Я долго думал что CPUID это уникальный идентификатор процессора
но потом оказалось что это всего лишь набор фич проца и у одинаковых моделей процессора с одним степпингом он будет повторятся. И действительно уникален он лишь у третих Пентиумов.

Далее идет мак адрес сетевухи. Действительно если не считать китайских сетевух вшитый MAC адрес сетевухи уникален. Однако его можно сменить средствами операционной системы. А как считать мак напрямую с сетевухи минуя OS?

Далее идут HDD, БИОС и Видеокарта - у одинаковых моделей будут разные серийники? Как их обычно считывают?

HDDспрашивают у драйвера
БИОС и Видеокартавроде лежат в оперативке по фиксированным адресам
А как считать мак напрямую с сетевухи минуя OSчерез I\O порты :D

Добавлено через 1 минуту
mikser, еще погули WMI

вроде лежат в оперативке по фиксированным адресам А как они выглядят вообще? :) Там строка - уникальная последовательность байтов которая нигде больше не встречается или что?

через I\O порты
А есть проги в которых реализовано считывание HardWar'ного МАКа? :) Темида такое может?

вроде лежат в оперативке по фиксированным адресам
через I\O порты ток винда к ним юзерский софт не пускает, тока драйвера...
Я долго думал что CPUID это уникальный идентификатор процессора
но потом оказалось что это всего лишь набор фич проца и у одинаковых моделей процессора с одним степпингом он будет повторятся. И действительно уникален он лишь у третих Пентиумов. инструция cpuid умеет возвращать много чего, и уникальный серийник проца в том числе, но как правило (по умолчанию на большинстве материнок) эта операция заблокирована настройками биоса и получить можно только характеристики.

Винлиценза (фима) умеет хвид генерить,видимо драйвером читает. Лейм вроде не юзает драйвер режима ядра значит либо юзает хвид фимиды либо реестр читает (что глупо)

Я бы брал hwid процессора, биоса и видео карты. Объединял в 1 строку и отправлял на сервер MD-5 хеш)
Это 100% будет уникально)

Я бы брал hwid процессора, биоса и видео карты. Объединял в 1 строку и отправлял на сервер MD-5 хеш)
Это 100% будет уникально)

тут скорее вопрос идет не о том, как кто-то использовал бы, а о том как это на серваках реализуется))))

Ну у меня на сервер отправляется хеш хардваров =)
А отправляется по модифицированному GameGuardReplay (стандарт cdddd, у меня cSSSd)
А на сервере на каждый акк идет привязка + отдельная таблица с забанеными.
При входе в игру сервер анализирует ГГреплей. Проверяет нету ли этого хвайди в бане. Если нету - пускаем в игру, запускаем таймер на следующую проверку (минут через 20 )

Ну у меня на сервер отправляется хеш хардваров =)
А отправляется по модифицированному GameGuardReplay (стандарт cdddd, у меня cSSSd)
А на сервере на каждый акк идет привязка + отдельная таблица с забанеными.
При входе в игру сервер анализирует ГГреплей. Проверяет нету ли этого хвайди в бане. Если нету - пускаем в игру, запускаем таймер на следующую проверку (минут через 20 )

помоему это дырка. а если в твоем мд5 заменить
скажем AD67FFE770 на AD67FFE776 то все? я уже не в бане?)

Нууу так его не так то сложно изменить (в пакетах) :)
(ну для тебя то не проблема ))) )
Сейчас стоит отслеживание W2_32.Connect =)
+ имена приложений и т д)))
+ еще шифровку трафика делаю)

90% не обойдут)
НУ а для некоторых это раз плюнуть)

имена приложений и т д)))
Х_х

Вощем тут возникла задачка заменить хвид. Промониторил клиент - читаютса хвиды ряда железок и имя машины из реестра. Перехватил RegQueryValueEx и о горе, в перехваченых вызовах нет этих запросов RegQueryValue в итоге всеравно вызывает RegQueryValueEx

Добавлено через 7 минут
Драйвера там нет. Какже они читают в обход этой апи? Юзать какоенить zwQueryKey с их стороны было бы глупо не говоря про int 2e - риск несовместимости с сервиспаками и осями слишком велик.
Читал про темиду что важные рутины она както защищает от враппинга и перехвата. Нет ли у каво инфы насчет этого?
хотя сомневаюсь что мне чето подскажут посуществу =/

перепрыгивают твой хук? не?

