Цитата:
Сообщение от supernewbie
естесна, у них же ключи все время разные
|
значит нет смысла еголовить
Добавлено через 15 часов 3 минуты
Загадка, зачем при логине на сервер читаетса DeviceInstance проца, и еще ряда железяк
читалось бы сетевое оборудование я бы еще понял.
Вечером затестю.
думаю что там все банально. Разрабы таких поп-защит в 1ю очередь расчитывают на коварные алгоритмы нежели на всякие недокументированые фишки. Важна совместимость.
Добавлено через 3 часа 49 минут
Нид хелп!
Как узнать имя ключа и желательно путь имея только его открытый хендл
Добавлено через 5 часов 59 минут
нашол. это zwQueryKey
посмарел что читает клиент в момент логина:
Код:
HKCU\Volatile Environment\LOGONSERVER "\\MYUBERCOMPUTER01"
HKCU\Volatile Environment\HOMESHARE "\\de.xxxx.com\users"
HKCU\Volatile Environment\HOMEPATH "\uwe123.DE"
HKCU\Volatile Environment\USERDNSDOMAIN "DE.XXXX.COM"
HKCU\Volatile Environment\CLIENTNAME "WORKSTATION01"
HKCU\Volatile Environment\SESSIONNAME SUCCESS "RDP-Tcp#16"
переменные окружения
они думаю в идентификации никак не замешаны)
Добавлено через 16 часов 14 минут
Хм. Тепер я имею уеву тучу чтений рееста и кучу всяких чтений девайсов.
Теперь надо както отсеять то что вызвано клиентом а что защитой.
Вероятно нужно проверять адрес возврата call-ера и сравнивать с адресным пространсвом всех загруженых модулей. Начальный адрес пространства это понятно getmodulehandle. А верхний getmodulehandle+imagesize?
Добавлено через 3 минуты
Защищеный код лежит в пространстве не принадлежащем не 1у модулю. Это проверено, поэтому можно выкупить что вызвано защитой с 90% вероятностью)