在非越狱的 iOS 设备上，确实存在一些技术手段可以在任意app实现 虚拟相机的可能，但这类方法通常依赖于 动态注入 或 运行时修改，并且有一定的限制。以下是几种可能的实现方式：

方法一：动态注入（Dynamic Injection）

• 方法：修改 IPA + 重签名 + 安装
• 操作步骤：
  获取目标 App 的 IPA 文件（如通过越狱设备提取或第三方商店下载）。
  
• 注入动态库（dylib）：
  使用 insert_dylib 或 optool 将自定义的 dylib（如 FridaGadget.dylib 或 libhooker.dylib）注入到 IPA 的 Mach-O 文件中。
  编写 Hook 代码（如使用 Objective-C 的 Method Swizzling 或 Frida 脚本）拦截目标方法。
  
• 重签名：
  使用开发者证书或企业证书对修改后的 IPA 进行重签名（需配置 Entitlements）。
  
• 安装到非越狱设备：
  通过 AltStore、Cydia Impactor 或企业证书分发方式安装。；
  
• 限制：
  仅适用于修改后的 App，无法全局 app 都有效。
  需要有效的签名证书（个人开发者证书 7 天过期，企业证书可能被苹果吊销）。
  目标 App 不能启用 FairPlay 加密（DRM），否则无法解密 IPA。
  

方法二：运行时 实现（如 Frida + USB 调试）

• 方法：方法：通过 Frida 实时注入 JavaScript 代码
• 操作步骤：
  在 Mac 上安装 Frida。
  在 iOS 设备上运行 Frida Server（需开发者模式或越狱）
  
• 限制：
  需要 USB 连接 + 开发者模式（不能远程控制）。
  部分 App 可能有反调试保护（如 ptrace、sysctl 检测）。
  iOS 14+ 对动态注入的限制更严格。
  

方法三：企业证书滥用（恶意监控 App）

• 方法：通过企业证书分发恶意 App
• 操作步骤：
  开发一个看似合法的 App（如“PDF 阅读器”），但内置 劫持 逻辑。
  申请企业证书（或购买黑产证书）进行签名。
  诱导用户安装（如通过网页分发或钓鱼邮件）。
  运行时 劫持 系统 API（如 Cydia Substrate 风格的注入）。
  
• 限制：
  违反苹果政策，企业证书容易被封杀。
  需要用户手动信任证书（普通用户可能不会安装）。
  无法 劫持 沙盒外的 App（如系统 App）。
  

方法四：私有 API + 运行时劫持（高风险）

• 方法：使用未公开的 iOS API
• 某些私有 API（如 dlopen + dlsym）可以动态加载库并 劫持 系统方法，但：
  App Store 审核会拒绝（使用私有 API 会被检测到）。
  iOS 15+ 的 PAC（指针验证） 使得这类攻击更难成功。
  

总结：

非越狱设备上 实现虚拟相机：如拍照替换，视频替换等，是有可能的，但仅限于修改后的 App 或特定调试场景。
全局 替换（如监控任意 App 的摄像头）在非越狱设备上几乎不可能，除非利用 0day 漏洞或企业证书滥用。
苹果的安全机制（沙盒、代码签名、PAC）使得这类操作越来越难。
还有一个，在非越狱设备搞劫持，具有较高的法律风险，建议在 越狱设备 或 调试模式 下进行，避免法律风险。