Dieser Beitrag wurde zuletzt von Summer am 14.10.2025 um 10:59 Uhr bearbeitet
Eine Version der virtuellen Kamera, die zuvor vom Autor gehackt wurde, hat ein Video auf Bilibili veröffentlicht
Die vorherige Version, die ich geknackt habe, war ebenfalls gerissen
Verbinden:Der Hyperlink-Login ist sichtbar.
Kürzlich bat mich ein Kunde, eine weitere Version der virtuellen Kamera desselben Autors zu knacken und einfach zu studieren
Überprüfen Sie zuerst die Granate, Bangbang kostenlose Verstärkung, relativ einfach, nur eine einfache Detektion von Frida, der obige Link hat eine sehr detaillierte Analyse der Verstärkung und Erkennung der Bangbang-freien Version mit verschiedenen Werkzeugen wie ebpf erstellt
Hook mit Frida zuerst, es gibt Anzeichen eines Absturzes, es kann sein, dass der Fußtritt zu früh eingefügt wird oder die Adresse nicht zugänglich ist, wenn der Hook bereit ist, indem man den Hook-Code des Skripts auf Frida korrigiert
Im Allgemeinen verzögerte sich die Einspritzzeit etwas, was das Problem der Einspritzungsabstürze löste
Hook Der Prozess seiner Aktivierung erhält die von der Aktivierung zurückgegebenen Daten, und er muss den Server bitten, zu überprüfen, dass er den Aktivierungszeitstempel erhalten hat
Der Benutzer erhält dann Zeit, indem er die Zeitdifferenz berechnet.
Diese virtuelle Kamera fordert auch Root-Berechtigungen an, ansonsten gibt es keine versionsübergreifende Kommunikation,
Insgesamt hat diese Kamera drei Prozesse gestartet
Einer ist der Hauptprozess der Kamera-App, nämlich die prozessübergreifende Kommunikation zwischen der Java-Schicht und der C++-Schicht
Zweitens führt der Hauptprozess den binären ausführbaren vcmplay-Eingabeparameter auf der Kommandozeile über die Java-Schicht aus, um den zweiten Prozess zu starten, der hauptsächlich für die prozessübergreifende Kommunikation zwischen dem Hauptprozess des Kamera-VCMPaly und dem libvc.so Prozess, der in den Kamerakameradienst des Systems einspuckt, verantwortlich ist, und die Hauptkommunikationsart ist ibinder.
Die dritte ist die SO-Datei des Kamera-Kameraservers, die in den Systemdienst eingeschleust wurde.
Wenn die Anwendung keine Root-Rechte erhalten kann oder ein Netzwerkproblem auftritt, startet der Prozess nicht
Diese Kamera benötigt einen Aktivierungscode, um sie zu aktivieren und zu verwenden, und durch die Analyse der Java-Schicht werden alle ihre Schnittstellen ausgekoppelt
Zur Aktivierung muss der Server aufgefordert werden, die Verifizierungsinformationen zu erhalten
Die Daten, die du erhältst, sind alle verschlüsselt
Durch die Analyse der binären ausführbaren VCMPLAY-Datei können wir feststellen, dass die angeforderten Daten eine RSA-Verschlüsselung sind, der Schlüssel über das EBPF-Tool von stackplz gefunden wird und der Verschlüsselungsschlüssel 128 Bit umfasst
Noch ein Wort
Diese Anwendung ist sehr raffiniert, er hat vcmplay ein SO-Suffix hinzugefügt, was die Leute glauben lässt, es handele sich um eine SO-Datei, die in Javas Speicher geladen werden muss, aber tatsächlich ist es ein weiterer Prozess.
Ich habe den Kameraservice Cameraserver angeschlossen libvc.so festgestellt, dass Frida sofort abgestürzt ist, sobald der AttCamera-Service abgestürzt ist. Ich weiß nicht, ob es erkannt wurde. Ich habe es lange analysiert und versehentlich festgestellt, dass VCMPLAY einmal ausgestorben ist und es sich hooken konnte. Es wird vermutet, dass es der VCMPLAY-Prozess war, der den Cameraserve-Prozess erkannt hat.
Ich habe ida benutzt, um den VCMpay-Prozess zu debuggen, und festgestellt, dass er immer noch Anti-Debugging hatte, habe das Tracepid in proc/self/status gescannt, um festzustellen, ob es debuggt war, und was noch beängstigender war, war, dass das Anti-Debugging kein Programmabsturz war, sondern tatsächlich wichtige Dateien im Android-System über Root-Berechtigungen gelöscht hat, und dann startete das Telefon in einen doppelten Clearing-Zustand, das System musste initialisiert werden, um ins System zu gelangen, und alles im Telefon war weg. Ich habe das Kernel-Hook-Modul kpm per Kernelpatch geschrieben und das Debugging umgangen
Nach mehreren schlaflosen Nächten hier ist die allgemeine Logik durchschaut, und es wird geschätzt, dass es nicht leicht zu knacken sein wird.
Fortsetzung folgt später......
|
Veröffentlicht am 14.10.2025, 10:40:57
|
|
|
|
