【文章标题】:Safengine Shielden 2.1.3.0 GetHWID全面分析
【文章作者】:yhswwr(SilenceN(R)et)
【作者QQ】:3412259
【保护方式】:shielden 2.1.3.0
【编写语言】:各自发挥
【使用工具】:口述
【本文链接】http://bbs.pediy.com/showthread.php?p=1029648
【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!(当前行剽窃自justhxy)

----------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------
这个号注册了好多年,首次发贴
-----------------------------------------------------------------------------------------------------
1,物理硬盘序列号:
CreateFileW("PhysicalDriveX")
DeviceIoControl(0x2D1400)
硬盘数据出来了...

-----------------------------------------------------------------------------------------------------
2,物理MAC地址:
先得到网卡的AdapterName(没细分析是怎么取得的,猜想应该是GetAdaptersInfo)
再CreateFileW(\\.\AdapterName)
DeviceIoControl(0x120003)
MAC出来了....

-----------------------------------------------------------------------------------------------------
3,BIOS信息:
从注册表中取得
HKEY_LOCAL_MACHINE
HARDWARE\\DESCRIPTION\\System
SystemBiosVersion
分析到这里都有些不好意思了

-----------------------------------------------------------------------------------------------------
4,CPUID:
直接搜索内存0x0F,0xA2
代码貌似没有压缩,载入就能够搜索得到
待代码自校验过后就能够修改了,时机就要自己把握好了

-----------------------------------------------------------------------------------------------------
5,机器码结构:
除最后两个=号外,一共是40位
分为5组,每8位一组
第1组:CPU型号,也就是mov eax,0->CPUID
第2组:CPUID值,也就是mov eax,1->CPUID
第3组:MAC地址
第4组:硬盘序列号
第5组:Bios信息

-----------------------------------------------------------------------------------------------------
6,API断不下来:
使用了TMD,ZP的一招,虚拟API,
自己ReadFile了系统的动态链接库(ntdll,kernel32,advapi,user32等等....),自己加载,自己重定位
试试断CreateFileW,
当CreateFileW(kernel32)断下来之后,就再也断不下来了...
怎么解决就各自发挥想像了.

-----------------------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------------------
版权声明:
本文始发(bbs.pediy.com)原创自yhswwr(QQ:3412259)之口;转载请注明作者并保持文章的完整,谢谢!
                                                                2011年12月15日 17:48


-----------------------------------------------------------------------------------------------------
小声的说一下,论坛的帖子预览有点小问题,点过帖子预览后,标题上的'选择话题'需要重新选择,预览多了后,那标题上面就自动加上了一溜的【原创】【原创】【原创】(Opera 11.60)