運行時Hook全部Block方法調用的技術實現
本技術實如今YSBlockHook中。git
1.方法調用的幾種Hook機制
iOS系統中一共有:C函數、Block、OC類方法三種形式的方法調用。Hook一個方法調用的目的通常是爲了監控攔截或者統計一些系統的行爲。Hook的機制有不少種,一般良好的Hook方法都是以AOP的形式來實現的。github
當咱們想Hook一個OC類的某些具體的方法時能夠經過Method Swizzling技術來實現、當咱們想Hook動態庫中導出的某個C函數時能夠經過修改導入函數地址表中的信息來實現(可使用開源庫fishhook來完成)、當咱們想Hook全部OC類的方法時則能夠經過替換objc_msgSend系列函數來實現。。。bash
那麼對於Block方法呢而言呢?閉包
2.Block的內部實現原理和實現機制簡介
這裏假定你對Block內部實現原理和運行機制有所瞭解,若是不瞭解則請參考文章《深刻解構iOS的block閉包實現原理》或者自行經過搜索引擎搜索。app
源程序中定義的每一個Block在編譯時都會轉化爲一個和OC類對象佈局類似的對象,每一個Block也存在着isa這個數據成員,根據isa指向的不一樣,Block分爲__NSStackBlock、__NSMallocBlock、__NSGlobalBlock 三種類型。也就是說從某種程度上Block對象也是一種OC對象。下面的類圖描述了Block類的層次結構。函數
Block類以及其派生類在CoreFoundation.framework中被定義和實現,而且沒有對外公開。佈局
每一個Block對象在內存中的佈局,也就是Block對象的存儲結構被定義以下(代碼出自蘋果開源出來的庫實現libclosure中的文件Block_private.h):ui
//須要注意的是下面兩個只是模板,具體的每一個Block定義時老是按這個模板來定義的。
//Block描述,每一個Block一個描述並定義在全局數據段
struct Block_descriptor_1 {
uintptr_t reserved; //記住這個變量和結構體,它很重要!!
uintptr_t size;
};
//Block對象的內存佈局
struct Block_layout {
void *isa;
volatile int32_t flags; // contains ref count
int32_t reserved;
uintptr_t invoke; //Block對象的實現函數
struct Block_descriptor_1 *descriptor;
// imported variables,這裏是每一個block對象的特定數據成員區域
};
複製代碼
這裏要關注一下struct Block_descriptor_1中的reserved這個數據成員,雖然系統沒有用到它,可是下面就會用到它並且很重要!搜索引擎
在瞭解了Block對象的類型以及Block對象的內存佈局後,再來考察一下一個Block從定義到調用是如何實現的。就如下面的源代碼爲例:spa
int main(int argc, char *argv[])
{
//定義
int a = 10;
void (^testblock)(void) = ^(){
NSLog(@"Hello world!%d", a);
};
//執行
testblock();
return 0;
}
複製代碼
在將OC代碼翻譯爲C語言代碼後每一個Block的定義和調用將變成以下的僞代碼:
//testblock的描述信息
struct Block_descriptor_1_fortestblock {
uintptr_t reserved;
uintptr_t size;
};
//testblock的佈局存儲結構體
struct Block_layout_fortestblock {
void *isa;
volatile int32_t flags; // contains ref count
int32_t reserved;
uintptr_t invoke; //Block對象的實現函數
struct Block_descriptor_1_fortestblock *descriptor;
int m_a; //外部的傳遞進來的數據。
};
//testblock函數的實現。
void main_invoke_fortestblock(struct Block_layout_fortestblock *cself)
{
NSLog(@"Hello world!%d", cself->m_a);
}
//testblock對象描述的實例,存儲在全局內存區
struct Block_descriptor_1_fortestblock _testblockdesc = {0, sizeof(struct Block_layout_fortestblock)};
int main(int argc, char *argv[])
{
//定義部分
int a = 10;
struct Block_layout_fortestblock testblock = {
.isa = __NSConcreteStackBlock,
.flags =0,
.reserved = 0,
.invoke = main_invoke_fortestblock,
.descriptor = & _testblockdesc,
.m_a = a
};
//調用部分
testblock.invoke(testblock);
return 0;
}
複製代碼
能夠看出Block對象的生成和調用都是在編譯期間就已經固定在代碼中了,它不像其餘OC對象調用方法時須要經過runtime來執行間接調用。而且線上程序中全部關於Block的符號信息都會被strip掉。因此上述的所介紹的幾種Hook方法都沒法Hook住一個Block對象的函數調用。
若是想要Hook住系統的全部Block調用,須要解決以下幾個問題:
a. 如何在運行時將全部的Block的invoke函數替換爲一個統一的Hook函數。
b. 這個統一的Hook函數如何調用原始Block的invoke函數。
c. 如何構建這個統一的Hook函數。
3.實現Block對象Hook的方法和原理
一個OC類對象的實例經過引用計數來管理對象的生命週期。在MRC時代當對象進行賦值和拷貝時須要經過調用retain方法來實現引用計數的增長,而在ARC時代對象進行賦值和拷貝時就再也不須要顯示調用retain方法了,而是系統內部在編譯時會自動插入相應的代碼來實現引用計數的添加和減小。無論如何只要是對OC對象執行賦值拷貝操做,最終內部都會調用retain方法。
Block對象也是一種OC對象!!
