Этот пост был последний раз отредактирован Саммер 14.10.2025 10:59
Версия виртуальной камеры, которую автор уже взломал, опубликовала видео на Bilibili
Предыдущая версия, которую я взломал, тоже была взломана
Связь:Вход по гиперссылке виден.
Недавно один клиент попросил меня взломать другую версию виртуальной камеры того же автора и просто изучить её
Сначала проверьте оболочку, Bangbang free reinforcement, относительно просто, просто обнаружение Frida, вышеуказанная ссылка дала очень подробный анализ усиления и обнаружения бесплатной версии Bangbang с использованием различных инструментов, таких как ebpf
Сначала зацепите Frida — есть признаки сбоя, возможно, шаг введён слишком рано или адрес недоступен, когда крюк готов, если скорректировать код скрипта на frida
В целом, время впрыска немного задерживалось, что решило проблему сбоев при впрыске
hook Процесс его активации возвращает данные при активации, и ему нужно запросить у сервера подтверждение того, что он получил метку времени активации
Пользователю даётся время, вычисляя разницу во времени.
Эта виртуальная камера также запрашивает root-разрешения, в противном случае не будет межпроцессной коммуникации между версиями,
Всего у этой камеры запущено три процесса
Один из них — основной процесс приложения камеры, который представляет собой межпроцессную коммуникацию между уровнем Java и C++
Второе — основной процесс запускает бинарный исполняемый параметр vcmplay на командной строке через java-слой для запуска второго процесса, который в основном отвечает за межпроцессную коммуникацию между основным процессом камеры vcmpaly и libvc.so процессом, который внедряется в сервис камеры системы, а основным способом связи является ibinder.
Третья — это SO-файл камеры-сервера, внедрённый в системный сервис.
Если приложение не может получить root-права или возникает проблема с сетью, процесс не запускается
Для активации и использования этой камеры нужен активационный код, и анализируя уровень Java, все её интерфейсы подключаются
Активация требует запроса к серверу получить информацию о верификации
Данные, которые вы получаете, все зашифрованы
Анализируя бинарный файл VCMPLAY, можно определить, что запрашиваемые данные являются RSA-шифрованием, а ключ находится через инструмент EBPF stackplz, а ключ шифрования — 128 бит
Ещё слово
Это приложение очень хитрое, он добавил суффикс so в vcmplay, из-за чего люди думают, что это файл SO, и его нужно загрузить в память Java, но на самом деле это другой процесс.
Я подключил сервер камеры сервиса камеры libvc.so обнаружил, что Фрида вылетала сразу после падения сервиса камеры Прикрепления, не знаю, было ли это обнаружено, я долго анализировал и случайно обнаружил, что VCMPLAY однажды умер, и он смог зацепиться. Предполагается, что процесс VCMPLAY мог определить процесс Cameraserve
Я использовал ida для отладки процесса VCMpay, и обнаружил, что у него всё ещё есть антиотладка, просканировал tracepid в proc/self/status, чтобы определить, отладка ли он, и что было ещё страшнее — он обнаружил, что антиотладка не была сбоем программы, он действительно удалил важные файлы в Android-системе через root разрешения, затем телефон перезагрузился в состоянии двойной очистки, систему нужно было инициализировать для входа в систему, и всё в телефоне исчезло. Я написал модуль kernel hook module kpm через kernelpatch и обошёл отладку
После нескольких бессонных ночей здесь общая логика была выяснена, и, по оценкам, взломать её будет непросто.
Продолжение будет позже......
|
Опубликовано 2025-10-14 10:40:57
|
|
|
|
