Detta inlägg redigerades senast av Summer den 14 oktober 2025 kl. 10:59
En version av den virtuella kameran som tidigare har hackats av författaren har lagt upp en video på Bilibili
Den tidigare versionen jag knäckte var också sprucken
Länk:Inloggningen med hyperlänken är synlig.
Nyligen bad en kund mig att knäcka en annan version av den virtuella kameran av samma författare och helt enkelt studera den
Kontrollera granaten först, Bangbang gratis förstärkning, relativt enkelt, bara en enkel detektion av Frida, länken ovan har gjort en mycket detaljerad analys av förstärkning och detektering av Bangbang gratis version, med hjälp av olika verktyg som ebpf
Hooken med Frida först finns tecken på krasch, det kan vara att fotsteget injiceras för tidigt, eller att adressen är otillgänglig när hooken är redo, genom att rätta skriptets hook-kod till frida
Generellt var injektionstiden något fördröjd, vilket löste problemet med injektionskrascher
hook Processen för hans aktivering får tillbaka data från aktiveringen, och han måste be servern verifiera att han fått aktiveringstidsstämpeln
Användaren får sedan tid genom att beräkna tidsskillnaden.
Denna virtuella kamera begär också root-behörigheter, annars finns det ingen versionsöverskridande kommunikation,
Totalt har denna kamera påbörjats tre processer
Den ena är kameraappens huvudprocess, vilket är den tvärprocessöverskridande kommunikationen mellan Java-lagret och C++-lagret
Den andra är att huvudprocessen kör den binära exekverbara vcmplay-indataparametern på kommandoraden via java-lagret för att starta den andra processen, som huvudsakligen ansvarar för kommunikation mellan kamerans vcmpaly:s huvudprocess och den libvc.so process som injicerar i kamerakameratjänsten i systemet, och huvudkommunikationssättet är ibinder.
Den tredje är SO-filen för kamerans kameraserver injicerad i systemtjänsten.
Om applikationen inte kan få root-rättigheter eller om det uppstår ett nätverksproblem, kommer processen att inte starta
Denna kamera behöver en aktiveringskod för att aktiveras och användas, och genom att analysera Java-lagret kopplas alla dess gränssnitt ut
Aktivering kräver att servern begär verifieringsinformationen
Datan du får är helt krypterad
Genom att analysera VCMPLAYS binära exekverbara fil kan vi få fram att den begärda datan är RSA-kryptering, och nyckeln finns via EBPF-verktyget stackplz, och krypteringsnyckeln är 128 bitar
Ett ord till
Den här applikationen är väldigt listig, han lade till ett so-suffix i vcmplay, vilket får folk att tro att det är en SO-fil och att den måste laddas in i Javas minne, men det är faktiskt en annan process.
Jag kopplade kameraservicens kameraserver libvc.so upptäckte att Frida kraschade så fort Attach Camera-tjänsten kraschade, jag vet inte om det upptäcktes, jag analyserade det länge och råkade upptäcka att VCMPLAY dog en gång, och den kunde hooka. Det misstänks att det kan vara VCMPLAY-processen som upptäckte Cameraserve-processen
Jag använde ida för att felsöka VCMpay-processen, och upptäckte att han fortfarande hade anti-felsökning, skannade tracepiden i proc/self/status för att avgöra om den var felsökt, och det som var ännu mer skrämmande var att han upptäckte att anti-felsökningen inte var en programkrasch, han raderade faktiskt viktiga filer i Android-systemet via root-behörigheter, och sedan startade telefonen om till dubbel-rensningsläge, och systemet måste initieras för att komma in i systemet, och allt i telefonen var borta. Jag skrev kernel-hookmodulen kpm via kernelpatch och kringgick felsökningen
Efter flera sömnlösa nätter här har den allmänna logiken förståtts, och det uppskattas att det inte kommer att vara lätt att knäcka.
Fortsättning följer......
|
Publicerad den 2025-10-14 10:40:57
|
|
|
|