每當一個Block對象在須要進行賦值或者拷貝操做時,也會激發對retain方法的調用。由於Block對象賦值操做通常是發生在Block方法執行以前,所以咱們能夠經過Method Swizzling的機制來Hook 類的retain方法,而後在重寫的retain方法內部將Block對象的invoke數據成員替換爲一個統一的Hook函數!
經過考察__NSStackBlock、__NSMallocBlock、__NSGlobalBlock 三個類的實現發現這三個類都重載了NSObject的retain方法,這樣在執行Method Swizzling時就不須要對NSObject的retain方法執行替換,而只要對上述三個類的retain執行替換便可。
你能夠說出爲何這三個派生類都會對retain方法進行重載嗎?答案能夠從這三種Block的類型定義以及所表示的意義中去尋找。
Block技術不只能夠用在OC語言中,LLVM對C語言進行的擴展也能使用Block,好比gcd庫中大量的使用了Block。在C語言中若是對一個Block進行賦值或者拷貝系統須要經過C庫函數:
//函數聲明在Block.h頭文件彙總
// Create a heap based copy of a Block or simply add a reference to an existing one.
// This must be paired with Block_release to recover memory, even when running
// under Objective-C Garbage Collection.
BLOCK_EXPORT void *_Block_copy(const void *aBlock)
__OSX_AVAILABLE_STARTING(__MAC_10_6, __IPHONE_3_2);
複製代碼
來實現,這個函數定義在libsystem_blocks.dylib庫中,而且庫實現已經開源:libclosure。所以能夠藉助fishhook庫來對__Block_copy這個函數進行替換處理,而後在替換的函數函數中將一個Block的原始的invoke函數替換爲統一的Hook函數。
另一個C語言函數objc_retainBlock,也是實現了對Block進行賦值時的引用計數增長,這個函數內部就是簡單的調用__Block_copy方法。所以咱們也能夠添加對objc_retainBlock的替換處理。
解決了第一個問題後,接下來再解決第二個問題。還記得上面提到過的struct Block_descriptor_1中的reserved這個數據成員嗎? 當咱們經過上述的方法對全部Block對象的invoke成員替換爲一個統一的Hook函數前,能夠將Block對象的原始invoke函數保存到這個保留字段中去。而後就能夠在統一的Hook函數內部讀取這個保留字段中的保存的原始invoke函數來執行真實的方法調用了。
由於一個Block對象函數的第一個參數實際上是一個隱藏的參數,這個隱藏的參數就是Block對象自己,所以很容易就能夠從隱藏的參數中來獲取到對應的保留字段。
下面的代碼將展現經過方法交換來實現Hook處理的僞代碼
struct Block_descriptor {
void *reserved;
uintptr_t size;
};
struct Block_layout {
void *isa;
int32_t flags; // contains ref count
int32_t reserved;
void *invoke;
struct Block_descriptor *descriptor;
};
//統一的Hook函數,這裏以僞代碼的形式提供
void blockhook(void *obj, ...)
{
struct Block_layout *layout = (struct Block_layout*) obj;
//調用原始的invoke函數
layout->descriptor->reserved(...);
}
//模擬器下若是返回類型是結構體而且大於16字節那麼第一個參數是返回值保存的內存地址,block對象變爲第二個參數
void blockhook_stret(void *pret, void *obj, ...)
