dyld Interposing

从 Mac OS X 10.4 开始，dyld 就开始支持库函数的注入了。例如，如果想注入 C 函数库里的 open()，那么首先要实现替代函数的动态共享库，并且在这个库的 __DATA （数据段）里包含__interpose字段。__interpose字段包含原始的函数名和新的函数名。然后利用 DYLD_INSERT_ LIBRARIES 变量使用这个库，就可以打开注入功能了。

下面这段程序替换了 open() 和 close()。

// libinterposers.c#include <stdio.h>#include <unistd.h>#include <fcntl.h>typedef struct interpose_s { void *new_func; void *orig_func;} interpose_t;int my_open(const char *, int, mode_t);int my_close(int);static const interpose_t interposers[] / __attribute__ ((section("__DATA, __interpose"))) = { { (void *)my_open, (void *)open }, { (void *)my_close, (void *)close }, };intmy_open(const char *path, int flags, mode_t mode){ int ret = open(path, flags, mode); printf("--> %d = open(%s, %x, %x)/n", ret, path, flags, mode); return ret;}intmy_close(int d){ int ret = close(d); printf("--> %d = close(%d)/n", ret, d); return ret;}

 

然后将代码编译成一个动态链接库，并利用变量 DYLD_INSERT_LIBRARIES 就可以达到目的了。

$ gcc -Wall -dynamiclib -o /tmp/libinterposers.dylib libinterposers.c$ DYLD_INSERT_LIBRARIES=/tmp/libinterposers.dylib cat /dev/null--> 9 = open(/dev/null, 0, 0)--> 0 = close(9)

 

参考：<<Mac OS Internals: A Systems Approch>>