyx 1 17 楼 Cydia Substrate 2014-5-28 09:44 0
coolboyme 雪币： 3407 活跃值： (1232) 能力值： ( LV13，RANK：335 ) 在线值：发帖 27 回帖 109 粉丝 22 关注私信	coolboyme 5 18 楼 __pthread_set_self 这个符号找不到呢，在什么库里面呢。 2015-1-12 09:46 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 19 楼 dylib 类似dllmain的地方在哪。。 2016-4-11 15:32 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 22 关注私信	大王叫我挖坟 3 20 楼看了下标题，6的不要不要的，居然2014年就出来了，居然没有看到，遗憾啊，来晚了 2016-4-16 13:49 0
computerboy 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	computerboy 21 楼 MARK一下 2016-8-26 01:06 0
小王fa 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	小王fa 22 楼看起来很高端 2016-9-26 21:58 0
wx_铁牛雪币： 581 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_铁牛 23 楼大神就喜欢玩这么高端的代码 2017-7-20 05:32 0
满天星空雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	满天星空 24 楼 ios12.0如何实现啊最后于 2020-11-11 15:37 被满天星空编辑，原因： 2020-11-11 10:33 0
尐进雪币： 5482 活跃值： (3272) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 166 粉丝 149 关注私信	尐进 25 楼 mark 2020-11-11 17:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复