{
struct Block_layout *layout = (struct Block_layout*) obj;
//調用原始的invoke函數
layout->descriptor->reserved(...);
}
//執行Block對象的方法替換處理
void replaceBlockInvokeFunction(const void *blockObj)
{
struct Block_layout *layout = (struct Block_layout*)blockObj;
if (layout != NULL && layout->descriptor != NULL){
int32_t BLOCK_USE_STRET = (1 << 29); //若是模擬器下返回的類型是一個大於16字節的結構體,那麼block的第一個參數爲返回的指針,而不是block對象。
void *hookfunc = ((layout->flags & BLOCK_USE_STRET) == BLOCK_USE_STRET) ? blockhook_stret : blockhook;
if (layout->invoke != hookfunc){
layout->descriptor->reserved = layout->invoke;
layout->invoke = hookfunc;
}
}
}
void *(*__NSStackBlock_retain_old)(void *obj, SEL cmd) = NULL;
void *__NSStackBlock_retain_new(void *obj, SEL cmd)
{
replaceBlockInvokeFunction(obj);
return __NSStackBlock_retain_old(obj, cmd);
}
void *(*__NSMallocBlock_retain_old)(void *obj, SEL cmd) = NULL;
void *__NSMallocBlock_retain_new(void *obj, SEL cmd)
{
replaceBlockInvokeFunction(obj);
return __NSMallocBlock_retain_old(obj, cmd);
}
void *(*__NSGlobalBlock_retain_old)(void *obj, SEL cmd) = NULL;
void *__NSGlobalBlock_retain_new(void *obj, SEL cmd)
{
replaceBlockInvokeFunction(obj);
return __NSGlobalBlock_retain_old(obj, cmd);
}
int main(int argc, char *argv[])
{
//由於類名和方法名都不能直接使用,因此這裏都以字符串的形式來轉換獲取。
__NSStackBlock_retain_old = (void *(*)(void*,SEL))class_replaceMethod(NSClassFromString(@"__NSStackBlock"), sel_registerName("retain"), (IMP)__NSStackBlock_retain_new, nil);
__NSMallocBlock_retain_old = (void *(*)(void*,SEL))class_replaceMethod(NSClassFromString(@"__NSMallocBlock"), sel_registerName("retain"), (IMP)__NSMallocBlock_retain_new, nil);
__NSGlobalBlock_retain_old = (void *(*)(void*,SEL))class_replaceMethod(NSClassFromString(@"__NSGlobalBlock"), sel_registerName("retain"), (IMP)__NSGlobalBlock_retain_new, nil);
return 0;
}
複製代碼
解決了第二個問題後,就須要解決第三個問題。上面的統一Hook函數blockhook和block_stret只是僞代碼實現,由於任何一個Block中的函數的參數類型和個數是不同的,並且統一Hook函數也須要在適當的時候調用原始的默認Block函數實現,而且不能破壞參數信息。爲了解決這些問題就使得這個統一的Hook函數不能用高級語言來實現,而只能用匯編語言來實現。下面就是在arm64位體系下的實現代碼:
.text
.align 5
.private_extern _blockhook
_blockhook:
//爲了避免破壞原有參數,這裏將全部參數壓入棧中
stp q6, q7, [sp, #-0x20]!
stp q4, q5, [sp, #-0x20]!
stp q2, q3, [sp, #-0x20]!
stp q0, q1, [sp, #-0x20]!
stp x6, x7, [sp, #-0x10]!
stp x4, x5, [sp, #-0x10]!
stp x2, x3, [sp, #-0x10]!
stp x0, x1, [sp, #-0x10]!
stp x8, x30, [sp, #-0x10]!
//這裏能夠添加任意邏輯來進行hook處理。
//這裏將全部參數還原
ldp x8, x30, [sp], #0x10
ldp x0, x1, [sp], #0x10
ldp x2, x3, [sp], #0x10
ldp x4, x5, [sp], #0x10
ldp x6, x7, [sp], #0x10
ldp q0, q1, [sp], #0x20
ldp q2, q3, [sp], #0x20
ldp q4, q5, [sp], #0x20
ldp q6, q7, [sp], #0x20
ldr x16, [x0, #0x18] //將block對象的descriptor數據成員取出
ldr x16, [x16] //獲取descriptor中的reserved成員
br x16 //執行reserved中保存的原始函數指針。
LExit_blockhook:
複製代碼
對於x86_64/arm32位系統來講,若是block函數的返回是一個結構體而且長度超過16字節(arm32是8字節)。那麼block對象裏面的flags屬性就會設置爲BLOCK_USE_STRET。而x86_64/arm32位系統對於這種返回類型的函數就會將返回值存放到第一個參數所指向的內存中,同時會把本來的block對象變化爲第二個參數,所以須要對這種狀況進行特殊處理。
關於在運行時Hook全部Block方法調用的技術實現原理就介紹到這裏了。固然一個完整的系統可能須要其餘一些能力:
- 若是你只想Hook可執行程序中定義的Block,那麼請參考個人文章:深刻iOS系統底層之映像操做API介紹 中的內容來實現Hook函數的過濾處理。
- 若是你不想借助Block_descriptor中的reserved來保存原始的invoke函數,那麼能夠參考個人文章:Thunk程序的實現原理以及在iOS中的應用(二)中介紹的技術來實現統一Hook函數以及完成對原始invoke函數的調用技術。
具體完整的代碼能夠訪問個人github中的項目:YSBlockHook。這個項目以AOP的形式實現了真機arm64位模式下對可執行程序中全部定義的Block進行Hook的方法,Hook所作的事情就是在全部Block調用前,打印出這個Block的符號信息。
- 1. android的hook技術之hook全部view的監聽器
- 2. 一種查看Block中引用的全部外部對象的實現方法
- 3. Android安全:Hook技術
- 4. hook技術(三)對AMS&PMS進行Hook
- 5. 運行時驗證技術
- 6. 像Ruby同樣寫ObjC,用block實現鏈式方法調用
- 7. Android Art Hook 技術方案
- 8. Android Hook技術實踐
- 9. Android Hook技術小實踐
- 10. Android Hook 技術
- 更多相關文章...
- • Hibernate的快照技術 - Hibernate教程
- • XML 相關技術 - XML 教程
- • 三篇文章瞭解 TiDB 技術內幕 —— 談調度
- • ☆基於Java Instrument的Agent實現
-
每一个你不满意的现在,都有一个你没有努力的曾经。