To objavo je nazadnje uredila Summer 14. 10. 2025 ob 10:59
Različica virtualne kamere, ki jo je avtor že prej vdrl, je objavila video o Bilibiliju
Prejšnja različica, ki sem jo razbil, je bila prav tako pokvarjena
Povezava:Prijava do hiperpovezave je vidna.
Nedavno me je naročnik prosil, naj razbijem drugo različico virtualne kamere istega avtorja in jo preprosto preučim
Najprej preverite granato, Bangbang brez ojačitev, razmeroma preprosto, le preprosta zaznava Fride, zgornja povezava je naredila zelo podrobno analizo ojačitve in zaznave Bangbang proste različice, z uporabo različnih orodij, kot je EBPF
Najprej priklopi s Frido, obstajajo znaki zloma, morda je korak vstavljen prehitro ali pa je naslov nedostopen, ko je kljuka pripravljena, če popraviš kodo kljuke skripte na Frido
Na splošno je bil čas vbrizgavanja nekoliko zamaknjen, kar je rešilo problem zrušitev injekcij
hook Proces njegove aktivacije prejme podatke, ki jih vrne aktivacija, in mora zahtevati od strežnika, da potrdi, da je prejel časovni žig aktivacije
Uporabnik nato dobi čas z izračunom časovne razlike.
Ta virtualna kamera prav tako zahteva root dovoljenja, sicer ni komunikacije med različicami med procesi,
Skupaj ima ta fotoaparat zagnane tri postopke
Eden je glavni proces aplikacije za kamero, ki je komunikacija med procesi med Java plastjo in C++ plastjo
Drugi proces je, da glavni proces izvaja binarni izvedljivi vcmplay vhodni parameter na ukazni vrstici skozi java plast, da začne drugi proces, ki je predvsem odgovoren za komunikacijo med glavnim procesom kamere vcmpaly in libvc.so procesom, ki vbrizga v kamero kamero sistema, glavni način komunikacije pa je ibinder.
Tretja je SO datoteka strežnika kamere, vbrizgana v sistemsko storitev.
Če aplikacija ne more pridobiti root pravic ali pride do težav v omrežju, se postopek ne bo zagnal
Ta kamera potrebuje aktivacijsko kodo za aktivacijo in uporabo, in z analizo Java plasti so vsi njeni vmesniki povezani
Aktivacija zahteva, da strežnik pridobi verifikacijske podatke
Podatki, ki jih dobiš, so vsi šifrirani
Z analizo izvršljive binarne datoteke VCMPLAY lahko ugotovimo, da so zahtevani podatki RSA šifriranje, ključ pa je lociran preko orodja EBPF stackplz, šifrirni ključ pa je 128 bitov
Še ena beseda
Ta aplikacija je zelo prebrisana, dodal je pripono so k vcmplay, zaradi česar ljudje mislijo, da gre za SO datoteko in jo je treba naložiti v Java pomnilnik, a je v resnici še en proces.
Priklopil sem camera service cameraserver libvc.so ugotovil, da se je Frida zrušila takoj, ko se je storitev attach camera sesula. Ne vem, ali je bila zaznana, dolgo sem jo analiziral in po naključju ugotovil, da je VCMPLAY enkrat crknil in se je uspel priklopiti. Sumijo se, da je morda proces VCMPLAY zaznal proces cameraserve.
Uporabil sem ido za odpravljanje napak v procesu VCMpay in ugotovil, da je še vedno imel anti-odpravljanje napak, skeniral sledilno datoteko v proc/self/status, da bi ugotovil, ali je bila debuggirana, in še bolj strašljivo je bilo, da je ugotovil, da anti-odpravljanje ni bila zrušitev programa, dejansko je izbrisal pomembne datoteke v Android sistemu preko root dovoljenj, nato se je telefon ponovno zagnal v stanje dvojnega čiščenja, sistem pa je moral biti inicializiran za vstop v sistem, in vse v telefonu je bilo izginilo. Kernel hook modul sem napisal kpm preko kernelpatcha in obšel odpravljanje napak
Po več neprespanih nočeh tukaj je bila splošna logika razjasnjena in ocenjuje se, da je ne bo lahko razvozlati.
Nadaljevanje bo sledilo kasneje......
|
Objavljeno 14. 10. 2025 ob 10:40:57
|
|
|
|
