iOS中怎么注入目标函数

（一）动态绑定的一个示例

（1）锁定注入点

随便找一个APP，classdump拿到所有类的结构信息。

比如，“微信”有一个类是这样声明的：

 

这个类继承于UIViewController，也就是有viewDidLoad这个消息处理函数。这里演示把MMUIViewController::viewDidLoad函数给替换掉，让它执行到新的函数中。

（2）写注入代码

先找一个熟悉的编辑器，创建一个文件，命名为hookwx.m，然后在里面添加这样的代码：

 

然后是编译的事。可以直接使用xcode来编译出来.o文件，也可以用clang来编译出来.o文件。比如，小程演示时使用的是iphone4手机，也就是armv7指令集，所以可以这样编译出obj文件：

clang -c hookwx.m -arch armv7 -isysroot /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS8.1.sdk

再使用ld来链接成动态库（dylib）：

ld -dylib -lsystem -lobjc  -syslibroot /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS8.1.sdk/ -o hookwx.dylib hookwx.o -framework Foundation -framework UIKit -ios_version_min 6.0

以上编译链接命令的参数跟小程使用的sdk版本有关，你如果尝试的话应该选择对应的参数。

（3）拷贝dylib到DynamicLibraries

scp hookwx.dylib root@192.168.1.100:/Library/MobileSubstrate/DynamicLibraries/

这时，还要创建一个plist，来指定让哪个APP来加载这个dylib（对于ios8.0以后的系统需要指定哪个APP），具体操作参照上一篇文章--介绍reveal的使用时创建了plist，就是这个操作了。“微信”的bundleID是“com.tencent.xin”或“com.tencent.xin1”，指定让它加载这个dylib（可指定若干个bundleID）。

记得把plist文件也拷贝到DynamicLibraries目录中。

（4）验证效果

启动“微信”，使用socat观察log输出，可以看到：

Dec  2 11:22:05 810 MicroMessenger[974] <Warning>: =======in initialize=================
...
Dec  2 11:24:48 810 MicroMessenger[974] <Warning>: -------------in new_viewDidLoad----------

也就是，“微信”加载了小程写的dylib，而且也执行到新的函数中。

以上的例子，只是“感性地”知道注入的办法，而在实际使用场景，更应该借助一些成熟的可以做到注入的框架。

小程较常见的两个框架，一个叫fishhook，一个叫MobileSubstrate。

fishhook，是facebook的一个开源工具，可以在运行时修改目标函数的地址，让控制点执行到自己的代码。因为需要知道目标函数的名字，这对于c运行时库的函数来说是适用的，或者对于能定位到函数名的情况也是适用的，但对于连名字都拿不到的情况（比如只能定位到代码地址）就不适用。如果只能拿到函数的地址，那可以考虑用MobileSubstrate的MSHookFunction来做到注入。

MobileSubstrate（也叫CydiaSubstrate，以下简称为MS），最大的一个作用，是可以动态绑定新的执行函数，这个功能已经能满足我们大部分的需求。比如，MS提供的函数MSHookMessageEx，可以用来对oc代码进行hook，原理上利用了oc的runtime特性（运行时替换执行函数）。

MS提供的函数MSHookFunction，可以用来对c代码进行hook，比如很多APP在写文件时都会用到write或fwrite函数，那通过对这两个函数进行hook，就能看到写入文件的数据，可以这样写代码：

 

但直接使用MS的函数，并不是本文介绍的重点。从“实用”的角度，小程要介绍的是iOSOpenDev的使用。