首页
论坛
课程
招聘
[原创]Safengine Shielden 2.1.3.0 GetHWID全面分析
2011-12-15 17:49 28183

[原创]Safengine Shielden 2.1.3.0 GetHWID全面分析

2011-12-15 17:49
28183
【文章标题】:Safengine Shielden 2.1.3.0 GetHWID全面分析
【文章作者】:yhswwr(SilenceN(R)et)
【作者QQ】:3412259
【保护方式】:shielden 2.1.3.0
【编写语言】:各自发挥
【使用工具】:口述
【本文链接】http://bbs.pediy.com/showthread.php?p=1029648
【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!(当前行剽窃自justhxy)

----------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------
这个号注册了好多年,首次发贴
-----------------------------------------------------------------------------------------------------
1,物理硬盘序列号:
CreateFileW("PhysicalDriveX")
DeviceIoControl(0x2D1400)
硬盘数据出来了...

-----------------------------------------------------------------------------------------------------
2,物理MAC地址:
先得到网卡的AdapterName(没细分析是怎么取得的,猜想应该是GetAdaptersInfo)
再CreateFileW(\\.\AdapterName)
DeviceIoControl(0x120003)
MAC出来了....

-----------------------------------------------------------------------------------------------------
3,BIOS信息:
从注册表中取得
HKEY_LOCAL_MACHINE
HARDWARE\\DESCRIPTION\\System
SystemBiosVersion
分析到这里都有些不好意思了

-----------------------------------------------------------------------------------------------------
4,CPUID:
直接搜索内存0x0F,0xA2
代码貌似没有压缩,载入就能够搜索得到
待代码自校验过后就能够修改了,时机就要自己把握好了

-----------------------------------------------------------------------------------------------------
5,机器码结构:
除最后两个=号外,一共是40位
分为5组,每8位一组
第1组:CPU型号,也就是mov eax,0->CPUID
第2组:CPUID值,也就是mov eax,1->CPUID
第3组:MAC地址
第4组:硬盘序列号
第5组:Bios信息

-----------------------------------------------------------------------------------------------------
6,API断不下来:
使用了TMD,ZP的一招,虚拟API,
自己ReadFile了系统的动态链接库(ntdll,kernel32,advapi,user32等等....),自己加载,自己重定位
试试断CreateFileW,
当CreateFileW(kernel32)断下来之后,就再也断不下来了...
怎么解决就各自发挥想像了.

-----------------------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------------------
版权声明:
本文始发(bbs.pediy.com)原创自yhswwr(QQ:3412259)之口;转载请注明作者并保持文章的完整,谢谢!
                                                                2011年12月15日 17:48


-----------------------------------------------------------------------------------------------------
小声的说一下,论坛的帖子预览有点小问题,点过帖子预览后,标题上的'选择话题'需要重新选择,预览多了后,那标题上面就自动加上了一溜的【原创】【原创】【原创】(Opera 11.60)

《0day安全 软件漏洞分析技术(第二版)》第三次再版印刷预售开始!

收藏
点赞0
打赏
分享
最新回复 (23)
雪    币: 129
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
雪yaojun 活跃值 2011-12-15 17:50
2
0
学习。。。。
雪    币: 129
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
雪yaojun 活跃值 2011-12-15 17:52
3
0
为什么我HOOK DeviceIoControl找机器码会没效果呢???
难道这个函数他也重定向了???
雪    币: 85
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
yhswwr 活跃值 2011-12-15 17:56
4
0
第6小段,API断不下来,是一个理,他后面没有调用系统加载的动态库了,而你HOOK的准是系统加载的.
雪    币: 85
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
yhswwr 活跃值 2011-12-15 17:57
5
0
好像不应该说'难道这个函数',貌似是所有的函数都重定向了
雪    币: 107
活跃值: 活跃值 (103)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zbzb 活跃值 2011-12-15 18:33
6
0
楼主,求能正常运行Safengine Shielden 加壳程序的 OD啊~~
雪    币: 49
活跃值: 活跃值 (14)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
邓韬 活跃值 9 2011-12-15 18:49
7
0
版权信息那文字不错,膜拜下大牛!
雪    币: 1729
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
komnb 活跃值 2011-12-15 18:51
8
0
用得着这么复杂么。呵呵。路过
雪    币: 129
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
雪yaojun 活跃值 2011-12-15 19:02
9
0
其实这些手法很常见地,,但在从一堆代码中找出这些就难了,,,强大的楼主V5
雪    币: 1729
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
komnb 活跃值 2011-12-15 19:06
10
0
就几句代码就能PATCH了。

呵呵。又在吹嘘了。
雪    币: 100
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
OxShun 活跃值 2011-12-24 20:18
11
0
勇哥哥,你说的第六小段是shadow API吧
雪    币: 40
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
winsee 活跃值 2011-12-25 15:04
12
0
有什么用啊  ?
雪    币: 29
活跃值: 活跃值 (14)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
sungy 活跃值 1 2011-12-26 13:45
13
0
硬盘ID直接硬改就方便了
雪    币: 243
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
boycott 活跃值 2012-2-6 19:48
14
0
写个文章出来让大家拜读下,好东西让大家分享,推动大家进步啊
雪    币: 1659
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yodamaster 活跃值 2012-2-8 10:50
15
0
感谢分享,学习思路。
雪    币: 2161
活跃值: 活跃值 (206)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
sunsjw 活跃值 1 2012-2-13 15:39
16
0
谢谢了,学习了。
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ww66 活跃值 2012-2-13 17:00
17
0
说的也太简单了,很难实现!
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ww66 活跃值 2012-2-13 17:01
18
0
API是重点,很难攻克。
雪    币: 229
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hymm2003 活跃值 2012-5-13 15:32
19
0
学习一下。。
雪    币: 282
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
streamload 活跃值 2012-7-7 11:01
20
0
好贴。。不过模拟了API,确实麻烦啊。。
雪    币: 352
活跃值: 活跃值 (10)
能力值: ( LV12,RANK:260 )
在线值:
发帖
回帖
粉丝
zenghw 活跃值 6 2012-7-7 20:49
21
0
其实这个很多人都知道PATCH的,一个很貌似万能的位置,
不过大家都笑而不语。。
雪    币: 237
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
TWOGUN 活跃值 2012-10-23 15:17
22
0
放屁,显示的是经过BASE64加密后的,其实只有1C个字节
雪    币: 657
活跃值: 活跃值 (131)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
小调调 活跃值 2012-10-23 15:38
23
0
常用的 ntdll  kernel32  都是被拷贝到 temp 里重新加载,使用的函数 全部都是 这些 temp里的备份DLL 的函数,你说你下正常的系统Dll的函数, 能下到才有鬼
雪    币: 197
活跃值: 活跃值 (55)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
KuNgBiM 活跃值 66 2012-10-23 18:37
24
0
研究烂了
游客
登录 | 注册 方可回帖
返回