Αυτή η ανάρτηση τροποποιήθηκε τελευταία φορά από Summer στις 2025-10-14 10:59
Μια έκδοση της εικονικής κάμερας που έχει χακαριστεί από τον συγγραφέα στο παρελθόν δημοσίευσε ένα βίντεο στο Bilibili
Η προηγούμενη έκδοση που έσπασα ήταν επίσης ραγισμένη
Σύνδεση:Η σύνδεση με υπερσύνδεσμο είναι ορατή.
Πρόσφατα, ένας πελάτης μου ζήτησε να σπάσω μια άλλη έκδοση της εικονικής κάμερας από τον ίδιο συγγραφέα και απλώς να τη μελετήσω
Ελέγξτε πρώτα το κέλυφος, ενίσχυση χωρίς Bangbang, σχετικά απλή, απλά μια απλή ανίχνευση της Frida, ο παραπάνω σύνδεσμος έχει κάνει μια πολύ λεπτομερή ανάλυση της ενίσχυσης και ανίχνευσης της δωρεάν έκδοσης Bangbang, χρησιμοποιώντας διάφορα εργαλεία όπως το ebpf
Γάντζος με τη Φρίντα πρώτα, υπάρχουν σημάδια συντριβής, μπορεί το βήμα να εγχυθεί πολύ νωρίς ή η διεύθυνση να μην είναι προσβάσιμη όταν το άγκιστρο είναι έτοιμο, διορθώνοντας τον κώδικα αγκίστρου του σεναρίου σε φρίντα
Γενικά, ο χρόνος ψεκασμού καθυστέρησε λίγο, γεγονός που έλυσε το πρόβλημα των συντριβής του ψεκασμού
άγκιστρο Η διαδικασία ενεργοποίησής του λαμβάνει τα δεδομένα που επιστρέφονται από την ενεργοποίηση και πρέπει να ζητήσει από τον διακομιστή να επαληθεύσει ότι έλαβε τη χρονική σήμανση ενεργοποίησης
Στη συνέχεια, δίνεται χρόνος στον χρήστη υπολογίζοντας τη διαφορά χρόνου.
Αυτή η εικονική κάμερα ζητά επίσης δικαιώματα root, διαφορετικά δεν υπάρχει επικοινωνία μεταξύ διεργασιών έκδοσης,
Συνολικά, αυτή η κάμερα έχει ξεκινήσει τρεις διαδικασίες
Η μία είναι η κύρια διαδικασία της εφαρμογής κάμερας, η οποία είναι η επικοινωνία μεταξύ των διεργασιών μεταξύ του επιπέδου Java και του επιπέδου C++
Το δεύτερο είναι ότι η κύρια διαδικασία εκτελεί τη δυαδική εκτελέσιμη παράμετρο εισόδου vcmplay στη γραμμή εντολών μέσω του επιπέδου java για να ξεκινήσει η δεύτερη διαδικασία, η οποία είναι κυρίως υπεύθυνη για την επικοινωνία μεταξύ της κύριας διαδικασίας της κάμερας vcmpaly και της libvc.so διαδικασίας που εγχέεται στην υπηρεσία κάμερας κάμερας του συστήματος και ο κύριος τρόπος επικοινωνίας είναι το ibinder.
Το τρίτο είναι το αρχείο SO του camera cameraserver που εγχέεται στην υπηρεσία συστήματος.
Εάν η εφαρμογή δεν μπορεί να αποκτήσει δικαιώματα root ή υπάρχει πρόβλημα δικτύου, η διαδικασία θα αποτύχει να ξεκινήσει
Αυτή η κάμερα χρειάζεται έναν κωδικό ενεργοποίησης για ενεργοποίηση και χρήση, και αναλύοντας το επίπεδο Java, όλες οι διεπαφές της αγκιστρώνονται
Η ενεργοποίηση απαιτεί να ζητήσετε από τον διακομιστή να λάβει τις πληροφορίες επαλήθευσης
Τα δεδομένα που λαμβάνετε είναι όλα κρυπτογραφημένα
Αναλύοντας το δυαδικό εκτελέσιμο αρχείο VCMPLAY, μπορούμε να καταλάβουμε ότι τα ζητούμενα δεδομένα είναι κρυπτογράφηση RSA και το κλειδί βρίσκεται μέσω του εργαλείου EBPF του stackplz και το κλειδί κρυπτογράφησης είναι 128 bit
Μια λέξη ακόμα
Αυτή η εφαρμογή είναι πολύ πονηρή, πρόσθεσε ένα επίθημα so στο vcmplay, το οποίο κάνει τους ανθρώπους να πιστεύουν ότι είναι ένα αρχείο SO και πρέπει να φορτωθεί στη μνήμη της Java, αλλά στην πραγματικότητα είναι μια άλλη διαδικασία.
Συνέδεσα τον διακομιστή κάμερας της υπηρεσίας κάμερας libvc.so διαπίστωσα ότι η Φρίντα συνετρίβη μόλις κατέρρευσε η υπηρεσία κάμερας προσάρτησης, δεν ξέρω αν εντοπίστηκε, το ανέλυσα για μεγάλο χρονικό διάστημα και κατά λάθος διαπίστωσα ότι το VCMPLAY πέθανε μια φορά και μπόρεσε να αγκιστρωθεί Υπάρχει η υποψία ότι μπορεί να είναι η διαδικασία VCMPLAY που ανίχνευσε τη διαδικασία cameraserve
Χρησιμοποίησα το ida για τον εντοπισμό σφαλμάτων στη διαδικασία VCMpay και διαπίστωσα ότι είχε ακόμα anti-debugging, σάρωσε το tracepid σε proc/self/status για να προσδιορίσει εάν είχε διορθωθεί και αυτό που ήταν ακόμα πιο τρομακτικό ήταν ότι διαπίστωσε ότι το anti-debugging δεν ήταν σφάλμα προγράμματος, στην πραγματικότητα διέγραψε σημαντικά αρχεία στο σύστημα Android μέσω αδειών root και, στη συνέχεια, το τηλέφωνο επανεκκινήθηκε σε κατάσταση διπλής εκκαθάρισης και το σύστημα πρέπει να αρχικοποιηθεί για να εισέλθει στο σύστημα και όλα στο τηλέφωνο είχαν φύγει. Έγραψα τη μονάδα αγκίστρου πυρήνα kpm μέσω kernelpatch και παρέκαμψα τον εντοπισμό σφαλμάτων
Μετά από αρκετές άγρυπνες νύχτες εδώ, η γενική λογική έχει κατανοηθεί και εκτιμάται ότι δεν θα είναι εύκολο να σπάσει.
Θα συνεχιστεί αργότερα......
|
Δημοσιεύτηκε στις 2025-10-14 10:40:57
|
|
|
|
