Ce post a été modifié pour la dernière fois par Summer le 14-10-2025 à 10:59
Une version de la caméra virtuelle qui a déjà été piraté par l’auteur a publié une vidéo sur Bilibili
La version précédente que j’avais craquée était aussi fissurée
Lien:La connexion hyperlientérée est visible.
Récemment, un client m’a demandé de déchiffrer une autre version de la caméra virtuelle du même auteur et simplement de l’étudier
Vérifiez d’abord la coque, le renforcement sans Bangbang, relativement simple, juste une simple détection de Frida, le lien ci-dessus a fait une analyse très détaillée du renforcement et de la détection de la version sans Bangbang, en utilisant divers outils comme ebpf
Hook avec frida d’abord, il y a des signes de crash, il se peut que le pas soit injecté trop tôt, ou que l’adresse soit inaccessible quand le hook est prêt, en corrigeant le code hook du script vers frida
En général, le temps d’injection était légèrement retardé, ce qui résolvait le problème des crashs d’injection
Hook Le processus de son activation reçoit les données retournées par l’activation, et il doit demander au serveur de vérifier qu’il a reçu l’horodatage d’activation
L’utilisateur reçoit alors un temps en calculant la différence de temps.
Cette caméra virtuelle demande également des permissions root, sinon il n’y a pas de communication inter-processus de version,
Au total, cette caméra a commencé trois processus
L’un est le processus principal de l’application caméra, qui est la communication inter-processus entre la couche Java et la couche C++
Le second est que le processus principal exécute le paramètre d’entrée vcmplay exécutable binaire en ligne de commande via la couche Java pour lancer le second processus, qui est principalement responsable de la communication inter-processus entre le processus principal de la caméra vcmpaly et le processus libvc.so injecté dans le service caméra du système, et la principale voie de communication est ibinder.
Le troisième est le fichier SO du cameraserver injecté dans le service système.
Si l’application ne peut pas obtenir de privilèges root ou s’il y a un problème réseau, le processus ne démarrera pas
Cette caméra a besoin d’un code d’activation pour être activée et utilisée, et en analysant la couche Java, toutes ses interfaces sont déconnectées
L’activation nécessite de demander au serveur d’obtenir les informations de vérification
Les données que vous obtenez sont toutes chiffrées
En analysant l’exécutable binaire VCMPLAY, on peut obtenir que les données demandées sont un chiffrement RSA, que la clé est localisée via l’outil EBPF de stackplz, et que la clé de chiffrement est de 128 bits
Encore un mot
Cette application est très rusée, il a ajouté un suffixe so à vcmplay, ce qui fait penser aux gens qu’il s’agit d’un fichier SO, et qu’il doit être chargé dans la mémoire de Java, mais en réalité c’est un autre processus.
J’ai branché le service caméra serveur libvc.so j’ai constaté que Frida plantait dès que le service Attach Camera plantait, je ne sais pas si cela a été détecté, je l’ai analysé longtemps, et j’ai accidentellement découvert que VCMPLAY était mort une fois, et il a pu se connecter. On soupçonne que c’est peut-être le processus VCMPLAY qui a détecté le processus de Cameraserve.
J’ai utilisé ida pour déboguer le processus VCMpay, et j’ai découvert qu’il avait toujours l’anti-débogage, j’ai scanné le tracepid en proc/self/statut pour déterminer s’il était débogué, et ce qui était encore plus terrifiant, c’est qu’il a découvert que l’anti-débogage n’était pas un plantage du programme, il avait en fait supprimé des fichiers importants du système Android via les permissions root, puis le téléphone a redémarré en état de double effacement, et le système devait être initialisé pour entrer dans le système, et tout ce qu’il y avait dans le téléphone avait disparu. J’ai écrit le module hook du noyau kpm via kernelpatch et contourné le débogage
Après plusieurs nuits blanches ici, la logique générale a été comprise, et on estime que ce ne sera pas facile à résoudre.
À suivre plus tard......
|
Publié le 14-10-2025 à 10:40:57
|
|
|
|