Добавлено через 4 минуты
зать какоенить zwQueryKey с их стороны было бы данунах.

Добавлено через 17 минут
Читал про темиду что важные рутины она както защищает от враппинга и перехвата.тоже "перепрыгивает".
но тут, если ты ставишь хуки до загрузки запакованного модуля , все будет нормально.

Думаеш они вызывают функцию не с начала предполагая что там может стоять заплатка? Я просто не перехватывал неразу реестр и хз где захучить. Как я понимаю все чтения даных ключей сводятса к zwquery, та ваще нече не делает. Тупо ложит в еах номер системного шлюза и вызывает инт2е и востанавливает стек =/
хукнул ее сплайсом но увы вызовов оказалось значительно менше чем то что увидел монитор реестра со стороны клиента

Как я понимаю все чтения даных ключей сводятса к zwqueryточно хз, но помоему там чтото еще

Блин инфы мало по тому как достать входные параметры zw..
Сделал джам к себе, там
mov eax, esp
syscall=stdcall
значит в [eax+0] по [eax+5] должны быть входные параметры или мб с [eax+1] если учесть еще адрес возврата. Одним из параметров являетса valuename : pwidechar но вот в стеке ниче похожего на юникод-строку не оказалось. Параметры вроде похожи на ожидаемые, но что мля со строкой там какоет гавно а не чары по адресу

Блин инфы мало по тому как достать входные параметры zw..:D
это обычные __stdcall функции.

http://msdn.microsoft.com/en-us/library/ff567014(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/ff566425(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/ff566437(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/ff566447(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/ff566457(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/ff567060(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/ff567069(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/ff567109(v=vs.85).aspx

Добавлено через 4 минуты
только винда юзает Nt.... надо их и ловить.
защита может заюзать Zw... и возможно их тоже придется ловить

+не забывай на случай протектора:
если ты ставишь хуки до загрузки запакованного модуля, все будет нормально.

Nt и zw разные экспорты но точка входа в ntdll одна ;)
понял, там нифига не pwidechar а е*учая PUNICODE_STRING структура, чемто похожая на рантаймовский sting делфи.

Добавлено через 5 минут
Про сискалл я и написал что это тотже стдкалл :)
кстате на этой версии защиты палитса та фишка уже с вмт уже, пришлось отступать на шаг глубже.

Nt и zw разные экспорты но точка входа в ntdll однаа если на вин7 x64 посмотреть?)

Добавлено через 4 минуты
а если на вин7 x64 посмотреть?)сори, туплю, ты прав.

Да действительно есть еще и рутина zwEnumerateValueKey читающая по индексу значения суб-ключей. Воевать так воевать

Добавлено через 2 часа 50 минут
подменил пока в zwQueryValueKey тока все запросы DeviceInstance

Добавлено через 1 минуту
о чудо первые успехи в клиенте пропал звук )))))))))))))

char * GetHWID (void)
{
HW_PROFILE_INFO hwProfileInfo;

if(GetCurrentHwProfile(&hwProfileInfo) != NULL)
{
char * string = wtoc(hwProfileInfo.szHwProfileGuid, sizeof(hwProfileInfo.szHwProfileGuid));
int k = strlen(string);
if((k > 0) && (string[k-1] == 10))
{
k--;
string[k] = '\0';
}

return string;
}
else
printf("Warning ! GetHWID() client trouble ?");
}

char * wtoc(wchar_t* w, size_t max)
{
char* c = new char[max];
wcstombs(c,w,max);
return c;
}

Как-бы можно, скажем, так запилить.

