Вернуться   CoderX :: Forums > Основные форумы > Программинг
Войти через OpenID

Программинг Форум для тем связанных с программированием

Чат (Новых сообщений с момента вашего последнего визита нет)
Загрузка...
Задавайте ваши вопросы на форуме. Чат предназначен для небольших разговоров.
 
Ответ
 
Опции темы Опции просмотра
Старый 04.05.2011, 18:14   #31
Рыцарь
 
Аватар для Morfik
 
Регистрация: 13.10.2009
Сообщений: 665
Сказал Спасибо: 38
Имеет 172 спасибок в 108 сообщенях
Morfik пока неопределено
По умолчанию

Цитата:
Сообщение от destructor Посмотреть сообщение
это баян стопицотлетний(вроде устаревший).
но есть свой плюс, можно получить мас сетевухи когда перехуканы реестры и драйвера.

наверное в винде еще можно нарыть аналогичных функций (через директХ можно получить инфу о твоей видеокарте?)


это был сарказм, лучше забей

Добавлено через 1 минуту
наверное самый труЪ метод, это тренероватся на чемто типа everest
а можно и посто имя видюшки дернуть
Код:
var  
  lpDisplayDevice: TDisplayDevice;  
  dwFlags: DWORD;  
  cc: DWORD;  
begin  
 form1.memo1.Clear;
 
 lpDisplayDevice.cb := sizeof(lpDisplayDevice);   
 
 dwFlags := 0;   
 
 cc:= 0;
 
 while EnumDisplayDevices(nil, cc, lpDisplayDevice , dwFlags) do   
 
   begin   
 
     Inc(cc);   

     form1.memo1.lines.add(lpDisplayDevice.DeviceString);
   end;
 
  
end;
в итоге пока имеем
EnumDisplayDevices
DeviceIoControl
GetAdaptersInfo

зы а еще для хеша можно дернуть общее кол-во озу GlobalMemoryStatus

Последний раз редактировалось Morfik, 04.05.2011 в 18:17.
Morfik вне форума   Ответить с цитированием
Старый 04.05.2011, 18:14   #32
Местный
 
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
mira пока неопределено
По умолчанию

Цитата:
Сообщение от supernewbie Посмотреть сообщение
он зашифрован
дак ЯСЕНЬ ПЕНЬ ЗАШИФРОВАН! я спрашиваю он каждую сессию зашифрован поразному или нет???

вощем zwEnumerateValueKey не юзаетсаю в перехваченом zwQueryValueKey есть практически все кроме вчастности этово. (это смониторено ring0-монитором реестра)
Код:
<logentry function="QueryValue" result="&Error0;" processID="3120">
    <parameter type="process">L2.exe</parameter>
    <parameter type="key">HKLM\SYSTEM\ControlSet025\Enum\PCI\VEN_1002&amp;DEV_5B63&amp;SUBSYS_1490174B&amp;REV_00\4&amp;1f7cc614&amp;0&amp;0008</parameter>
    <parameter type="value">HardwareID</parameter>
  </logentry>
  <logentry function="QueryValue" result="&Error0;" processID="3120">
    <parameter type="process">L2.exe</parameter>
    <parameter type="key">HKLM\SYSTEM\ControlSet025\Enum\PCI\VEN_1002&amp;DEV_5B63&amp;SUBSYS_1490174B&amp;REV_00\4&amp;1f7cc614&amp;0&amp;0008</parameter>
    <parameter type="value">HardwareID</parameter>
  </logentry>
а нет еще как юзает, причем именно при логине читает какието хардверные ветки)
__________________
читернуть бы ништяг

Последний раз редактировалось mira, 05.05.2011 в 01:57.
mira вне форума   Ответить с цитированием
Старый 04.05.2011, 18:29   #33
Местный
 
