首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. iOS安全
    3. 发新帖
[原创]iOS inlinehook绕过反调试
发表于: 2019-9-10 17:17 24684

[原创]iOS inlinehook绕过反调试

xia0 活跃值
1
2019-9-10 17:17
24684

之前写过一篇iOS LLDB中基于内存单指令patch实现反反调试介绍了在LLDB中如何通过单指令patch的方式去绕过ptrace来反调试。但后面还有一些情况没有解决:如果不是调用ptrace函数,而是直接编写内联汇编的方式,调用对应的系统调用来间接实现反调试,那么这种方式之前的那种办法就不再可行。本文就准备解决那种用内联汇编的反调试方式。

这里有两种方案去绕过这种反调试:

在介绍思路之前,先看下一遍内联汇编去实现反调试的代码

这里可以看出原理就是调用了26号系统调用,那么我们是不是可以去代码段里面去搜索,找到满足该特征的代码位置,然后直接将svc置为 nop不就可以了?下面引出两个问题,如何去遍历代码段以及如何去修改?

代码不复杂,就是动态解析了自身内存里面的macho文件,根据macho文件格式找到代码段LC_SEGMENT_64(_TEXT)然后就能得到__text的开始位置以及大小。

传入的就是代码段的地址以及大小,然后遍历整个代码段,找到满足以下ptrace特征汇编代码

然后就返回该地址。

iOS LLDB中基于内存单指令patch实现反反调试这篇文章介绍了如何去patch代码的原理,但当时遇到一个bug:在iOS11/12上面patch会失败,后面我花了一段时间去分析了失败的原因,后来也写了一篇文章去记录了分析的过程,感兴趣的可以访问iOS12内存patch remap bug分析

这里我就直接给出patch的代码

完整流程代码如下

通过比对前后的代码就发现svc出地址的代码已经变成了nop从而绕过了反调试

这种方式主要针对那些混淆了系统调用号或者其他编译版本,其绕过原理是直接hook svc指令,然后判断是否为26号系统调用(让其他系统调用正常执行),若满足就直接跳过svc指令。

整体流程代码如下

同样遍历代码段找到所有的svc指令,然后进行hook,下面看hook的具体实现

这里代码比较复杂,大致分为以下步骤

map一页内存new,后面会将hook的代码写到里面

copy原svc前的四条指令保存到new页(目前没有进行相对寻址修复)

将hook判断的代码写到紧接着前面四条指令的后面,汇编代码大致如下

就是简单的判断了系统调用号是否为26,若满足就跳到svc的下一条指令,若不是则跳回原svc指令以保证其他系统调用正常执行。

patch目标地址进行hook跳转,由于进行任意地址跳转需要4条指令大小,所以这里覆盖了svc前的四条指令

这里就是在执行svc指令前使其跳转到我们的hook代码

最后将new这页设置为可读不可写可执行的页属性

其实对于这种inlinehook去绕过调试,后面发现已经有人已经实现了,因为只要实现了inlinehook,肯定能hook代码绕过。不过我这里主要是想去自己分析以及实现这里面的很多细节。因为hook框架由于要考虑到稳定,兼容等等因素,所以往往代码不是很直接。而这里通过仅仅实现绕过反调试的需求,所以代码都比较通俗易懂,原理来说都是一样的。只有自己去动手写了代码才发现里面的乐趣所在,比如如何去实现系统调用的判断?如何解决寄存器污染?如何去实现代码段patch?当然还有很多汇编级别的坑存在,踩坑解决坑同样有意思,这里就不一一介绍。

后面主要还有两个事需要做:

 
 
 
    asm volatile(
                 "mov x0,#31\n"
                 "mov x1,#0\n"
                 "mov x2,#0\n"
                 "mov x3,#0\n"
                 "mov x16,#26\n"
                 "svc #128\n"
                 );

