虚拟相机vcamera v18破解

夏天

之前破解过作者一个版本的虚拟相机在b站发过视频


我破解的之前的版本也有人破解过
链接地址：超链接登录可见。
最近有客户找我破解同一个作者的另外一个版本的虚拟相机，索性研究一下
先查壳，邦邦免费加固，比较简单，只是对frida的简单检测，上面的链接已经对邦邦免费版的加固和检测做了非常详细的分析，用到了ebpf等各种工具
用frida先hook一下，有崩溃的迹象，可能是脚步注入太早，或者hook现成的时候地址无法访问，通过纠正脚本的到frida的hook代码

登录可见。

总的来说，注入的时间延迟了一下，就解决了注入崩溃的问题
hook他激活的过程拿到了激活返回的数据，他需要请求服务器验证拿到激活的时间戳

然后通过计算时间的差值，来给用户使用时间。
这个虚拟相机还请求了root权限，不然没有版本跨进程通讯，
总的来说这个相机有启动了三个进程
一是相机app的主进程，主进程是java层和c++层的跨进程通讯
二是主进程通过java层在命令行运行二进制可执行文件vcmplay 传入参数来启动第二个进程，这个进程主要负责相机vcmpaly主进程和注入系统相机相机服务的libvc.so进程跨进程通讯，通讯的主要方式是ibinder,
三是注入系统服务的相机cameraserver的so文件。
如果应用root权限获取不到，或者网络问题，会出现进程启动失败的问题


这个相机需要激活码才能激活使用，通过分析java层，把他的界面全部hook了出来
激活需要请求服务器拿到验证信息

拿到的数据全是加密的
通过分析vcmplay二进制可执行文件可得到 请求的数据是rsa加密，秘钥通过stackplz的ebpf工具定位到了加密秘钥是128位的
还要说一句
这个应用很狡猾他把vcmplay加了一个so后缀，让人以为是so文件，需要加载到java的内存其实他是另外一个进程。
我hook相机服务cameraserver内的libvc.so发现frida一 attach相机服务就崩溃，不知道是不是检测，分析了很长时间，偶然发现vcmplay一次死掉的时机，竟然能hook了 怀疑可能是vcmplay的进程对cameraserve进程进行了检测
我用ida对vcmpay进程进行调试，发现他还有反调试，扫了一下proc/self/status内的tracepid来确定有没有被调试，而且更恐怖的是他发现反调试不是程序崩溃，他竟然通过root权限删除了安卓系统内的重要文件，然后手机重启进入双清状态，必须初始化系统才能进系统，手机内的所有东西都没了。我通过kernelpatch编写内核hook模块kpm过掉了反调试
分析到这里经历了几个不眠之夜，大体的逻辑都弄清楚了，估计破解也是不容易的。
以后待续吧......