|
|||||||
| Программинг Форум для тем связанных с программированием |
 |
|
|
Опции темы | Опции просмотра |
|
|
04.05.2011, 18:05
|
#1 |
|
Местный
Регистрация: 23.09.2009
Сообщений: 1,232
Сказал Спасибо: 119
Имеет 172 спасибок в 134 сообщенях
 |
он зашифрован
__________________
Начало. |
|
|
|
04.05.2011, 18:14
|
#2 | |
|
Местный
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
|
Цитата:
вощем zwEnumerateValueKey не юзаетсаю в перехваченом zwQueryValueKey есть практически все кроме вчастности этово. (это смониторено ring0-монитором реестра) Код:
<logentry function="QueryValue" result="&Error0;" processID="3120">
<parameter type="process">L2.exe</parameter>
<parameter type="key">HKLM\SYSTEM\ControlSet025\Enum\PCI\VEN_1002&DEV_5B63&SUBSYS_1490174B&REV_00\4&1f7cc614&0&0008</parameter>
<parameter type="value">HardwareID</parameter>
</logentry>
<logentry function="QueryValue" result="&Error0;" processID="3120">
<parameter type="process">L2.exe</parameter>
<parameter type="key">HKLM\SYSTEM\ControlSet025\Enum\PCI\VEN_1002&DEV_5B63&SUBSYS_1490174B&REV_00\4&1f7cc614&0&0008</parameter>
<parameter type="value">HardwareID</parameter>
</logentry>
__________________
читернуть бы ништяг Последний раз редактировалось mira, 05.05.2011 в 01:57. |
|
|
|
|
|
04.05.2011, 18:29
|
#3 | |
|
Местный
Регистрация: 23.09.2009
Сообщений: 1,232
Сказал Спасибо: 119
Имеет 172 спасибок в 134 сообщенях
|
Цитата:
__________________
Начало. |
|
|
|
|
|
06.05.2011, 11:51
|
#4 | |
|
Местный
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
|
Цитата:
Добавлено через 15 часов 3 минуты Загадка, зачем при логине на сервер читаетса DeviceInstance проца, и еще ряда железяк  читалось бы сетевое оборудование я бы еще понял. Вечером затестю. думаю что там все банально. Разрабы таких поп-защит в 1ю очередь расчитывают на коварные алгоритмы нежели на всякие недокументированые фишки. Важна совместимость. Добавлено через 3 часа 49 минут Нид хелп! Как узнать имя ключа и желательно путь имея только его открытый хендл Добавлено через 5 часов 59 минут нашол. это zwQueryKey посмарел что читает клиент в момент логина: Код:
HKCU\Volatile Environment\LOGONSERVER "\\MYUBERCOMPUTER01" HKCU\Volatile Environment\HOMESHARE "\\de.xxxx.com\users" HKCU\Volatile Environment\HOMEPATH "\uwe123.DE" HKCU\Volatile Environment\USERDNSDOMAIN "DE.XXXX.COM" HKCU\Volatile Environment\CLIENTNAME "WORKSTATION01" HKCU\Volatile Environment\SESSIONNAME SUCCESS "RDP-Tcp#16" переменные окружения они думаю в идентификации никак не замешаны)Добавлено через 16 часов 14 минут Хм. Тепер я имею уеву тучу чтений рееста и кучу всяких чтений девайсов. Теперь надо както отсеять то что вызвано клиентом а что защитой. Вероятно нужно проверять адрес возврата call-ера и сравнивать с адресным пространсвом всех загруженых модулей. Начальный адрес пространства это понятно getmodulehandle. А верхний getmodulehandle+imagesize? Добавлено через 3 минуты Защищеный код лежит в пространстве не принадлежащем не 1у модулю. Это проверено, поэтому можно выкупить что вызвано защитой с 90% вероятностью)
__________________
читернуть бы ништяг Последний раз редактировалось mira, 06.05.2011 в 11:51. Причина: Добавлено сообщение |
|
|
|
|
|
|
Комбинированный вид
|
|
Часовой пояс GMT +4, время: 03:38.