Seda postitust toimetas viimati Summer 2025-10-14 kell 10:59
Virtuaalkaamera versioon, mida autor on varem häkkinud, on postitanud video Bilibilis
Eelmine versioon, mille ma murdsin, oli samuti pragunenud
Link:Hüperlingi sisselogimine on nähtav.
Hiljuti palus üks klient mul lahti murda sama autori virtuaalkaamera teine versioon ja lihtsalt uurida seda
Vaata esmalt kesta, Bangbangi vaba tugevdamine, suhteliselt lihtne, lihtsalt lihtne Frida tuvastamine, ülaltoodud link on teinud väga põhjaliku analüüsi Bangbangi vaba versiooni tugevdamisest ja tuvastamisest, kasutades erinevaid tööriistu nagu ebpf
Ühenda kõigepealt Frida, on krahhi märke, võib-olla süstitakse samm liiga vara või aadress on kättesaamatu, kui konks on valmis, kui skripti konksu kood muudetakse frida'ks
Üldiselt viibis süstimise aeg veidi, mis lahendas süstimiskrahhide probleemi
Hook Tema aktiveerimise protsess toob aktiveerimise käigus andmed tagasi ja ta peab paluma serveril kinnitada, et tal on aktiveerimise ajatempel
Kasutajale antakse aeg, arvutades ajavahe.
See virtuaalne kaamera küsib ka juurõigusi, muidu ei ole versioonide ristprotsessilist suhtlust,
Kokku on sellel kaameral alustatud kolm protsessi
Üks neist on kaamerarakenduse peamine protsess, mis on Java ja C++ kihi vaheline protsessidevaheline suhtlus
Teine on see, et peamine protsess käivitab binaarse käivitatava vcmplay sisendi parameetri käsurea kaudu java kihi kaudu, et käivitada teine protsess, mis vastutab peamiselt protsessidevahelise suhtluse eest kaamera vcmpaly põhiprotsessi ja libvc.so protsessi vahel, mis siseneb süsteemi kaamera kaamera teenusesse, ning peamine suhtlusviis on ibinder.
Kolmas on kaamera kaameraserveri SO-fail, mis süstitakse süsteemiteenusesse.
Kui rakendus ei saa juurõigusi või tekib võrguprobleem, ei käivitu protsess
See kaamera vajab aktiveerimiseks ja kasutamiseks aktiveerimiskoodi ning Java kihi analüüsimisel ühendatakse kõik selle liidesed
Aktiveerimiseks tuleb paluda serveril saada kinnitusteave
Kõik andmed, mida saad, on krüpteeritud
VCMPLAY binaarfaili analüüsides saame teada, et nõutud andmed on RSA krüpteeritud, võti asub stackplz EBPF tööriista kaudu ning krüpteerimisvõti on 128 bitti
Veel üks sõna
See rakendus on väga kaval, ta lisas vcmplay'le so sufikse, mis paneb inimesed arvama, et see on SO fail ja see tuleb Java mällu laadida, kuid tegelikult on see teine protsess.
Ühendasin kaamerateenuse kaameraserveriga libvc.so leidsin, et Frida jooksis kohe kokku, kui kaamera liitmise teenus kokku jooksis, ma ei tea, kas see tuvastati, analüüsisin seda kaua ja kogemata avastasin, et VCMPLAY suri korra ja see suutis konksu külge panna. Kahtlustatakse, et see võib olla VCMPLAY protsess, mis tuvastas kaameraserve'i protsessi
Kasutasin Ida'd VCMpay protsessi silumiseks ja avastasin, et tal oli endiselt silumistõrje, skaneerisin tracepiidi proc/self/status'is, et selgitada, kas see on silutud, ja veelgi hirmutavam oli see, et ta avastas, et silumistõrje ei olnud programmi krahh, vaid kustutas olulised failid Androidi süsteemist juurõiguste kaudu, siis telefon taaskäivitus topeltpuhastuse seisundisse, süsteem tuli initsialiseerida, et süsteemi siseneda, ja kõik telefonis oli kadunud. Kirjutasin kernel hook mooduli kpm kernelpatchiga ja jätsin silumise vahele
Pärast mitut unetut ööd siin on üldine loogika selgeks saanud ja arvatakse, et seda pole lihtne murda.
Jätkub hiljem......
|
Postitatud 2025-10-14 10:40:57
|
|
|
|
