Virtual Camera vCamera v18 のクラック

夏 · 2025年10月14日 10:40:57に投稿

この投稿は2025年10月14日10:59にSummerによって最終編集されました。

著者によって以前にハッキングされたバーチャルカメラのバージョンが、Bilibiliに動画を投稿しています

私がクラックした前のバージョンもクラックされていました
リンク：ハイパーリンクのログインが見えます。
最近、クライアントから同じ作者の別のバージョンのバーチャルカメラをクラックして、単純に研究してほしいと依頼されました
まずシェルを確認してください。Bangbangの無料強化は比較的シンプルで、Fridaの検出だけです。上記のリンクでは、ebpfなどの様々なツールを使ってBangbang無料版の強化と検出について非常に詳細な分析が行われています
まずフックをフックで行います。クラッシュの兆候があります。フットステップが早すぎる、またはフックの準備ができた時にアドレスにアクセスできない可能性があります。スクリプトのフックコードをfridaに修正することで

ログインが見えます。

一般的に、注入時間が少し遅れ、注入クラッシュの問題が解決されました
フック彼のアクティベーションのプロセスでデータが返され、サーバーにタイムスタンプが届いたかどうかを確認するよう依頼する必要があります

その後、時間の差を計算することで時間が与えられます。
この仮想カメラもルート権限を要求し、それ以外はバージョン間のプロセス間通信は行われません。
このカメラは合計で3つのプロセスが始まっています
一つはカメラアプリのメインプロセスで、Java層とC++層間のクロスプロセス通信です
2つ目は、メインプロセスがコマンドライン上で2進実行可能なvcmplay入力パラメータをJavaレイヤー経由で実行し、2番目のプロセスを開始することです。これは主にカメラのvcmpalyのメインプロセスとシステムのカメラカメラサービスに注入される libvc.so プロセス間のクロスプロセス通信を担当し、主な通信手段はiBinderです。
3つ目は、システムサービスに注入されたカメラカメラサーバーのSOファイルです。
アプリケーションがルート権限を取得できない場合やネットワークの問題がある場合、プロセスは起動しません

このカメラは起動・使用のためにアクティベーションコードが必要で、Javaレイヤーを解析すると、すべてのインターフェースが接続されています
アクティベーションには、サーバーに検証情報の取得を依頼する必要があります

受け取るデータはすべて暗号化されています
VCMPLAYのバイナリ実行ファイルを解析することで、要求されたデータがRSA暗号化であり、鍵はstackplzのEBPFツールを通じて特定され、暗号鍵は128ビットであることがわかります
もう一言
このアプリケーションは非常に巧妙で、vcmplayにso接尾辞を追加しました。これにより、人々はそれをSOファイルだと思わせ、Javaのメモリに読み込む必要があると思わせていますが、実際には別のプロセスです。
カメラサービスのカメラサーバーを接続した libvc.so ところ、アタッチカメラサービスがクラッシュした直後にfridaがクラッシュしたことがわかりました。検出されたかはわかりませんが、長時間分析したところ、VCMPLAYが一度停止したことが偶然わかりましたが、フックは成功していました。VCMPLAYプロセスがカメラサービスプロセスを検出したのではないかと疑われています
私はidaを使ってVCMpayのデバッグを行い、彼はまだアンチデバッグ機能を持っていることを知り、tracepidをproc/self/statusでスキャンしてデバッグされているかどうかを確認しました。さらに恐ろしかったのは、アンチデバッグがプログラムクラッシュではなく、Androidシステムの重要なファイルがroot権限で削除され、その後電話がダブルクリア状態に再起動し、システムが初期化されて入ったため、電話内のすべてが消えていたことです。 kernelpatchを使ってカーネルフックモジュールkpmを書き、デバッグを回避しました
ここで何度も眠れぬ夜を過ごした後、基本的な論理は理解でき、簡単には解読できないと見積もられています。
続きます......

[パキッ] Virtual Camera vCamera v18 のクラック

関連記事

閲覧したセクション