-
-
[原创]Safengine Shielden 2.1.3.0 GetHWID全面分析
-
发表于: 2011-12-15 17:49
-
【文章标题】:Safengine Shielden 2.1.3.0 GetHWID全面分析
【文章作者】:yhswwr(SilenceN(R)et)
【作者QQ】:3412259
【保护方式】:shielden 2.1.3.0
【编写语言】:各自发挥
【使用工具】:口述
【本文链接】http://bbs.pediy.com/showthread.php?p=1029648
【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!(当前行剽窃自justhxy
)
----------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------
这个号注册了好多年,首次发贴
-----------------------------------------------------------------------------------------------------
1,物理硬盘序列号:
CreateFileW("PhysicalDriveX")
DeviceIoControl(0x2D1400)
硬盘数据出来了...
-----------------------------------------------------------------------------------------------------
2,物理MAC地址:
先得到网卡的AdapterName(没细分析是怎么取得的,猜想应该是GetAdaptersInfo)
再CreateFileW(\\.\AdapterName)
DeviceIoControl(0x120003)
MAC出来了....
-----------------------------------------------------------------------------------------------------
3,BIOS信息:
从注册表中取得
HKEY_LOCAL_MACHINE
HARDWARE\\DESCRIPTION\\System
SystemBiosVersion
分析到这里都有些不好意思了
-----------------------------------------------------------------------------------------------------
4,CPUID:
直接搜索内存0x0F,0xA2
代码貌似没有压缩,载入就能够搜索得到
待代码自校验过后就能够修改了,时机就要自己把握好了
-----------------------------------------------------------------------------------------------------
5,机器码结构:
除最后两个=号外,一共是40位
分为5组,每8位一组
第1组:CPU型号,也就是mov eax,0->CPUID
第2组:CPUID值,也就是mov eax,1->CPUID
第3组:MAC地址
第4组:硬盘序列号
第5组:Bios信息
-----------------------------------------------------------------------------------------------------
6,API断不下来:
使用了TMD,ZP的一招,虚拟API,
自己ReadFile了系统的动态链接库(ntdll,kernel32,advapi,user32等等....),自己加载,自己重定位
试试断CreateFileW,
当CreateFileW(kernel32)断下来之后,就再也断不下来了...
怎么解决就各自发挥想像了.
-----------------------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------------------
版权声明:
本文始发(bbs.pediy.com)原创自yhswwr(QQ:3412259)之口;转载请注明作者并保持文章的完整,谢谢!
2011年12月15日 17:48
-----------------------------------------------------------------------------------------------------
小声的说一下,论坛的帖子预览有点小问题,点过帖子预览后,标题上的'选择话题'需要重新选择,预览多了后,那标题上面就自动加上了一溜的【原创】【原创】【原创】(Opera 11.60)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
好像不应该说'难道这个函数',貌似是所有的函数都重定向了
|
|
|
|
|
|
|
|
|
|
|
|
其实这些手法很常见地,,但在从一堆代码中找出这些就难了,,,强大的楼主V5
|
|
|
就几句代码就能PATCH了。
 呵呵。又在吹嘘了。 |
|
|
勇哥哥,你说的第六小段是shadow API吧
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
研究烂了
|