Никакой информативности :)

подменил в чтении реестра имя машины, ее гуид. Все также =/
осталось подменить параметры НаrdwareID в второй функции но в результате уже не уверен.
Походу в хвид отсылают не один хеш а несколько и если хоть 1 совпал то считаетса что машина одна и таже.

44 лишних байта отправляют они, так что всё может быть

осталось подменить параметры НаrdwareID ну тут deviceiocontrol и логируем вызовы + параметры.
потом в гугл узнавать что у какого драйвера спрашивают.
скорее всего будет запрос на серийник винта.

+на всяких руофах нужно захучить Wmi

еще бывает хрень типа:
http://msdn.microsoft.com/en-us/library/aa365917(v=vs.85).aspx

ну и остается cpuid, тут ваще все просто, гуглиться по словам "Red Pill" или "Blue Pill" :D

Ну я енумерейт еще не хукнул, часть реестра читают там. Про цпуид и девайсиоконтрол уже держал в уме с начала, начал с реестра пока. Из реестра защищеный клиент читает слишком много лишнего про комп и железки :) вми не уверен что юзают на разных осях он не полноценен, про адаптеринфо чтото новое - можно проверить.

про адаптеринфо чтото новое - можно проверить.это баян стопицотлетний(вроде устаревший).
но есть свой плюс, можно получить мас сетевухи когда перехуканы реестры и драйвера.

наверное в винде еще можно нарыть аналогичных функций (через директХ можно получить инфу о твоей видеокарте?)


Про цпуидэто был сарказм, лучше забей:D

Добавлено через 1 минуту
наверное самый труЪ метод, это тренероватся на чемто типа everest

начинаю с очевидного.
Вендор-ид проца клиент тоже с реестра читает, Вот тока защита или отладочный рантайм непанятно.

Добавлено через 3 минуты
44 лишних байта отправляют они, так что всё может быть

там шифрование динамическое или этот пакет (или его часть) постоянна? Это ты про кейпакет надеюсь

это AuthLogin, от клиента, 44 байта это добавляенная часть, или вообще другой пакет с другим идом, незашифрованным его ещё никто не видел
изменяют пакет\добавлюят 44 байта в процедуре шифра, которая зашифрованная каким-то злом

Содержимое пакета в каждой сессии разное?

он зашифрован

это баян стопицотлетний(вроде устаревший).
но есть свой плюс, можно получить мас сетевухи когда перехуканы реестры и драйвера.

наверное в винде еще можно нарыть аналогичных функций (через директХ можно получить инфу о твоей видеокарте?)


это был сарказм, лучше забей:D

Добавлено через 1 минуту
наверное самый труЪ метод, это тренероватся на чемто типа everest

а можно и посто имя видюшки дернуть
var
lpDisplayDevice: TDisplayDevice;
dwFlags: DWORD;
cc: DWORD;
begin
form1.memo1.Clear;

lpDisplayDevice.cb := sizeof(lpDisplayDevice);

dwFlags := 0;

cc:= 0;

while EnumDisplayDevices(nil, cc, lpDisplayDevice , dwFlags) do

begin

Inc(cc);

form1.memo1.lines.add(lpDisplayDevice.DeviceString );
end;


end;
в итоге пока имеем
EnumDisplayDevices
DeviceIoControl
GetAdaptersInfo

зы а еще для хеша можно дернуть общее кол-во озу GlobalMemoryStatus

он зашифрован

дак ЯСЕНЬ ПЕНЬ ЗАШИФРОВАН! я спрашиваю он каждую сессию зашифрован поразному или нет???

