HookCase:一款针对maxOS的逆向工程安全分析工具

2024-12-24 50 0

关于HookCase

HookCase是一款针对maxOS的逆向工程安全分析工具,广大研究人员可以利用该工具在macOS上或对操作系统本身进行安全调试或执行逆向工程分析。

该工具重新实现并扩展了 Apple 的DYLD_INSERT_LIBRARIES功能。它可用于挂钩任何模块中的任何方法(甚至是未导出的方法,甚至是那些在其自己的模块的符号表中没有条目的方法)。在单个操作中,它可以应用于父进程及其所有子进程,无论子进程是否继承了其父进程的环境。它支持观察点。因此,HookCase 比DYLD_INSERT_LIBRARIES的功能强大得多,而且它也没有 Apple 对DYLD_INSERT_LIBRARIES的限制。

HookCase 可在 OS X 10.9(Mavericks)到 macOS 15(Sequoia)上运行。

工具要求

1、XCode

2、对应macOS版本相匹配的SDK

3、LLVM 3.9.0 Clang或LLVM 4.0.0 Clang

工具安装

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/steven-michaud/HookCase.git

OS X 10.10

从命令行运行nvram boot-args以查看是否已经有一些启动参数。然后运行以下命令:

sudo nvram boot-args="<existing-boot-args> kext-dev-mode=1"

重新启动计算机。

OS X 10.11及更高版本上

重新启动计算机,在听到 Mac 启动声音后立即按下Command-R ,进入恢复分区。看到 Apple 标志时松开这些键。

选择实用程序-终端,然后在命令行中运行下列命令之一。第一个命令完全禁用 SIP。第二个命令启用除防止加载未签名的内核扩展之外的所有功能。第三个命令还禁用文件系统保护。

csrutil disable

csrutil enable --without kext

csrutil enable --without kext --without fs

退出终端并重新启动计算机。

现在复制HookCase.kext到/usr/local/sbin/目录。可能需要创建此目录,确保它归root:wheel拥有:

sudo cp -R HookCase.kext /usr/local/sbin

macOS 10.15 及更低版本

在 macOS 10.15 (Catalina) 及以下版本中,只需一个命令即可加载HookCase.kext到内核:

sudo kextutil /usr/local/sbin/HookCase.kext

因为它没有使用内核扩展签名证书进行签名,所以会看到以下错误(或类似的错误):

Diagnostics for HookCase.kext:

Code Signing Failure: code signature is invalid

kext-dev-mode allowing invalid signature -67050 0xFFFFFFFFFFFEFA16

for kext "HookCase.kext"

kext signature failure override allowing invalid signature -67050

0xFFFFFFFFFFFEFA16 for kext "/usr/local/sbin/HookCase.kext"

运行kextstat看看它是否确实加载。

HookCase.kext要从内核卸载,请运行以下命令:

sudo kextunload -b org.smichaud.HookCase

macOS 11及更高版本

在 macOS 11 (Big Sur) 及更高版本中,情况更加复杂。从此版本的 macOS 开始,HookCase 需要keepsyms=1启动参数。第三方内核扩展必须先加载到“辅助 kext 集合”中,然后才能加载到内核中。在此过程中,需要明确授予HookCase.kext加载权限,然后重新启动计算机。macOS 11 还使用一组新的命令行实用程序来加载和卸载内核扩展。

按照以下方法更改启动参数。为此,需要至少暂时禁用 SIP,重新启动计算机以使更改生效。

sudo nvram boot-args="keepsyms=1"

在终端提示符下运行以下命令:

sudo kmutil load -p /usr/local/sbin/HookCase.kext

几秒钟后,将出现“系统扩展已更新”对话框,告知HookCase 系统扩展已更新。单击“打开安全首选项”按钮,在“安全和隐私”偏好设置面板中,首先“单击锁进行更改”,然后单击 HookCase 旁边的“允许”按钮。将出现另一个对话框,告诉你“需要重新启动才能使用新的系统扩展”。默认选项是“现在不”,最好选择此选项。如果立即重新启动,可能会出现奇怪的情况。我通常会关闭所有打开的应用程序,然后重新启动。

计算机重新启动后,打开终端提示符并再次输入以下命令。它应该立即加载 HookCase.kext到内核中。

sudo kmutil load -p /usr/local/sbin/HookCase.kext

运行kextstat看看它是否确实加载。

运行以下命令之一HookCase.kext从内核卸载:

sudo kmutil unload -p /usr/local/sbin/HookCase.kext

sudo kumtil unload -b org.smichaud.HookCase

工具使用

动态修复钩子

HC_INSERT_LIBRARY=/full/path/to/hook.dylib /Applications/Safari.app/Contents/MacOS/Safari

事件查看

HC_INSERT_LIBRARY=/full/path/to/hook.dylib /Applications/Safari.app/Contents/MacOS/Safari

观察点watchpoint

HC_INSERT_LIBRARY=/full/path/to/hook.dylib "/Applications/Firefox Nightly.app/Contents/MacOS/firefox"

项目地址

HookCase:【GitHub传送门

参考资料

https://forums.developer.apple.com/thread/17452

https://books.google.com/books?id=K8vUkpOXhN4C&pg=PA73&lpg=PA73&dq=%22dyld+interposing%22+Singh.

http://developer.apple.com/technotes/tn2004/tn2124.html

https://developer.apple.com/library/mac/navigation/


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

【Web逆向】修改浏览器的C++代码,定制随机指纹
Group3r:一款针对活动目录组策略安全的漏洞检测工具
代码审计 | JTop CMS 目录穿越漏洞分析
Exegol:一款功能完整的社区驱动型渗透测试工具
代码审计 | oasys 任意文件读取漏洞分析
记一次bladex站点的渗透测试复盘

发布评论