首页
社区
课程
招聘
[原创]Safengine Shielden 2.1.3.0 GetHWID全面分析
发表于: 2011-12-15 17:49 31681

[原创]Safengine Shielden 2.1.3.0 GetHWID全面分析

2011-12-15 17:49
31681

【文章标题】:Safengine Shielden 2.1.3.0 GetHWID全面分析
【文章作者】:yhswwr(SilenceN(R)et)
【作者QQ】:3412259
【保护方式】:shielden 2.1.3.0
【编写语言】:各自发挥
【使用工具】:口述
【本文链接】http://bbs.pediy.com/showthread.php?p=1029648
【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!(当前行剽窃自justhxy)

----------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------
这个号注册了好多年,首次发贴
-----------------------------------------------------------------------------------------------------
1,物理硬盘序列号:
CreateFileW("PhysicalDriveX")
DeviceIoControl(0x2D1400)
硬盘数据出来了...

-----------------------------------------------------------------------------------------------------
2,物理MAC地址:
先得到网卡的AdapterName(没细分析是怎么取得的,猜想应该是GetAdaptersInfo)
再CreateFileW(\\.\AdapterName)
DeviceIoControl(0x120003)
MAC出来了....

-----------------------------------------------------------------------------------------------------
3,BIOS信息:
从注册表中取得
HKEY_LOCAL_MACHINE
HARDWARE\\DESCRIPTION\\System
SystemBiosVersion
分析到这里都有些不好意思了

-----------------------------------------------------------------------------------------------------
4,CPUID:
直接搜索内存0x0F,0xA2
代码貌似没有压缩,载入就能够搜索得到
待代码自校验过后就能够修改了,时机就要自己把握好了

-----------------------------------------------------------------------------------------------------
5,机器码结构:
除最后两个=号外,一共是40位
分为5组,每8位一组
第1组:CPU型号,也就是mov eax,0->CPUID
第2组:CPUID值,也就是mov eax,1->CPUID
第3组:MAC地址
第4组:硬盘序列号
第5组:Bios信息

-----------------------------------------------------------------------------------------------------
6,API断不下来:
使用了TMD,ZP的一招,虚拟API,
自己ReadFile了系统的动态链接库(ntdll,kernel32,advapi,user32等等....),自己加载,自己重定位
试试断CreateFileW,
当CreateFileW(kernel32)断下来之后,就再也断不下来了...
怎么解决就各自发挥想像了.

-----------------------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------------------
版权声明:
本文始发(bbs.pediy.com)原创自yhswwr(QQ:3412259)之口;转载请注明作者并保持文章的完整,谢谢!
                                                                2011年12月15日 17:48


-----------------------------------------------------------------------------------------------------
小声的说一下,论坛的帖子预览有点小问题,点过帖子预览后,标题上的'选择话题'需要重新选择,预览多了后,那标题上面就自动加上了一溜的【原创】【原创】【原创】(Opera 11.60)


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 6
支持
分享
最新回复 (23)
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
学习。。。。
2011-12-15 17:50
0
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
为什么我HOOK DeviceIoControl找机器码会没效果呢???
难道这个函数他也重定向了???
2011-12-15 17:52
0
雪    币: 83
活跃值: (83)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
第6小段,API断不下来,是一个理,他后面没有调用系统加载的动态库了,而你HOOK的准是系统加载的.
2011-12-15 17:56
0
雪    币: 83
活跃值: (83)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
好像不应该说'难道这个函数',貌似是所有的函数都重定向了
2011-12-15 17:57
0
雪    币: 59
活跃值: (1481)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
楼主,求能正常运行Safengine Shielden 加壳程序的 OD啊~~
2011-12-15 18:33
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
7
版权信息那文字不错,膜拜下大牛!
2011-12-15 18:49
0
雪    币: 1731
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
用得着这么复杂么。呵呵。路过
2011-12-15 18:51
0
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
其实这些手法很常见地,,但在从一堆代码中找出这些就难了,,,强大的楼主V5
2011-12-15 19:02
0
雪    币: 1731
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
就几句代码就能PATCH了。

呵呵。又在吹嘘了。
2011-12-15 19:06
0
雪    币: 100
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
11
勇哥哥,你说的第六小段是shadow API吧
2011-12-24 20:18
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
有什么用啊  ?
2011-12-25 15:04
0
雪    币: 547
活跃值: (2185)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
13
硬盘ID直接硬改就方便了
2011-12-26 13:45
0
雪    币: 243
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
写个文章出来让大家拜读下,好东西让大家分享,推动大家进步啊
2012-2-6 19:48
0
雪    币: 1644
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
感谢分享,学习思路。
2012-2-8 10:50
0
雪    币: 8744
活跃值: (5210)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
16
谢谢了,学习了。
2012-2-13 15:39
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
说的也太简单了,很难实现!
2012-2-13 17:00
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
API是重点,很难攻克。
2012-2-13 17:01
0
雪    币: 238
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
学习一下。。
2012-5-13 15:32
0
雪    币: 282
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
好贴。。不过模拟了API,确实麻烦啊。。
2012-7-7 11:01
0
雪    币: 418
活跃值: (63)
能力值: ( LV12,RANK:260 )
在线值:
发帖
回帖
粉丝
21
其实这个很多人都知道PATCH的,一个很貌似万能的位置,
不过大家都笑而不语。。
2012-7-7 20:49
0
雪    币: 246
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
放屁,显示的是经过BASE64加密后的,其实只有1C个字节
2012-10-23 15:17
0
雪    币: 3253
活跃值: (3296)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
23
常用的 ntdll  kernel32  都是被拷贝到 temp 里重新加载,使用的函数 全部都是 这些 temp里的备份DLL 的函数,你说你下正常的系统Dll的函数, 能下到才有鬼
2012-10-23 15:38
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
24
研究烂了
2012-10-23 18:37
0
游客
登录 | 注册 方可回帖
返回
//