вощем zwEnumerateValueKey не юзаетсаю в перехваченом zwQueryValueKey есть практически все кроме вчастности этово. (это смониторено ring0-монитором реестра)

<logentry function="QueryValue" result="&Error0;" processID="3120">
<parameter type="process">L2.exe</parameter>
<parameter type="key">HKLM\SYSTEM\ControlSet025\Enum\PCI\VEN_1002&amp;DEV_5B 63&amp;SUBSYS_1490174B&amp;REV_00\4&amp;1f7cc614&amp;0&amp;0008</parameter>
<parameter type="value">HardwareID</parameter>
</logentry>
<logentry function="QueryValue" result="&Error0;" processID="3120">
<parameter type="process">L2.exe</parameter>
<parameter type="key">HKLM\SYSTEM\ControlSet025\Enum\PCI\VEN_1002&amp;DEV_5B 63&amp;SUBSYS_1490174B&amp;REV_00\4&amp;1f7cc614&amp;0&amp;0008</parameter>
<parameter type="value">HardwareID</parameter>
</logentry>


а нет еще как юзает, причем именно при логине читает какието хардверные ветки)

дак ЯСЕНЬ ПЕНЬ ЗАШИФРОВАН! я спрашиваю он каждую сессию зашифрован поразному или нет???

естесна, у них же ключи все время разные

естесна, у них же ключи все время разные

значит нет смысла еголовить

Добавлено через 15 часов 3 минуты
Загадка, зачем при логине на сервер читаетса DeviceInstance проца, и еще ряда железяк :)
читалось бы сетевое оборудование я бы еще понял.
Вечером затестю.

думаю что там все банально. Разрабы таких поп-защит в 1ю очередь расчитывают на коварные алгоритмы нежели на всякие недокументированые фишки. Важна совместимость.

Добавлено через 3 часа 49 минут
Нид хелп!
Как узнать имя ключа и желательно путь имея только его открытый хендл

Добавлено через 5 часов 59 минут
нашол. это zwQueryKey
посмарел что читает клиент в момент логина:

HKCU\Volatile Environment\LOGONSERVER "\\MYUBERCOMPUTER01"
HKCU\Volatile Environment\HOMESHARE "\\de.xxxx.com\users"
HKCU\Volatile Environment\HOMEPATH "\uwe123.DE"
HKCU\Volatile Environment\USERDNSDOMAIN "DE.XXXX.COM"
HKCU\Volatile Environment\CLIENTNAME "WORKSTATION01"
HKCU\Volatile Environment\SESSIONNAME SUCCESS "RDP-Tcp#16"



переменные окружения :) они думаю в идентификации никак не замешаны)

Добавлено через 16 часов 14 минут
Хм. Тепер я имею уеву тучу чтений рееста и кучу всяких чтений девайсов.
Теперь надо както отсеять то что вызвано клиентом а что защитой.
Вероятно нужно проверять адрес возврата call-ера и сравнивать с адресным пространсвом всех загруженых модулей. Начальный адрес пространства это понятно getmodulehandle. А верхний getmodulehandle+imagesize?

Добавлено через 3 минуты
Защищеный код лежит в пространстве не принадлежащем не 1у модулю. Это проверено, поэтому можно выкупить что вызвано защитой с 90% вероятностью)

так.. реестр отпадает
девайсиоконтроль вызываетса только из системных библиотек
директХ или из библиотек нетворка типа iphelpapi. из клиента больше ниче конкретно эту функцию не вызывает.

Добавлено через 8 часов 42 минуты
GetAdaptersInfo - подмена назавния карты и ее гуида ничего не дало.
всеписдец я теперь властелин колец %)

хм... кароче я идийот! :) сразу надо было эксперементировать с железом. отрубил второй жесткий диск - и пустило!!!!!!