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2019-9-10 17:31 被xia0编辑 ,原因:
收藏
免费 8
支持
分享
最新回复 (19)
Editor
雪    币: 26245
活跃值: (63297)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
私信
2
mark!
2019-9-10 18:04
0
jgs
雪    币: 8904
活跃值: (5131)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
jgs
3
谢谢楼主分享
2019-9-10 18:26
0
fishso
雪    币: 1110
活跃值: (281)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
楼主厉害,感谢分享
2019-9-10 19:33
0
xxRea
雪    币: 120
活跃值: (1597)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
mark!
2019-9-11 14:23
0
chaogelai
雪    币: 13
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
感谢分享
2019-9-12 21:59
0
ugvjewxf
雪    币: 615
活跃值: (585)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
7
thank you
2019-9-17 08:25
0
chaogelai
雪    币: 13
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
代码段能直接修改吗 如果真是可以修改这个就厉害了 注入到进程想干嘛干嘛了。既然能改代码段了 顺便问问有没有实现PC上 写入INT3 接管异常来处理寄存器的技术
最后于 2019-9-25 15:38 被chaogelai编辑 ,原因:
2019-9-25 15:30
0
xia0
雪    币: 1597
活跃值: (719)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
9
chaogelai 代码段能直接修改吗 如果真是可以修改这个就厉害了 注入到进程想干嘛干嘛了。既然能改代码段了 顺便问问有没有实现PC上 写入INT ...
是的,就是改代码段。可以再调试器中做很多细腻的操作
2019-9-25 15:55
0
chaogelai
雪    币: 13
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
xia0 是的,就是改代码段。可以再调试器中做很多细腻的操作
最后于 2019-9-26 13:08 被chaogelai编辑 ,原因:
2019-9-25 16:33
0
月光阴影
雪    币: 111
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
patchCode函数的代码怎么实现的?
2019-9-26 17:38
0
liumengde
雪    币: 348
活跃值: (486)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
12
patchCode函数的代码怎么实现的?
2019-10-13 19:58
0
xia0
雪    币: 1597
活跃值: (719)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
13
月光阴影 patchCode函数的代码怎么实现的?
https://github.com/4ch12dy/xia0LLDB/blob/master/debugme.py 这个文件里面有实现代码
2019-10-14 16:23
0
xia0
雪    币: 1597
活跃值: (719)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
14
https://github.com/4ch12dy/xia0LLDB/blob/master/debugme.py 这个文件里面有实现代码
2019-10-14 16:24
0
mb_oxfaajng
雪    币: 258
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
16
感谢大佬分享,学到了
2020-10-22 13:47
0
LeoW丨
雪    币: 436
活跃值: (486)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
17
之前改svc为nop都是用IDA,去patch的。楼主分享的很赞,去查找.text段,修改。学到了
2020-10-23 15:14
0
YunsChou
雪    币: 16
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
18

谢谢楼主分享

最后于 2020-10-23 16:51 被YunsChou编辑 ,原因:
2020-10-23 16:51
0
LeeLinux
雪    币: 2
活跃值: (464)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
饱学之士
2020-12-22 15:26
0
crazyearl
雪    币: 439
活跃值: (1284)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
私信
20

