0x01.fishhook和method swizzle

之前有研究过fishhook及其具体的实现，fishhook是可以用于动态地hook系统函数的。而method swizzle实现所用的method_exchangeImplementations，method_setImplementation和method_getImplementation方法是由runtime库给提供的，也是一类系统函数。

从这个角度上来看，我们可以hook method_exchangeImplementations，method_setImplementation和method_getImplementation方法，来达到检测hook和antihook的目的。

0x02.简单实现

下面简单实现一个普普通通的一个method swizzle demo

一个button按钮

hook

最后hook button: 方法，会打印2020.08.20 11:12的log

这里可以看到，执行方法交换的关键函数就是method_exchangeImplementatons;

那么fishhook method_exchangeImplementatons 我们看一下什么情况。

fishhook

这里fishhook使用新的hook_ex函数来替换掉method_exchangeImplementatons，不过还是要先执行原方法也就是exchangeP，执行的原因后面会说。

看看效果

这个不执行原方法，不影响

这里执行的时候并没有打印“检测到了hook” ，很简单，说明我们fishhook方法的执行顺序在执行method swizzle方法之后。别人都进攻结束了你才去做防御，这不是和空气斗智斗勇吗？

所以我们修改一下类的执行顺序。

修改执行顺序

我们把fishhook method_exchangeImplementatons 的逻辑放到第一步来执行。

然后

再执行

这里就能检测到了。

0x03.一点小的思考

首先是关于为什么还是要执行原方法？确实有的带着恶意hook的目的是会对软件造成负面影响的。但是从本质上来说，苹果官方开放runtime的函数给开发者使用，本质上是为了在迭代里面更快速方便地更新函数。所以也有很多第三方库，或者二次开发的代码使用大量的method swizzle。如果不执行原方法，那这些第三方库就完全没有用了，app也不能工作。得不偿失，所以还是要执行原方法

执行原方法

该被hook还是会被hook，不过我们在method swizzle调用的时候能够知道有函数被hook了。

其次，现在是把fishhook的类放到最前面去执行，对于一个打包好的项目，要是给它附加检测hook的功能的话，是不可用这种方法的。需要加一个打包好的动态库。

0x04.method_setImplementation和method_getImplementation

在主流的以method swizzle为基础的hook框架中，Cydia Substrate，MonkeyDev

其中Cydia Substrate主要由3部分组成：

1.MobileHooker

MobileHooker顾名思义用于HOOK。它定义一系列的宏和函数，底层调用objc的runtime和fishhook来替换系统或者目标应用的函数.

其中有两个函数:

MSHookMessageEx 主要作用于Objective-C方法

void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP result)

MSHookFunction 主要作用于C和C++函数

void MSHookFunction(voidfunction ,void* replacement ,void** p_original)

2.MobileLoader

MobileLoader用于加载第三方dylib在运行的应用程序中。启动时MobileLoader会根据规则把指定目录的第三方的动态库加载进去，第三方的动态库也就是我们写的破解程序.

3.safe mode

因为APP程序质量参差不齐崩溃再所难免，破解程序本质是dylib，寄生在别人进程里。系统进程一旦出错，可能导致整个进程崩溃,崩溃后就会造成iOS瘫痪。所以CydiaSubstrate引入了安全模式,在安全模式下所有基于CydiaSubstratede 的三方dylib都会被禁用，便于查错与修复。