Tätä julkaisua muokasi viimeksi Summer 14.10.2025 klo 10:59
Virtuaalikameran versio, jonka tekijä on aiemmin hakkeroitu, on julkaissut videon Bilibilistä
Edellinen versio, jonka mursin, oli myös haljennut
Linkki:Hyperlinkin kirjautuminen on näkyvissä.
Äskettäin eräs asiakas pyysi minua murtamaan toisen version saman kirjoittajan virtuaalikamerasta ja yksinkertaisesti tutkimaan sitä
Tarkista ensin kuori, Bangbang-vapaa vahvistus, suhteellisen yksinkertainen, yksinkertainen Fridan havaitseminen, yllä oleva linkki on tehnyt erittäin yksityiskohtaisen analyysin Bangbang-vapaan version vahvistuksesta ja havaitsemisesta, käyttäen erilaisia työkaluja, kuten ebpf:ää
Hook ensin Fridan kanssa, siellä on merkkejä kaatumisesta, voi olla, että askel injektoidaan liian aikaisin tai osoite on saavuttamattomissa, kun koukku on valmis, kun skriptin koukkukoodi korjataan Fridaksi
Yleisesti ottaen injektiointiaika viivästyi hieman, mikä ratkaisi injektiokaatumisten ongelman
Hook Hänen aktivointiprosessinsa saa aktivoinnilla palautetut tiedot, ja hänen täytyy pyytää palvelinta varmistamaan, että hän sai aktivoinnin aikaleiman
Käyttäjälle annetaan sitten aika laskemalla aikaero.
Tämä virtuaalikamera pyytää myös root-oikeuksia, muuten ei ole versioiden ristiin-prosessiviestintää,
Yhteensä tässä kamerassa on kolme aloitettavaa prosessia
Yksi on kamerasovelluksen pääprosessi, joka on Java- ja C++-kerrosten välinen ristiinprosessiviestintä
Toinen on, että pääprosessi ajaa binäärisen suoritettavan vcmplay-syötteen komentorivin kautta java-kerroksen kautta käynnistääkseen toisen prosessin, joka vastaa pääasiassa kameran pääprosessin ja libvc.so-prosessin välisestä ristiinprosessista kameran kamerapalveluun, ja pääasiallinen viestintätapa on ibinder.
Kolmas on kamerapalvelimen SO-tiedosto, joka syötetään järjestelmäpalveluun.
Jos sovellus ei saa juurioikeuksia tai verkko-ongelma ilmenee, prosessi ei käynnisty
Tämä kamera tarvitsee aktivointikoodin aktivoituakseen ja käyttääkseen, ja analysoimalla Java-kerrosta kaikki sen liitännät kytketään
Aktivointi vaatii palvelimelta varmennustietojen pyytämistä
Kaikki saamasi tiedot ovat salattuja
Analysoimalla VCMPLAY-binäärisuoritettavaa tiedostoa voimme saada selville, että pyydetty data on RSA-salausta, avain löytyy stackplz:n EBPF-työkalun kautta, ja salausavain on 128 bittiä
Vielä yksi sana
Tämä sovellus on hyvin ovela, hän lisäsi so-suffiksin vcmplayhin, mikä saa ihmiset luulemaan, että kyseessä on SO-tiedosto ja se täytyy ladata Javan muistiin, mutta se on itse asiassa toinen prosessi.
Kytkin kamerapalvelun kamerapalvelimen libvc.so huomasin, että Frida kaatui heti, kun liitekamerapalvelu kaatui. En tiedä havaittiinko se, analysoin sitä pitkään ja vahingossa huomasin, että VCMPLAY kuoli kerran, ja se pystyi kytkeytymään. Epäillään, että VCMPLAY-prosessi saattoi havaita kameraservi-prosessin
Käytin Idaa VCMpay-prosessin virheenkorjaukseen, ja huomasin, että hänellä oli edelleen debuggauksen esto, skannasin tracepidin proc/self/status -tilassa selvittääkseni, oliko se debuggattu, ja vielä pelottavampaa oli, että hän huomasi, ettei virheenkorjaus ollut ohjelman kaatuminen, vaan hän poisti tärkeitä tiedostoja Android-järjestelmästä root-oikeuksien kautta, ja puhelin käynnistyi uudelleen kaksoispuhdistustilaan, ja järjestelmä täytyi alustaa päästäkseen järjestelmään, ja kaikki puhelimessa oli poissa. Kirjoitin kernel hook -moduulin kpm kernelpatchin kautta ja ohitin debuggauksen
Useiden unettomien öiden jälkeen täällä yleinen logiikka on selvitetty, ja arvioidaan, ettei sen murtaminen ole helppoa.
Jatkuu myöhemmin......
|
Julkaistu 2025-10-14 10:40:57
|
|
|
|