Аватар для supernewbie
 
Регистрация: 23.09.2009
Сообщений: 1,232
Сказал Спасибо: 119
Имеет 172 спасибок в 134 сообщенях
supernewbie пока неопределено
По умолчанию

Цитата:
Сообщение от mira Посмотреть сообщение
дак ЯСЕНЬ ПЕНЬ ЗАШИФРОВАН! я спрашиваю он каждую сессию зашифрован поразному или нет???
естесна, у них же ключи все время разные
__________________
Начало.
supernewbie вне форума   Ответить с цитированием
Старый 06.05.2011, 11:51   #34
Местный
 
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
mira пока неопределено
По умолчанию

Цитата:
Сообщение от supernewbie Посмотреть сообщение
естесна, у них же ключи все время разные
значит нет смысла еголовить

Добавлено через 15 часов 3 минуты
Загадка, зачем при логине на сервер читаетса DeviceInstance проца, и еще ряда железяк
читалось бы сетевое оборудование я бы еще понял.
Вечером затестю.

думаю что там все банально. Разрабы таких поп-защит в 1ю очередь расчитывают на коварные алгоритмы нежели на всякие недокументированые фишки. Важна совместимость.

Добавлено через 3 часа 49 минут
Нид хелп!
Как узнать имя ключа и желательно путь имея только его открытый хендл

Добавлено через 5 часов 59 минут
нашол. это zwQueryKey
посмарел что читает клиент в момент логина:
Код:
HKCU\Volatile Environment\LOGONSERVER   "\\MYUBERCOMPUTER01"    
HKCU\Volatile Environment\HOMESHARE   "\\de.xxxx.com\users"    
HKCU\Volatile Environment\HOMEPATH    "\uwe123.DE"    
HKCU\Volatile Environment\USERDNSDOMAIN    "DE.XXXX.COM"    
HKCU\Volatile Environment\CLIENTNAME    "WORKSTATION01"    
HKCU\Volatile Environment\SESSIONNAME    SUCCESS    "RDP-Tcp#16"

переменные окружения они думаю в идентификации никак не замешаны)

Добавлено через 16 часов 14 минут
Хм. Тепер я имею уеву тучу чтений рееста и кучу всяких чтений девайсов.
Теперь надо както отсеять то что вызвано клиентом а что защитой.
Вероятно нужно проверять адрес возврата call-ера и сравнивать с адресным пространсвом всех загруженых модулей. Начальный адрес пространства это понятно getmodulehandle. А верхний getmodulehandle+imagesize?

Добавлено через 3 минуты
Защищеный код лежит в пространстве не принадлежащем не 1у модулю. Это проверено, поэтому можно выкупить что вызвано защитой с 90% вероятностью)
__________________
читернуть бы ништяг

Последний раз редактировалось mira, 06.05.2011 в 11:51. Причина: Добавлено сообщение
mira вне форума   Ответить с цитированием
Старый 09.05.2011, 01:06   #35
Местный
 
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
mira пока неопределено
По умолчанию

так.. реестр отпадает
девайсиоконтроль вызываетса только из системных библиотек
директХ или из библиотек нетворка типа iphelpapi. из клиента больше ниче конкретно эту функцию не вызывает.

Добавлено через 8 часов 42 минуты
GetAdaptersInfo - подмена назавния карты и ее гуида ничего не дало.
всеписдец я теперь властелин колец %)
__________________
читернуть бы ништяг

Последний раз редактировалось mira, 09.05.2011 в 01:06. Причина: Добавлено сообщение
mira вне форума   Ответить с цитированием
Старый 14.05.2011, 22:54   #36
Местный
 
Аватар для SeregaZ
 
Регистрация: 16.08.2009
Сообщений: 1,224
Сказал Спасибо: 4
Имеет 229 спасибок в 182 сообщенях
SeregaZ пока неопределено
По умолчанию

хм... кароче я идийот! сразу надо было эксперементировать с железом. отрубил второй жесткий диск - и пустило!!!!!!