楼主的方案和frida、dobbyhook的hook很像 .
但是有一个祖传的bug一直没有解决,就是页边界问题.每个页0x4000
hook一次最少使用0x10 也就是4行代码. 如果hook的函数正好处于
0x3ffc 的时候就会崩溃.我的解决方案就是
```
typedef struct _CopyMemoryInfo {
        void* hook_address;
        int copy_size;
        addr_t page_align_address;
        int offset;
        void* remap_page;
    }CopyMemoryInfo;
    
    // 检查是否可以hOOK
    if (!isHooking((size_t)function_address)) {
        return kCantHook;
    }
    
    //
    // 先创建一页内存, 将被hOOK的函数当前页整个拷贝进来
    // 因为后面调用内核函数mach_vm_remap只能复制整页内存回去
    int page_size = OSMemory::PageSize();
    static mach_port_t self_port = mach_task_self();
    addr_t page_align_address = ALIGN_FLOOR(function_address, page_size);
    int offset = static_cast<int>((addr_t)function_address - page_align_address);
    
    void* remap_page = mmap(0, page_size, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS, VM_MAKE_TAG(255), 0);
    if(remap_page == NULL) {
        return kMemoryOperationError;
    }
    
    // 第一页从哪开始 - 拷贝几个字节
    int curr_size = page_size - offset;
    if (curr_size >= 0x10) { curr_size = 0x10; }
    CopyMemoryInfo copy_list[2] = {{function_address, curr_size, page_align_address, offset, remap_page}, {0}};
    
    // 这种情况下,HOOK会崩溃.因为已经在页的边界了,我们最低需求是0x10个字节.
    if(curr_size < 0x10) {
        // 下一页从哪开始 - 拷贝几个字节
        void * next_address = (void*)((size_t)function_address + curr_size);
        copy_list[1].hook_address = next_address;
        copy_list[1].copy_size = 0x10 - curr_size;
        addr_t next_page_align_address = ALIGN_FLOOR(next_address, page_size);
        copy_list[1].page_align_address = next_page_align_address;
        copy_list[1].offset = static_cast<int>((addr_t)next_address - next_page_align_address);
        
        void* remap_page = mmap(0, page_size, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS, VM_MAKE_TAG(255), 0);
        if(remap_page == NULL) {
            return kMemoryOperationError;
        }
        copy_list[1].remap_page = remap_page;
    }
    
    // new一块内存保存 old头部的0x10代码
    void* oldCall = OSMemory::NewMemory(0x20);
    if(oldCall == NULL) {
        return kMemoryOperationError;
    }
    
    // 跳转代码长度
    size_t size = (size_t)func_JumpCallEndin - (size_t)func_JumpCallBegin;
    
    // 将原始代码先保存起来
    int cpyLength = 0;
    for(int i = 0; i < 2; i++) {
        if(copy_list[i].hook_address == 0) {
            break;
        }
        kern_return_t kr = vm_copy(
            self_port,(vm_address_t)copy_list[i].page_align_address, page_size, (vm_address_t)copy_list[i].remap_page);
        if (kr != KERN_SUCCESS) {
            munmap((void *)copy_list[i].remap_page, (mach_vm_address_t)page_size);
            return kMemoryOperationError;
        }
        
        // 将原始代码先保存起来
        memcpy((void*)((size_t)oldCall + cpyLength), (void*)((size_t)copy_list[i].remap_page + copy_list[i].offset), copy_list[i].copy_size);
        cpyLength += copy_list[i].copy_size;
    }
    
    //
    // 检查前4条指令是否可以HOOK,如果可以HOOK
    // 从新计算被HOOK的4条指令中的相对地址,并且生成新的字节码
    // 例如
    // 10643ca70 : adrp x8, #0x10872a000 的字节码是 68 17 01 d0
    // 如果我们原封不动的将上面的字节码拷贝出来在运行的时候
    // 由于oldCall的地址并不是10643ca70取值的指针错误导致崩溃或者其他错误
    // 所以要根据oldCall的地址从新计算
    if(!makeOrigin(oldCall, 0x10, (size_t)function_address)) {
        for(int i = 0; i < 2; i++) {
            if(copy_list[i].remap_page != 0) {
                munmap((void *)copy_list[i].remap_page, (mach_vm_address_t)page_size);;
            }
        }
        OSMemory::SubOffset(0x20);
        return kCantHook;
    }
    
    //
    // 制作一个跳转回去被HOOK函数的中继函数
    // 上面创建oldCall的时候是0x20字节
    // 前0x10字节保存hOOK函数的头部的前0x10
    // 后0x10字节保存我们跳到hook函数+0x10的地址
    memcpy((void*)((size_t)oldCall + 0x10), (const void*)func_JumpCallBegin, size);
    *(size_t*)((size_t)oldCall + 0x10 + size) = (size_t)function_address + 0x10;
    *origin_call = oldCall;
    // 这里注意,将oldCall这一整页一定设置成 只读、执行. 否则崩溃,这个错误我排了4个小时血泪记录
    mprotect(OSMemory::GetAddress(), page_size, PROT_READ | PROT_EXEC);
    
    // 设置跳转代码
    char* buffer = new char[size + 8];
    memset(buffer, 0, size + 8);
    memcpy(buffer, (void*)func_JumpCallBegin, size);
    *(size_t*)(buffer + 8) = (size_t)replace_call;
    cpyLength = 0;
    for(int i = 0; i < 2; i++) {
        if(copy_list[i].hook_address == 0) {
            break;
        }
        memcpy((void*)((size_t)copy_list[i].remap_page + copy_list[i].offset),
               (void*)((size_t)buffer + cpyLength), copy_list[i].copy_size);
        cpyLength += copy_list[i].copy_size;
    }
    delete [] buffer;
    
    for(int i = 0; i < 2; i++) {
        if(copy_list[i].hook_address == 0) {
            break;
        }
        mprotect((void *)copy_list[i].remap_page, page_size, PROT_READ | PROT_EXEC);
        mach_vm_address_t dest_page_address_ = (mach_vm_address_t)copy_list[i].page_align_address;
        vm_prot_t curr_protection, max_protection;
        kern_return_t kr = mach_vm_remap(self_port, &dest_page_address_, page_size, 0, VM_FLAGS_OVERWRITE | VM_FLAGS_FIXED,
                           self_port, (mach_vm_address_t)copy_list[i].remap_page, TRUE, &curr_protection, &max_protection, VM_INHERIT_COPY);
        if (kr != KERN_SUCCESS) {
            return kMemoryOperationError;
        }
        
        // unmap the origin page
        int err = munmap((void *)copy_list[i].remap_page, (mach_vm_address_t)page_size);
        if (err == -1) {
            return kMemoryOperationError;
        }
    }

```

另外相对地址可以使用  Capstone + Keystone帮你完成

最后于 2021-1-16 16:07 被crazyearl编辑 ,原因:
2021-1-16 15:59
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//