надо будет подцепить назад иии мудрить с количеством жестких дисков, или их названиями :) конечно не совсем то, что мне нужно, поскольку нужна будет перезагрузка... мне бы с горячей заменой HWID надо :) нооооооо уже продвижения, и я очень по этому поводу рад :) ураааааааааааааа!
***
ну все :) оба жестких диска на место подключил, иии процес замены HWID теперь занимает 3 клика :) ай ла ла ла ла ла

дуня - скажи какой у меня был скайп акаунт. я блин восстановить не могу... приходит на почту не мой аккаунт, а шефа старого... я ему сто лет назад регистрировал.

seregaz_kz

трындец. он пишет что мы не можем чото вас там бла бла бла, я и не знаю на какую почту я его регистрировал то блин...

Добавлено через 1 час 8 минут
как скайп забрутить? :)))) кароче скайп здох я так понимаю... на какой емейл я его регил это загадка за семью печатями...

попробуй в тех поддержку какую нибудь писать)

Ребят ктонеть функции шифрации разбирал в сендпакете. Ниже ф-ии компилящей пакет 2 вызова. Первый принимает 1 параметр (вызыватеса редко исходя из каковато условия) вторая вызываетса всегда и имеет вид
function hzche(pnetworkobject:pointer; ppacketbuffer:pointer):dword;cdecl; както так.

Добавлено через 2 минуты
Пыталса брейкойнт олькой поставить но при останове на бряке клиент сразу самоуничтожаетса несмаря на плагин хайддебаггер.

Добавлено через 6 минут
Я просто невтыкаю, функция вызывает еще одну та еще пару и уходит на полиморфа. Но при попытке хукнуть те функции ведущие в темиду они вообще не вызываютса, полиморф вызываетса до логина и потом изредка (походу вызывает ggreply)

ниасилил вопроса.
можно "понятнее" ?

Да разобралса уже. В тех функциях и не вызываетса ничего левого.

осталось проверить еще 2 функции на предмет шифровалки serialize и serverpacketcountstart. Больше из сендпакета ниче не вызываетса. Wsa сенд после них - он чистый (агрот не такой наивный чтоб хукать его)

плохо что трасировать отладчиком нельзя. Почитал про антиотладку и понял что ее фиг наепеш.

Добавлено через 7 минут
Какаято из них должна шифровать клиент стандартно, какая хз) из названия непохоже

Добавлено через 1 минуту
И что вообще такое "сериализация" ))?

http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%80%D0%B8%D0%B0%D0%BB%D0%B8%D0%B7%D 0%B0%D1%86%D0%B8%D1%8F

помоему вполне ясное определение)

ну по крайней мере это 2 оставшиеся функции куда могли впихнуть шифрацию.

а вот этот кусок кода из Sendpacket вообще можно выкинуть =)

203D8C05: 0F849D000000jz 203D8CA8h // нескомпилилса? выходим

203D8C0B: 807C240ED0cmp byte ptr [esp+0Eh], FFFFFFD0h
203D8C10: 750F jnz 203D8C21h
203D8C12: 8B4C240F mov ecx, [esp+0Fh]
203D8C16: 56 push esi //объект
203D8C17: E824C5FFFFcall 203D5140h // 2 IDs packet?
call 20094FA0
-call 2017660B -call 201765E7 (0,0,0,0,0)
203D8C1C: 668944240Fmov [esp+0Fh], ax

203D8C21: 8B54240E mov edx, [esp+0Eh]
203D8C25: 52 push edx // low byte = packet ID
203D8C26: 56 push esi //объект
//ESI NetworkHandler
//EAX размер данных скомпиленого пакета
//EBX размер данных скомпиленого пакета ???
//ECX = 0
//Dl = packet ID
203D8C27: E8E4C5FFFFcall 203D5210h chaeck(pNetworkObject:pointer; pCompiledBuffer):POpcode; stdcall;
call 20094E30
-call 2017660B -call 201765E7 (0,0,0,0,0)

там тупо какието проверки на валидность опкода пакета

Добавлено через 2 минуты
по крайней мере я смеха ради для этого куска сделал стаб и все работает без этих функций =)

Добавлено через 4 часа 1 минуту
шифрует UNetworkHandler::ServerExPacketCountStart(void)

