Dette indlæg blev sidst redigeret af Summer den 14-10-2025 kl. 10:59
En version af det virtuelle kamera, som forfatteren tidligere har hacket, har lagt en video op på Bilibili
Den tidligere version, jeg knækkede, var også revnet
Sammenkæde:Hyperlink-login er synlig.
For nylig bad en kunde mig om at knække en anden version af det virtuelle kamera af samme forfatter og blot studere det
Tjek granaten først, Bangbang gratis forstærkning, relativt simpelt, bare en simpel detektion af Frida, ovenstående link har lavet en meget detaljeret analyse af forstærkning og detektion af Bangbang gratis version, ved brug af forskellige værktøjer såsom ebpf
Først er der tegn på nedbrud, det kan være, at fodtrinnet er injiceret for tidligt, eller adressen er utilgængelig, når krogen er klar, ved at rette scriptets hook-kode til frida
Generelt blev injektionstiden forsinket en smule, hvilket løste problemet med injektionscrashes
hook Processen med hans aktivering får dataene returneret af aktiveringen, og han skal anmode serveren om at bekræfte, at han har fået aktiveringstidsstemplet
Brugeren får derefter tid ved at beregne tidsforskellen.
Dette virtuelle kamera anmoder også om root-tilladelser, ellers er der ingen version af tværproceskommunikation,
I alt har dette kamera startet tre processer
Den ene er hovedprocessen i kameraappen, som er tværproceskommunikation mellem Java-laget og C++-laget
Den anden er, at hovedprocessen kører den binære eksekverbare vcmplay-inputparameter på kommandolinjen gennem java-laget for at starte den anden proces, som hovedsageligt er ansvarlig for tværproceskommunikationen mellem hovedprocessen i kamera-vcmpalyen og den libvc.so proces, der injicerer i kamerakameratjenesten i systemet, og hovedkommunikationsformen er ibinder.
Den tredje er SO-filen for kamerakameraserveren, der er injiceret i systemtjenesten.
Hvis applikationen ikke kan opnå root-rettigheder, eller der opstår et netværksproblem, vil processen ikke kunne starte
Dette kamera kræver en aktiveringskode for at aktivere og bruge, og ved at analysere Java-laget bliver alle dets grænseflader koblet ud
Aktivering kræver, at serveren får verifikationsoplysningerne
De data, du får, er alle krypterede
Ved at analysere VCMPLAY binære eksekverbare fil kan vi få ud af, at de anmodede data er RSA-kryptering, og nøglen er placeret via EBPF-værktøjet i stackplz, og krypteringsnøglen er 128 bit
Et ord mere
Denne applikation er meget snedig, han tilføjede et SO-suffiks til vcmplay, hvilket får folk til at tro, det er en SO-fil, og at den skal indlæses i Javas hukommelse, men det er faktisk en anden proces.
Jeg tilsluttede kameraservice-kameraserveren libvc.so fandt ud af, at Frida crashede, så snart attach camera-tjenesten crashede. Jeg ved ikke, om det blev opdaget, jeg analyserede det i lang tid og fandt ved et uheld ud af, at VCMPLAY døde én gang, og det kunne hooke. Det mistænkes, at det kan være VCMPLAY-processen, der opdagede cameraserve-processen
Jeg brugte ida til at fejlfinde VCMpay-processen og fandt ud af, at han stadig havde anti-debugging, scannede tracepiden i proc/self/status for at afgøre, om den var fejlgivet, og det endnu mere skræmmende var, at han fandt ud af, at anti-fejlfinding ikke var et programcrash, han slettede faktisk vigtige filer i Android-systemet via root-tilladelser, og så genstartede telefonen til dobbelt-clearing-tilstand, og systemet skulle initialiseres for at komme ind i systemet, og alt i telefonen var væk. Jeg skrev kernel-hook-modulet kpm via kernelpatch og sprang fejlfinding over
Efter flere søvnløse nætter her er den generelle logik blevet forstået, og det anslås, at det ikke bliver let at knække.
Fortsættes senere......
|
Opslået den 14-10-2025 10:40:57
|
|
|
|
