[原创]Safengine Shielden 2.1.3.0 GetHWID全面分析-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]Safengine Shielden 2.1.3.0 GetHWID全面分析

发表于: 2011-12-15 17:49 31678

[原创]Safengine Shielden 2.1.3.0 GetHWID全面分析

yhswwr

2011-12-15 17:49

31678

【文章标题】:Safengine Shielden 2.1.3.0 GetHWID全面分析
【文章作者】:yhswwr(SilenceN(R)et)
【作者ＱＱ】:3412259
【保护方式】:shielden 2.1.3.0
【编写语言】:各自发挥
【使用工具】:口述
【本文链接】http://bbs.pediy.com/showthread.php?p=1029648
【作者声明】:只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!(当前行剽窃自justhxy)

----------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------
这个号注册了好多年，首次发贴
-----------------------------------------------------------------------------------------------------
1,物理硬盘序列号:
CreateFileW("PhysicalDriveX")
DeviceIoControl(0x2D1400)
硬盘数据出来了...

-----------------------------------------------------------------------------------------------------
2,物理MAC地址:
先得到网卡的AdapterName(没细分析是怎么取得的,猜想应该是GetAdaptersInfo)
再CreateFileW(\\.\AdapterName)
DeviceIoControl(0x120003)
MAC出来了....

-----------------------------------------------------------------------------------------------------
3,BIOS信息:
从注册表中取得
HKEY_LOCAL_MACHINE
HARDWARE\\DESCRIPTION\\System
SystemBiosVersion
分析到这里都有些不好意思了

-----------------------------------------------------------------------------------------------------
4,CPUID:
直接搜索内存0x0F,0xA2
代码貌似没有压缩，载入就能够搜索得到
待代码自校验过后就能够修改了,时机就要自己把握好了

-----------------------------------------------------------------------------------------------------
5,机器码结构:
除最后两个=号外，一共是40位
分为5组，每8位一组
第1组:CPU型号,也就是mov eax,0->CPUID
第2组:CPUID值,也就是mov eax,1->CPUID
第3组:MAC地址
第4组:硬盘序列号
第5组:Bios信息

-----------------------------------------------------------------------------------------------------
6,API断不下来:
使用了TMD,ZP的一招,虚拟API,
自己ReadFile了系统的动态链接库(ntdll,kernel32,advapi,user32等等....),自己加载,自己重定位
试试断CreateFileW,
当CreateFileW(kernel32)断下来之后，就再也断不下来了...
怎么解决就各自发挥想像了．

-----------------------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------------------
版权声明:
本文始发(bbs.pediy.com)原创自yhswwr(QQ:3412259)之口;转载请注明作者并保持文章的完整,谢谢!
2011年12月15日 17:48

-----------------------------------------------------------------------------------------------------
小声的说一下,论坛的帖子预览有点小问题,点过帖子预览后,标题上的'选择话题'需要重新选择,预览多了后，那标题上面就自动加上了一溜的【原创】【原创】【原创】(Opera 11.60)

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・25

免费・6

支持

最新回复 (23)
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 2 楼学习。。。。 2011-12-15 17:50 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 3 楼为什么我HOOK DeviceIoControl找机器码会没效果呢？？？难道这个函数他也重定向了？？？ 2011-12-15 17:52 0
yhswwr 雪币： 83 活跃值： (83) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	yhswwr 4 楼第6小段，API断不下来,是一个理,他后面没有调用系统加载的动态库了,而你HOOK的准是系统加载的. 2011-12-15 17:56 0
yhswwr 雪币： 83 活跃值： (83) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	yhswwr 5 楼好像不应该说'难道这个函数',貌似是所有的函数都重定向了 2011-12-15 17:57 0
zbzb 雪币： 59 活跃值： (1481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 6 楼楼主，求能正常运行Safengine Shielden 加壳程序的 OD啊~~ 2011-12-15 18:33 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼版权信息那文字不错，膜拜下大牛！ 2011-12-15 18:49 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 8 楼用得着这么复杂么。呵呵。路过 2011-12-15 18:51 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 9 楼其实这些手法很常见地，，但在从一堆代码中找出这些就难了，，，强大的楼主V5 2011-12-15 19:02 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 10 楼就几句代码就能PATCH了。呵呵。又在吹嘘了。 2011-12-15 19:06 0
OxShun 雪币： 100 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	OxShun 11 楼勇哥哥,你说的第六小段是shadow API吧 2011-12-24 20:18 0
winsee 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	winsee 12 楼有什么用啊？ 2011-12-25 15:04 0
sungy 雪币： 547 活跃值： (2185) 能力值： ( LV7，RANK：100 ) 在线值：发帖 146 回帖 665 粉丝 31 关注私信	sungy 1 13 楼硬盘ID直接硬改就方便了 2011-12-26 13:45 0
boycott 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	boycott 14 楼写个文章出来让大家拜读下，好东西让大家分享，推动大家进步啊 2012-2-6 19:48 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 15 楼感谢分享，学习思路。 2012-2-8 10:50 0
sunsjw 雪币： 8739 活跃值： (5205) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 16 楼谢谢了，学习了。 2012-2-13 15:39 0
ww66 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 143 粉丝 0 关注私信	ww66 17 楼说的也太简单了，很难实现！ 2012-2-13 17:00 0
ww66 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 143 粉丝 0 关注私信	ww66 18 楼 API是重点，很难攻克。 2012-2-13 17:01 0
hymm2003 雪币： 238 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	hymm2003 19 楼学习一下。。 2012-5-13 15:32 0
streamload 雪币： 282 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 113 粉丝 0 关注私信	streamload 20 楼好贴。。不过模拟了API，确实麻烦啊。。 2012-7-7 11:01 0
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 21 楼其实这个很多人都知道PATCH的，一个很貌似万能的位置，不过大家都笑而不语。。 2012-7-7 20:49 0
TWOGUN 雪币： 246 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	TWOGUN 22 楼放屁，显示的是经过BASE64加密后的，其实只有1C个字节 2012-10-23 15:17 0
小调调雪币： 3253 活跃值： (3296) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 23 楼常用的 ntdll kernel32 都是被拷贝到 temp 里重新加载,使用的函数全部都是这些 temp里的备份DLL 的函数,你说你下正常的系统Dll的函数, 能下到才有鬼 2012-10-23 15:38 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 24 楼研究烂了 2012-10-23 18:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yhswwr

