[保存] Hooks MGCopyAnswer(arm64)-iOS安全-看雪-安全社区|安全招聘|kanxue.com

[保存] Hooks MGCopyAnswer(arm64)

发表于: 2017-3-21 14:48 12264

[保存] Hooks MGCopyAnswer(arm64)

小调调

2017-3-21 14:48

12264

When CydiaSubstrate hooks a C function, it sorts of overwrites an assembly version of goto your_function; at the beginning of the original function. This "goto" in ARM64 is 16 bytes in size, which means if the original function is too short (< 16 bytes), CydiaSubstrate can spill over and corrupt the neighboring functions.

This is exactly why the problem of MGCopyAnswer. The implementation of MGCopyAnswer is basically (on 9.3.2 arm64):

01 00 80 d2        movz x1, #0
01 00 00 14        b    MGCopyAnswer_internal

which is just 8 bytes (< 16 bytes) in size. So CydiaSubstrate will corrupt the 8 bytes after the end of MGCopyAnswer.

Unfortunately, MGCopyAnswer_internal is right after MGCopyAnswer, and even worse this function and is called by MGGetBoolAnswer as well. Since MGCopyAnswer_internal is corrupt, you get an EXC_BAD_INSTRUCTION crash inside libMobileGestalt.

A good news for MGCopyAnswer is that, you could just hook MGCopyAnswer_internal! This has an additional benefit that many related functions like MGGetBoolAnswer, MGCopyAnswerWithError, MGCopyMultipleAnswers etc. can respond to your change as well. The bad thing is that MGCopyAnswer_internal is completely internal, and there is no symbols pointing to it. We could rely on the fact that MGCopyAnswer_internal is exactly 8 bytes after MGCopyAnswer on ARM64, and develop this ugly hack:

static CFPropertyListRef (*orig_MGCopyAnswer_internal)(CFStringRef prop, uint32_t* outTypeCode);
CFPropertyListRef new_MGCopyAnswer_internal(CFStringRef prop, uint32_t* outTypeCode) {
    return orig_MGCopyAnswer_internal(prop, outTypeCode);
}

extern "C" MGCopyAnswer(CFStringRef prop);

static CFPropertyListRef (*orig_MGCopyAnswer)(CFStringRef prop);
CFPropertyListRef new_MGCopyAnswer(CFStringRef prop) {
    return orig_MGCopyAnswer(prop);
}

%ctor {
    uint8_t MGCopyAnswer_arm64_impl[8] = {0x01, 0x00, 0x80, 0xd2, 0x01, 0x00, 0x00, 0x14};
    const uint8_t* MGCopyAnswer_ptr = (const uint8_t*) MGCopyAnswer;
    if (memcmp(MGCopyAnswer_ptr, MGCopyAnswer_arm64_impl, 8) == 0) {
        MSHookFunction(MGCopyAnswer_ptr + 8, (void*)new_MGCopyAnswer_internal, (void**)&orig_MGCopyAnswer_internal);
    } else {
        MSHookFunction(MGCopyAnswer_ptr, (void*)new_MGCopyAnswer, (void**)&orig_MGCopyAnswer);
    }
}

(This only checks for arm64 on 9.3.2. Other platforms may crash in different ways, and have different assembly code, so you may need to add additional conditions into enter the hook-MGCopyAnswer_internal branch. YMMV!)

