关于ios:iOS-隐式调用SVC

43次阅读

共计 3338 个字符,预计需要花费 9 分钟才能阅读完成。

出于利用平安防护的目标,平安开发人员为避免函数被 HOOK(inlinehook/fishhook),个别会对敏感函数做 SVC 调用,如 access/stat/open 等函数。做 SVC 调用的形式显著因为间接调用和动静 dlsym 调用,隐蔽性失去加强,且 Hook 难度减少。具体实施模式可分为为裸函数或内联汇编。裸函数形式,即为一个独立函数,其余函数通过传递零碎调用号和参数调用该函数内联汇编形式,会将 SVC 内联到每个调用函数中。这两者相比拟,各有劣势。裸函数形式,如果攻击者对此函数进行 hook,能够很不便的通过内存校验检测出问题 (如果间接用变量拜访这段内存,也是很容易逆向剖析,因而实际操作时能够应用一些间接援用技巧)。但无论如何,因为 iOS 上非越狱环境无奈动态创建并执行代码,因而 SVC 这条汇编指令肯定是存在于内存中,最常见的就是 svc 0x80 和 svc 0x50(留神这个指令的立刻数是默认疏忽的,因而 svc 0 或者 svc 0xffff 成果都是一样的),对应机器码为 01 10 00 D4,通常在逆向剖析时,间接搜此二进制即可中转检测的关键处。为了反抗 svc 指令的检测和批改,缓解的形式也很多,比方:
将 svc 藏在非凡 segment 中
结构出蕴含 01 10 00 D4 的有效指令机器码来进行混同。
将函数拆分成多个 8 字节函数,也就是 2 条指令,从而防止被 inlinehook,因为 inlinehook 至多须要 3 条 (Substitute) 或 4 条 (Substrate) 指令能力胜利
  本文提出一种形式,能够更好的暗藏 svc 调用。libsystem_kernel.dylib 是具体实现零碎调用的动静库,通过逆向能够发现其蕴含大量的 svc 指令,那取巧的方法就是获取到这里 svc 的地址,并包装成函数进行调用,即可神不知鬼不觉达到暗藏 svc 并进行零碎调用的目标。

_text:00000002382DA4AC                             EXPORT ___gettimeofday
__text:00000002382DA4AC             ___gettimeofday                         ; CODE XREF: _prepare_times_array_and_attrs+74↑p
__text:00000002382DA4AC
__text:00000002382DA4AC             var_10          = -0x10
__text:00000002382DA4AC
__text:00000002382DA4AC 02 00 80 D2                 MOV             X2, #0
__text:00000002382DA4B0 90 0E 80 D2                 MOV             X16, #0x74
__text:00000002382DA4B4 01 10 00 D4                 SVC             0x80
__text:00000002382DA4B8 C3 00 00 54                 B.CC            locret_2382DA4D0
__text:00000002382DA4BC FD 7B BF A9                 STP             X29, X30, [SP,#var_10]!
__text:00000002382DA4C0 FD 03 00 91                 MOV             X29, SP
__text:00000002382DA4C4 5E D9 FF 97                 BL              _cerror_nocancel
__text:00000002382DA4C8 BF 03 00 91                 MOV             SP, X29
__text:00000002382DA4CC FD 7B C1 A8                 LDP             X29, X30, [SP+0x10+var_10],#0x10
__text:00000002382DA4D0
__text:00000002382DA4D0             locret_2382DA4D0                        ; CODE XREF: ___gettimeofday+C↑j
__text:00000002382DA4D0 C0 03 5F D6                 RET

  arm64 上具体实现代码如下,此代码通过获取 libsystem_kernel 模块地址,并爆搜指令的形式获取 svc,并实现裸函数和内联函数两种调用形式,通过逆向能够发现,程序中并没有 svc 指令,完满达到目标!:

intptr_t get_text_range(void* base, intptr_t off, uint32_t* psize) {mach_header_t* pmh = (mach_header_t*)base;
    load_command* plc = (load_command*)(pmh + 1);
    for (int i = 0; i < pmh->ncmds; i++) {if (plc->cmd != LC_SEGMENT_CURARCH) {plc = (struct load_command*)((unsigned char*)plc + plc->cmdsize);
            continue;
        }
        segment_command_t* psc = (segment_command_t*)plc;
        if (0 == strcmp(psc->segname, "__TEXT")) {if (psize) *psize = (uint32_t)psc->vmsize;
            return (intptr_t)(psc->vmaddr + off);
        }
        plc = (struct load_command*)((unsigned char*)plc + plc->cmdsize);
    }
    return -1;
}
 
static void* find_svc() {for (int i = 0; i < _dyld_image_count(); i++) {const char* path = _dyld_get_image_name(i);
        void* base = (void*)_dyld_get_image_header(i);
        intptr_t slide = _dyld_get_image_vmaddr_slide(i);
        if (0 != strcmp(path, "/usr/lib/system/libsystem_kernel.dylib")) {continue;}
        NSLog(@"%s", path);
        intptr_t text_base = 0;
        uint32_t text_size = 0;
        text_base = get_text_range(base, slide, &text_size);
        for (int i = 0; i < text_size / 4; i += 4) {uint32_t* addr = (uint32_t*)(text_base + i * 4);
            if (*addr == 0xd4001001) { // for arm64
                return (void*)addr;
            }
        }
    }
    return 0;
}
 
 
static void* svc_addr = 0;
 
#define naked __attribute__((naked))
#define finline __inline__ __attribute__((always_inline))
 
naked int asm_getpid1() {
    __asm("mov x16, 0x14            \n"
          "mov x8, %[svc_addr]      \n"
          "br  x8                   \n"
          ::[svc_addr]"r"(svc_addr):
    );
}
 
finline int asm_getpid2() {
    int ret = 0;
    __asm("mov x16, 0x14            \n"
          "mov x8, %[svc_addr]      \n"
          "blr  x8                  \n"
          "mov %[ret], x0           \n"
          :[ret]"=r"(ret):[svc_addr]"r"(svc_addr):
    );
    return ret;
}
 
int main(int argc, char * argv[]) {svc_addr = find_svc();
    NSLog(@"asm_pid1=%d, asm_pid2=%d, real_pid=%d", asm_getpid1(), asm_getpid2(), getpid());
 
    NSString * appDelegateClassName;
    @autoreleasepool {appDelegateClassName = NSStringFromClass([AppDelegate class]);
    }
    return UIApplicationMain(argc, argv, nil, appDelegateClassName);
}

  须要留神的是上述代码没有进行错误处理,这个实现是通过 BCC 指令,具体能够参照 libsystem_kernel 的反汇编。

正文完
 0