Добавлено через 5 часов 21 минуту
ошибочка. это не этот метод и не этого объекта, но уже неважно эта функция и перенаправлена в обработчик сср-эксперта. большая часть кода необфусцирована правдо замаскированы вызовы внешних апи зашифрованы ресурсы бла бла бла

очень интересно, но нихрена не понятно. но мы за тебя болеем :)

Какитето странные вызовы повсеместно встречаютса в формате:

push xxxxxxxx
jmp fx

где xxxxxxxx число в диапазоне 00670000 по 00690000 а fx какаято замусореная функция, причем фима в самом клиенте мутирует код куда страшнее.

угу, тож ахренел, оказалось это пуш адреса кода для фимы и прыжок в вирт машину

Хм. Так и думал,
это ваще плохо. code-virtualizer engine требует ппц каких навыков борьбы с фимой.
И умеют это единицы людей)

мб) че-нить с винтами поделать, мб поможет?)

code-virtualizer engine требует ппц каких навыков борьбы с фимой.там все проще чем кажется, инфа 100%)

там все проще чем кажется, инфа 100%)
всеравно все самое вкусное похоже виртуализировано =(

Добавлено через 4 минуты
мб) че-нить с винтами поделать, мб поможет?)
возможно

Добавлено через 44 минуты
мудно пакет ggReply сначало както обрабатываетса потом идет на шифрацию, остальные сразу идут на шифровку.

authLogin тожа туды идёт

authLogin тожа туды идёт

меняютса пакеты в шифровалке. я про то что перед тем как вызывать шифровалку только пакет CB (ggReply) вызывает некую рутину сначала.
пакет шлетса клиентом раз примерно в 30 сек.

и если у тебя в клиенте стоят перехваты ВМТ, или запущен какойнеть
l2radar после пакета гг-репли тебя разорвет) кароче пакет несет еще и смысловую нагрузку)

меняютса пакеты в шифровалке. я про то что перед тем как вызывать шифровалку только пакет CB (ggReply) вызывает некую рутину сначала.
пакет шлетса клиентом раз примерно в 30 сек.

и если у тебя в клиенте стоят перехваты ВМТ, или запущен какойнеть
l2radar после пакета гг-репли тебя разорвет) кароче пакет несет еще и смысловую нагрузку)
самый смак во всем этом это то, что можно хукнукть функцию отправки ggReply и не вызывать сенд пакет %)

самый смак во всем этом это то, что можно хукнукть функцию отправки ggReply и не вызывать сенд пакет %)

эммм, клиент его шлет раз в 30 сек примерно (толи сам толи на ggQuery). если его не слать мне кажетса серв заподозрит неладное ;)

да не, ему пох, но лучше конечно не рисковать
эт как вариант обхода, если они там нафигачат че-нибудь серьезное

Мне щас интересно 2 момента:
1)фиг с ней виртуальной машиной, она должна вызывать внешние апи стандартно (их она уж всяко незавиртуалит. Как узнать какие.
2)при создании процесса suspended до resume успивает ли выполнитса dllmain защиты?
Мне сдаетса что да

их она уж всяко незавиртуалит.грубо говоря "копирует код функции себе" и уже его выполняет.
поэтому надо ставить хуки до выполнения dllmain

2)при создании процесса suspended до resume успивает ли выполнитса dllmain защиты?
тут защита непричем. поведение будет одинакого для любой длл.
пиши тестовый helloworld и будет тебе инфа 100%

Я просто акцентировал то что мне важно выполнила ли защита инициализицию при создании суспендед процесса.
Инициализация там ясень пень в дллмайн.