надо будет подцепить назад иии мудрить с количеством жестких дисков, или их названиями конечно не совсем то, что мне нужно, поскольку нужна будет перезагрузка... мне бы с горячей заменой HWID надо нооооооо уже продвижения, и я очень по этому поводу рад ураааааааааааааа!
***
ну все оба жестких диска на место подключил, иии процес замены HWID теперь занимает 3 клика ай ла ла ла ла ла

дуня - скажи какой у меня был скайп акаунт. я блин восстановить не могу... приходит на почту не мой аккаунт, а шефа старого... я ему сто лет назад регистрировал.
__________________
хочу картинку в подпись!

Последний раз редактировалось SeregaZ, 14.05.2011 в 23:35. Причина: радости полные штаны
SeregaZ вне форума   Ответить с цитированием
Старый 15.05.2011, 01:19   #37
Местный
 
Регистрация: 11.06.2010
Сообщений: 644
Сказал Спасибо: 119
Имеет 85 спасибок в 77 сообщенях
dyh9l пока неопределено
По умолчанию

seregaz_kz
__________________
dyh9l вне форума   Ответить с цитированием
Старый 15.05.2011, 02:38   #38
Местный
 
Аватар для SeregaZ
 
Регистрация: 16.08.2009
Сообщений: 1,224
Сказал Спасибо: 4
Имеет 229 спасибок в 182 сообщенях
SeregaZ пока неопределено
По умолчанию

трындец. он пишет что мы не можем чото вас там бла бла бла, я и не знаю на какую почту я его регистрировал то блин...

Добавлено через 1 час 8 минут
как скайп забрутить? ))) кароче скайп здох я так понимаю... на какой емейл я его регил это загадка за семью печатями...
__________________
хочу картинку в подпись!

Последний раз редактировалось SeregaZ, 15.05.2011 в 02:38. Причина: Добавлено сообщение
SeregaZ вне форума   Ответить с цитированием
Старый 15.05.2011, 02:45   #39
Местный
 
Регистрация: 11.06.2010
Сообщений: 644
Сказал Спасибо: 119
Имеет 85 спасибок в 77 сообщенях
dyh9l пока неопределено
По умолчанию

попробуй в тех поддержку какую нибудь писать)
__________________
dyh9l вне форума   Ответить с цитированием
Старый 16.05.2011, 08:42   #40
Местный
 
Регистрация: 10.08.2010
Сообщений: 634
Сказал Спасибо: 22
Имеет 95 спасибок в 70 сообщенях
mira пока неопределено
По умолчанию

Ребят ктонеть функции шифрации разбирал в сендпакете. Ниже ф-ии компилящей пакет 2 вызова. Первый принимает 1 параметр (вызыватеса редко исходя из каковато условия) вторая вызываетса всегда и имеет вид
function hzche(pnetworkobjectointer; ppacketbufferointer):dword;cdecl; както так.

Добавлено через 2 минуты
Пыталса брейкойнт олькой поставить но при останове на бряке клиент сразу самоуничтожаетса несмаря на плагин хайддебаггер.

Добавлено через 6 минут
Я просто невтыкаю, функция вызывает еще одну та еще пару и уходит на полиморфа. Но при попытке хукнуть те функции ведущие в темиду они вообще не вызываютса, полиморф вызываетса до логина и потом изредка (походу вызывает ggreply)
__________________
читернуть бы ништяг

Последний раз редактировалось mira, 16.05.2011 в 08:42. Причина: Добавлено сообщение
mira вне форума   Ответить с цитированием
Ответ

  CoderX :: Forums > Основные форумы > Программинг



Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Часовой пояс GMT +4, время: 02:48.

vBulletin style designed by MSC Team.
Powered by vBulletin® Version 3.6.11
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Locations of visitors to this page
Rambler's Top100

Вы хотите чувствовать себя в безопасности? чоп Белган обеспечит её!