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 2 楼学习。。。。 2011-12-15 17:50 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 3 楼为什么我HOOK DeviceIoControl找机器码会没效果呢？？？难道这个函数他也重定向了？？？ 2011-12-15 17:52 0
yhswwr 雪币： 83 活跃值： (83) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	yhswwr 4 楼第6小段，API断不下来,是一个理,他后面没有调用系统加载的动态库了,而你HOOK的准是系统加载的. 2011-12-15 17:56 0
yhswwr 雪币： 83 活跃值： (83) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	yhswwr 5 楼好像不应该说'难道这个函数',貌似是所有的函数都重定向了 2011-12-15 17:57 0
zbzb 雪币： 59 活跃值： (1481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 6 楼楼主，求能正常运行Safengine Shielden 加壳程序的 OD啊~~ 2011-12-15 18:33 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼版权信息那文字不错，膜拜下大牛！ 2011-12-15 18:49 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 8 楼用得着这么复杂么。呵呵。路过 2011-12-15 18:51 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 9 楼其实这些手法很常见地，，但在从一堆代码中找出这些就难了，，，强大的楼主V5 2011-12-15 19:02 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 10 楼就几句代码就能PATCH了。呵呵。又在吹嘘了。 2011-12-15 19:06 0
OxShun 雪币： 100 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	OxShun 11 楼勇哥哥,你说的第六小段是shadow API吧 2011-12-24 20:18 0
winsee 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	winsee 12 楼有什么用啊？ 2011-12-25 15:04 0
sungy 雪币： 547 活跃值： (2185) 能力值： ( LV7，RANK：100 ) 在线值：发帖 146 回帖 665 粉丝 31 关注私信	sungy 1 13 楼硬盘ID直接硬改就方便了 2011-12-26 13:45 0
boycott 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	boycott 14 楼写个文章出来让大家拜读下，好东西让大家分享，推动大家进步啊 2012-2-6 19:48 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 15 楼感谢分享，学习思路。 2012-2-8 10:50 0
sunsjw 雪币： 8739 活跃值： (5205) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 16 楼谢谢了，学习了。 2012-2-13 15:39 0
ww66 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 143 粉丝 0 关注私信	ww66 17 楼说的也太简单了，很难实现！ 2012-2-13 17:00 0
ww66 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 143 粉丝 0 关注私信	ww66 18 楼 API是重点，很难攻克。 2012-2-13 17:01 0
hymm2003 雪币： 238 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	hymm2003 19 楼学习一下。。 2012-5-13 15:32 0
streamload 雪币： 282 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 113 粉丝 0 关注私信	streamload 20 楼好贴。。不过模拟了API，确实麻烦啊。。 2012-7-7 11:01 0
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 21 楼其实这个很多人都知道PATCH的，一个很貌似万能的位置，不过大家都笑而不语。。 2012-7-7 20:49 0
TWOGUN 雪币： 246 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	TWOGUN 22 楼放屁，显示的是经过BASE64加密后的，其实只有1C个字节 2012-10-23 15:17 0
小调调雪币： 3253 活跃值： (3296) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 23 楼常用的 ntdll kernel32 都是被拷贝到 temp 里重新加载,使用的函数全部都是这些 temp里的备份DLL 的函数,你说你下正常的系统Dll的函数, 能下到才有鬼 2012-10-23 15:38 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 24 楼研究烂了 2012-10-23 18:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复