Добавлено через 6 минут
Неужели фима настока крута чтоб импортировать из длл не точку входа а всю функцию с подфункциями) просто из протектора все что удалось выловить перехватом их хук frenderplayernode и пару рисовалок чтоб рисовать букавки. А должмы как минимум хукнуть еще какойнеть init

Дестр таки был прав. Защита отрабатывает до инжекта, фима сжигает мосты и ей уже просто пох на всякие там хуки)

Защита отрабатывает до инжектаничего страшного, кто первый встал того и тапки

придетса выходить на уровень руткитов :(

Добавлено через 37 минут
ухахаха немогу такой фейл в защите нашол =))))))))))))))

че че че там?)

тут ненапишу)
вощем до загрузки делаю хук, ей пох всеравно =/ либо это вообще не она читает

слушайте, на моем сервере блин, бан связан с винчестером, я перекачал всяких хардварченжерид и волумид оно что-то не помогает, есть еще что посоветовать?)
пробывал шаманить с пакетами на логин-сервере, там блин они шифрованные и ид динамическое :(
с реестром там что нибудь баловаться, научите)

Печаль. Хук до исполнения защиты не дал ниче нового. Впрочем и врятли бы дал, фима мапит в память с диска приватные копии адвапи32 кернел32 юзер и еще чето, я перехвачивал не в них)

интересно девки пляшут) если я перед исполнением защиты на какуюто апи вешаю хук темида эту апи не "обворачивает" и оставляет вызов в распакованой секции как есть. если на функции небыло предварительного хука то темида генерит call в адский полиморф.

нехукнута

03182B7D: 8D4DFC lea ecx, [ebp-04h]
03182B80: 51 push ecx
03182B81: 50 push eax
03182B82: 56 push esi
03182B83: 57 push edi
03182B84: 90 nop
03182B85: E80DD62A00 call 03430197h // полиморф


предварительно хукнута

03172B7D: 8D4DFC lea ecx, [ebp-04h]
03172B80: 51 push ecx
03172B81: 50 push eax
03172B82: 56 push esi
03172B83: 57 push edi
03172B84: 90 nop
03172B85: E888EC6879 call 7C801812h //readfile

mira, ты вот чо скажи - в мейл агенте есть функция проверки файла hosts - на предмет блокировки мейл сайтов, в том числе и рекламных. я их добавил в хостс чтобы блокировался, но теперь все время вылазит окошко, что обнаружены записи бла бла бла.
можешь ли ты сделать что-то типа патчика для мейл агента, который бы хукал эту функцию и отключал её нахрен на корню?

На краклаб, exelab или wasm тебе)

да там на креклабе... есть один мудаг... с ником Арчер... чтоб ему пусто было - усе время банит :)

да и чужие люди все. кто знает, припаяют хрень какуюнить еще, чтобы почту увести можно было.

Есть интегрированная в мать сетевая карта
если её отключить в биосе, фрост не сможет узнать её MAC ?

mikser, а сменить его в настройках драйвера не катит?)

mikser, а сменить его в настройках драйвера не катит?)

фрост наверняка хардварный номер считывает
ну не из реестра же он его читает :)

mikser, сильно сомневаюсь что можно узнать "хардварный" мак не переписав драйвер сетевого адаптера...

Да и непрактично. Установка своих драйверов всегда за собой тащит массы проблем совместимости, в худшем случае краши ос. Разрабы обычно их пользуют если уж совсем никак иначе.

Ну значит из темиды берет

ну не из реестра же он его читаетмак адрес из реестра читается

Добавлено через 27 секунд
в гугле можно нарулить где и как его менять

SMAC разве в реестре меняет мак?

мак адрес из реестра читается

Добавлено через 27 секунд
в гугле можно нарулить где и как его менять
в свойствах драйвера

темида из реестра его читает?

темида из реестра его читает?кто тебе сказал что она его ваще читает?

Добавлено через 1 минуту
в свойствах драйверав свойствах подключения или в реестре. инфа 100%.

Винлиценз генерит свой хвид. Правдо пользователю его не предоставляет, использует вроде для регистриции/привязке защищаемой программы. В л2 регистрация копии клиента не используетса.