C 语言 fishhook 源码简单分析，结合 MachOView 应用

简介

fishhook 是 Facebook 开源的一个 C 语言库，可以方便地实现函数 hook，即在程序运行时修改函数的行为。fishhook 的原理是利用 Mach-O 文件的特性，在程序运行时修改函数的指针，从而达到 hook 函数的目的。

原理

在 Mach-O 文件中，函数的地址是固定的。但是，fishhook 可以通过修改 Mach-O 文件的符号表，来改变函数的地址。当程序加载到内存中时，符号表会被操作系统加载到内存中，并且程序会根据符号表中的信息来查找函数的地址。如果 fishhook 修改了符号表中的信息，那么程序就会根据修改后的符号表信息来查找函数的地址，从而达到 hook 函数的目的。

用法

fishhook 的用法很简单，只需要几行代码就可以实现函数 hook。首先，需要包含 fishhook.h 头文件，然后使用 fishhook_rebind_symbols() 函数来修改符号表。鱼钩重新绑定符号（）函数接受两个参数：第一个参数是符号表，第二个参数是符号表中要修改的符号。

#include <fishhook.h>

int hook_function(void) {
  // Hooked function implementation
}

void rebind_symbols() {
  struct rebinding rebindings[] = {
    {"original_function", hook_function},
  };
  fishhook_rebind_symbols(rebindings, 1);
}

在上面的代码中，我们定义了一个 hook_function() 函数，用来替换 original_function() 函数。然后，我们使用 fishhook_rebind_symbols() 函数来修改符号表，将 original_function() 函数的符号指向 hook_function() 函数。这样，当程序调用 original_function() 函数时，实际上会调用 hook_function() 函数。

应用场景

fishhook 可以用于各种场景，例如：

• 调试：可以使用 fishhook 来 hook 函数，并在函数调用时打印出函数的参数和返回值，从而帮助调试程序。
• 性能分析：可以使用 fishhook 来 hook 函数，并统计函数的调用次数和执行时间，从而帮助分析程序的性能。
• 安全：可以使用 fishhook 来 hook 函数，并在函数调用时检查函数的参数和返回值，从而帮助防止安全漏洞。

结合 MachOView 工具

MachOView 是一个开源的工具，可以用来查看 Mach-O 文件的内容。可以使用 MachOView 来查看 fishhook 修改后的符号表，从而验证 fishhook 是否成功地 hook 了函数。

结论

fishhook 是一个非常强大的工具，可以用来在运行时动态修改外部 C 函数。fishhook 的原理是利用 Mach-O 文件的特性，在程序运行时修改函数的指针，从而达到 hook 函数的目的。fishhook 的用法很简单，只需要几行代码就可以实现函数 hook。fishhook 可以用于各种场景，例如调试、性能分析和安全。结合 MachOView 工具，可以更方便地使用 fishhook 来 hook 函数。