Този пост беше последно редактиран от Summer на 14.10.2025 г., 10:59
Версия на виртуалната камера, която е била хакната от автора преди, публикува видео в Bilibili
Предишната версия, която разбих, също беше напукана
Връзка:Входът към хиперлинк е видим.
Наскоро клиент ме помоли да разбия друга версия на виртуалната камера от същия автор и просто да я изуча
Първо проверете обвивката, Bangbang free reinforcement, сравнително просто, просто откриване на Frida, горният линк е направил много подробен анализ на подсилването и откриването на Bangbang free версията, използвайки различни инструменти като ebpf
Първо закачете с frida, има признаци на срив, може да е стъпалото да е инжектирано твърде рано или адресът да е недостъпен, когато куката е готова, като коригирате кода на скрипта на Frida
Общо взето, времето за инжектиране беше малко забавено, което реши проблема с сривовете при инжектиране
hook Процесът на активация получава данните, които се връщат чрез активацията, и той трябва да поиска от сървъра да потвърди, че е получил времевия печат за активация
Потребителят получава време чрез изчисляване на разликата във времето.
Тази виртуална камера също иска root разрешения, в противен случай няма комуникация между различни процеси,
Общо тази камера има три стартирани процеса
Единият е основният процес на приложението камера, което представлява междупроцесната комуникация между Java слоя и C++ слоя
Вторият е, че основният процес изпълнява двоичния изпълним входен параметър vcmplay на командния ред през java слоя, за да стартира втория процес, който основно отговаря за междупроцесната комуникация между основния процес на камерата vcmpaly и libvc.so процеса, който се инжектира в камера услугата на системата, а основният начин за комуникация е ibinder.
Третият е SO файлът на камера сървъра, инжектиран в системната услуга.
Ако приложението не може да получи root права или има мрежов проблем, процесът няма да стартира
Тази камера се нуждае от активационен код за активиране и използване, а чрез анализ на Java слоя всички нейни интерфейси се свързват
Активацията изисква да се поиска от сървъра да получи информацията за верификация
Данните, които получавате, са всички криптирани
Чрез анализ на бинарния файл VCMPLAY можем да получим, че поисканите данни са RSA криптиране, а ключът се намира чрез EBPF инструмента на stackplz, а криптиращият ключ е 128 бита
Още една дума
Това приложение е много хитро, добави суфикс so към vcmplay, което кара хората да мислят, че е SO файл и трябва да се зареди в паметта на Java, но всъщност това е друг процес.
Свързах camera service server-а libvc.so открих, че Frida се срина веднага щом услугата за attach камера се срина, не знам дали беше засечена, анализирах го дълго време и случайно открих, че VCMPLAY е умрял веднъж, и успя да се закачи Подозира се, че може би процесът VCMPLAY е засекъл процеса на Cameraserve
Използвах ida, за да дебъгвам процеса на VCMpay, и установих, че той все още има антибъгване, сканирах tracepid-а в proc/self/status, за да определя дали е дебъгиран, и още по-страшно беше, че той установи, че антидебъгването не е срив на програмата, а всъщност е изтрил важни файлове в Android системата чрез root разрешения, след което телефонът се рестартира в състояние на двойно изчистване, системата трябва да бъде инициализирана, за да влезе в системата, и всичко в телефона е изчезнало. Написах kernel hook модула kpm чрез kernelpatch и заобиколих дебъгването
След няколко безсънни нощи тук, общата логика е изяснена и се оценява, че няма да е лесно да се разчупи.
Продължава по-късно......
|
Публикувано на 2025-10-14 10:40:57
|
|
|
|