出处：libmobilegestalt-dylib-crashed-when-hooking-mgcopyanswer-for-arm64

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・7

免费・0

支持

最新回复 (17)
deadash 雪币： 226 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 1 关注私信	deadash 2 楼 good job 2017-3-21 14:51 0
昨日重现SIM 雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	昨日重现SIM 3 楼 IOS 10 hook不了了 2017-4-13 11:20 0
我爱胭脂浓雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	我爱胭脂浓 4 楼 iOS9 hook蹦B 2017-4-16 11:55 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 5 楼我爱胭脂浓 iOS9 hook蹦B 我各种机器上一切正常 2017-5-18 18:07 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 6 楼昨日重现SIM IOS 10 hook不了了一切正常 2017-5-18 18:08 0
bianhao 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	bianhao 7 楼 HOOK 后可以修改不? 2017-5-22 15:37 0
bianhao 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	bianhao 8 楼楼主能留个联系方式不......... 2017-5-22 15:46 0
永恒梦魇雪币： 208 活跃值： (479) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 34 粉丝 2 关注私信	永恒梦魇 9 楼学习了... 2017-5-22 20:40 0
永恒梦魇雪币： 208 活跃值： (479) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 34 粉丝 2 关注私信	永恒梦魇 10 楼 MSHookFunction(MGCopyAnswer_ptr + 8...) 是因为MGCopyAnswer_internal正好在MGCopyAnswer后面8bytes处吗？ 2017-5-22 21:08 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 11 楼永恒梦魇 MSHookFunction(MGCopyAnswer_ptr + 8...) 是因为MGCopyAnswer_internal正好在MGCopyAnswer后面8bytes处吗？ 2017-5-25 11:27 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 12 楼调调大婶子给作者加个版权好吗？ https://stackoverflow.com/questions/37903788/libmobilegestalt-dylib-crashed-when-hooking-mgcopyanswer-for-arm64 2017-5-26 10:41 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 13 楼猪会被杀掉调调大婶子给作者加个版权好吗？https://stackoverflow.com/questions/37903788/libmobilegestalt-dylib-crashe ... 可以，但是出处好像不确定是不是这 2017-5-26 17:01 0
grislove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	grislove 14 楼 extern "C" MGCopyAnswer(CFStringRef prop); 报错。改：extern "C" CFPropertyListRef MGCopyAnswer(CFStringRef prop); MSHookFunction报错。把MSHookFunction的第一个参数加“&” 然后编译，8.4-5C 崩溃小白求解 2017-6-2 15:44 0
空気雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	空気 15 楼作者给你点个赞 2017-6-29 17:34 0
AliceForever 雪币： 30 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	AliceForever 16 楼作者再给你点个赞。。。 2017-7-17 10:23 0
xinyangs 雪币： 34 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	xinyangs 17 楼小白请问 outTypeCode 这个参数需要传什么值呢？ 2017-10-19 12:39 0
airbus 雪币： 244 活跃值： (174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 18 楼 mark下进来学习 2017-10-23 17:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小调调

发帖

380

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
deadash 雪币： 226 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 1 关注私信	deadash 2 楼 good job 2017-3-21 14:51 0
昨日重现SIM 雪币： 95 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	昨日重现SIM 3 楼 IOS 10 hook不了了 2017-4-13 11:20 0
我爱胭脂浓雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	我爱胭脂浓 4 楼 iOS9 hook蹦B 2017-4-16 11:55 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 5 楼我爱胭脂浓 iOS9 hook蹦B 我各种机器上一切正常 2017-5-18 18:07 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 6 楼昨日重现SIM IOS 10 hook不了了一切正常 2017-5-18 18:08 0
bianhao 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	bianhao 7 楼 HOOK 后可以修改不? 2017-5-22 15:37 0
bianhao 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	bianhao 8 楼楼主能留个联系方式不......... 2017-5-22 15:46 0
永恒梦魇雪币： 208 活跃值： (479) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 34 粉丝 2 关注私信	永恒梦魇 9 楼学习了... 2017-5-22 20:40 0
永恒梦魇雪币： 208 活跃值： (479) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 34 粉丝 2 关注私信	永恒梦魇 10 楼 MSHookFunction(MGCopyAnswer_ptr + 8...) 是因为MGCopyAnswer_internal正好在MGCopyAnswer后面8bytes处吗？ 2017-5-22 21:08 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 11 楼永恒梦魇 MSHookFunction(MGCopyAnswer_ptr + 8...) 是因为MGCopyAnswer_internal正好在MGCopyAnswer后面8bytes处吗？ 2017-5-25 11:27 0
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 12 楼调调大婶子给作者加个版权好吗？ https://stackoverflow.com/questions/37903788/libmobilegestalt-dylib-crashed-when-hooking-mgcopyanswer-for-arm64 2017-5-26 10:41 0
小调调雪币： 3279 活跃值： (3331) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 13 楼猪会被杀掉调调大婶子给作者加个版权好吗？https://stackoverflow.com/questions/37903788/libmobilegestalt-dylib-crashe ... 可以，但是出处好像不确定是不是这 2017-5-26 17:01 0
grislove 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	grislove 14 楼 extern "C" MGCopyAnswer(CFStringRef prop); 报错。改：extern "C" CFPropertyListRef MGCopyAnswer(CFStringRef prop); MSHookFunction报错。把MSHookFunction的第一个参数加“&” 然后编译，8.4-5C 崩溃小白求解 2017-6-2 15:44 0
空気雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	空気 15 楼作者给你点个赞 2017-6-29 17:34 0
AliceForever 雪币： 30 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	AliceForever 16 楼作者再给你点个赞。。。 2017-7-17 10:23 0
xinyangs 雪币： 34 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	xinyangs 17 楼小白请问 outTypeCode 这个参数需要传什么值呢？ 2017-10-19 12:39 0
airbus 雪币： 244 活跃值： (174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 18 楼 mark下进来学习 2017-10-23 17:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复