Bu gönderi en son 2025-10-14 10:59 tarihinde Summer tarafından düzenlenmiştir
Yazar tarafından daha önce hacklenen sanal kameranın bir versiyonu Bilibili hakkında bir video paylaştı
Önceki kırdığım versiyon da çatlıydı
Bağlantı:Bağlantı girişi görünür.
Yakın zamanda, bir müşteri aynı yazarın sanal kamerasının başka bir versiyonunu kırıp sadece incelememi istedi
Önce kabuğu kontrol edin, Bangbang ücretsiz takviye, nispeten basit, sadece Frida'nın basit bir tespiti, yukarıdaki bağlantı, Bangbang ücretsiz versiyonunun güçlendirme ve tespitinin çok ayrıntılı bir analizini ebpf gibi çeşitli araçlarla yaptı
Önce Frida ile hook, çökme belirtileri var, ayak sesi çok erken enjekte edilmiş olabilir ya da adres hazır olduğunda erişememiş olabilir, betik anahtar kodunu frida olarak düzelterek
Genel olarak, enjeksiyon süresi biraz gecikmişti ve bu da enjeksiyon çökmeleri sorununu çözdü
Hook Aktivasyon süreci, aktivasyon tarafından geri dönen verileri alır ve sunucudan aktivasyon zaman damgasını aldığını doğrulamasını istemesi gerekir
Kullanıcıya zaman farkı hesaplanarak zaman verilir.
Bu sanal kamera ayrıca root izinleri ister, aksi takdirde sürüm çapraz işlem iletişimi yoktur,
Toplamda, bu kamerada üç işlem başlatıldı
Bunlardan biri, kamera uygulamasının ana süreci, Java katmanı ile C++ katmanı arasındaki çapraz iletişim
İkincisi ise, ana süreç, ikinci süreci başlatmak için komut satırında ikili çalıştırılabilir vcmplay giriş parametresini java katmanı üzerinden çalıştırır; bu süreç, esas olarak kameranın ana süreci vcmpaly ile libvc.so süreci arasındaki çapraz iletişimden sorumludur ve sistemin kamera kamera servisine enjekte edilir ve ana iletişim yolu ibinder'dir.
Üçüncüsü, sistem servisine enjekte edilen kamera kamera sunucusunun SO dosyasıdır.
Uygulama kök ayrıcalıkları elde edemezse veya bir ağ sorunu varsa, süreç başlamaz
Bu kameranın etkinleştirilmesi ve kullanılması için bir aktivasyon kodu gerekiyor ve Java katmanı analiz edildiğinde tüm arayüzleri bağlanıyor
Aktivasyon için sunucudan doğrulama bilgilerini almasını talep etmek gerekir
Aldığınız verilerin tamamı şifrelenmiş
VCMPLAY ikili çalıştırılabilir dosyasını analiz ederek, istenen verinin RSA şifreleme olduğunu, anahtarın stackplz'in EBPF aracı aracılığıyla bulunduğunu ve şifreleme anahtarının 128 bit olduğunu öğrenebiliriz
Bir kelime daha
Bu uygulama çok kurnaz, vcmplay'e so ek ekledi, bu da insanların bunun bir SO dosyası olduğunu düşündürüyor ve Java'nın belleğine yüklenmesi gerekiyor, ama aslında bu başka bir süreç.
Kamera servisi kamera sunucusunu bağladım libvc.so Frida'nın bağlanma kamerası hizmeti çöker çökmediğini gördüm, tespit edilip edilmediğini bilmiyorum, uzun süre analiz ettim ve yanlışlıkla VCMPLAY'in bir kez öldüğünü ve bağlanabildiğini gördüm. Kameraservise sürecini tespit eden VCMPLAY süreci olabileceği şüpheleniyor
Ida ile VCMpay sürecinde hata ayıklama yaptım ve hâlâ anti-debugging olduğunu gördüm, tracepid'i proc/self/status bölümünde taradı ve hata ayıklanıp hata ayıklanmadığını belirledi, daha da korkutucu olan, anti-debugging'in bir program çökmesi olmadığını, aslında Android sistemindeki önemli dosyaları root izinleriyle sildiğini, sonra telefonun çift temizleme durumuna yeniden başladığını ve sistemin sisteme girebilmek için başlatılması gerektiğini ve telefondaki her şeyin kaybolmasıydı. Kernelpatch ile kernel hook modülü kpm'yi yazdım ve hata ayıklamayı atladım
Burada geçen birkaç uykusuz geceden sonra genel mantık çözüldü ve bunun kolay olmayacağı tahmin ediliyor.
Daha sonra devam edecek......
|
2025-10-14 10:40:57 tarihinde yayınlandı
|
|
|
|
