Насколько уникаленым может быть HWID?

[Morfik]

Цитата:

Сообщение от destructor

это баян стопицотлетний(вроде устаревший).
но есть свой плюс, можно получить мас сетевухи когда перехуканы реестры и драйвера.

наверное в винде еще можно нарыть аналогичных функций (через директХ можно получить инфу о твоей видеокарте?)


это был сарказм, лучше забей

Добавлено через 1 минуту
наверное самый труЪ метод, это тренероватся на чемто типа everest

а можно и посто имя видюшки дернуть

Код:

var  
  lpDisplayDevice: TDisplayDevice;  
  dwFlags: DWORD;  
  cc: DWORD;  
begin  
 form1.memo1.Clear;
 
 lpDisplayDevice.cb := sizeof(lpDisplayDevice);   
 
 dwFlags := 0;   
 
 cc:= 0;
 
 while EnumDisplayDevices(nil, cc, lpDisplayDevice , dwFlags) do   
 
   begin   
 
     Inc(cc);   

     form1.memo1.lines.add(lpDisplayDevice.DeviceString);
   end;
 
  
end;

в итоге пока имеем
EnumDisplayDevices
DeviceIoControl
GetAdaptersInfo

зы а еще для хеша можно дернуть общее кол-во озу GlobalMemoryStatus

[mira]

Цитата:

Сообщение от supernewbie

он зашифрован

дак ЯСЕНЬ ПЕНЬ ЗАШИФРОВАН! я спрашиваю он каждую сессию зашифрован поразному или нет???

вощем zwEnumerateValueKey не юзаетсаю в перехваченом zwQueryValueKey есть практически все кроме вчастности этово. (это смониторено ring0-монитором реестра)

Код:

<logentry function="QueryValue" result="&Error0;" processID="3120">
    <parameter type="process">L2.exe</parameter>
    <parameter type="key">HKLM\SYSTEM\ControlSet025\Enum\PCI\VEN_1002&amp;DEV_5B63&amp;SUBSYS_1490174B&amp;REV_00\4&amp;1f7cc614&amp;0&amp;0008</parameter>
    <parameter type="value">HardwareID</parameter>
  </logentry>
  <logentry function="QueryValue" result="&Error0;" processID="3120">
    <parameter type="process">L2.exe</parameter>
    <parameter type="key">HKLM\SYSTEM\ControlSet025\Enum\PCI\VEN_1002&amp;DEV_5B63&amp;SUBSYS_1490174B&amp;REV_00\4&amp;1f7cc614&amp;0&amp;0008</parameter>
    <parameter type="value">HardwareID</parameter>
  </logentry>

а нет еще как юзает, причем именно при логине читает какието хардверные ветки)

[supernewbie]

Цитата:

Сообщение от mira

дак ЯСЕНЬ ПЕНЬ ЗАШИФРОВАН! я спрашиваю он каждую сессию зашифрован поразному или нет???

естесна, у них же ключи все время разные

[mira]

Цитата:

Сообщение от supernewbie

естесна, у них же ключи все время разные

значит нет смысла еголовить

Добавлено через 15 часов 3 минуты
Загадка, зачем при логине на сервер читаетса DeviceInstance проца, и еще ряда железяк
читалось бы сетевое оборудование я бы еще понял.
Вечером затестю.

думаю что там все банально. Разрабы таких поп-защит в 1ю очередь расчитывают на коварные алгоритмы нежели на всякие недокументированые фишки. Важна совместимость.

Добавлено через 3 часа 49 минут
Нид хелп!
Как узнать имя ключа и желательно путь имея только его открытый хендл

Добавлено через 5 часов 59 минут
нашол. это zwQueryKey
посмарел что читает клиент в момент логина:

Код:

HKCU\Volatile Environment\LOGONSERVER   "\\MYUBERCOMPUTER01"    
HKCU\Volatile Environment\HOMESHARE   "\\de.xxxx.com\users"    
HKCU\Volatile Environment\HOMEPATH    "\uwe123.DE"    
HKCU\Volatile Environment\USERDNSDOMAIN    "DE.XXXX.COM"    
HKCU\Volatile Environment\CLIENTNAME    "WORKSTATION01"    
HKCU\Volatile Environment\SESSIONNAME    SUCCESS    "RDP-Tcp#16"

переменные окружения они думаю в идентификации никак не замешаны)

Добавлено через 16 часов 14 минут
Хм. Тепер я имею уеву тучу чтений рееста и кучу всяких чтений девайсов.
Теперь надо както отсеять то что вызвано клиентом а что защитой.
Вероятно нужно проверять адрес возврата call-ера и сравнивать с адресным пространсвом всех загруженых модулей. Начальный адрес пространства это понятно getmodulehandle. А верхний getmodulehandle+imagesize?

Добавлено через 3 минуты
Защищеный код лежит в пространстве не принадлежащем не 1у модулю. Это проверено, поэтому можно выкупить что вызвано защитой с 90% вероятностью)

[mira]

так.. реестр отпадает
девайсиоконтроль вызываетса только из системных библиотек
директХ или из библиотек нетворка типа iphelpapi. из клиента больше ниче конкретно эту функцию не вызывает.

Добавлено через 8 часов 42 минуты
GetAdaptersInfo - подмена назавния карты и ее гуида ничего не дало.
всеписдец я теперь властелин колец %)

[SeregaZ]

хм... кароче я идийот! сразу надо было эксперементировать с железом. отрубил второй жесткий диск - и пустило!!!!!!

надо будет подцепить назад иии мудрить с количеством жестких дисков, или их названиями конечно не совсем то, что мне нужно, поскольку нужна будет перезагрузка... мне бы с горячей заменой HWID надо нооооооо уже продвижения, и я очень по этому поводу рад ураааааааааааааа!
***
ну все оба жестких диска на место подключил, иии процес замены HWID теперь занимает 3 клика ай ла ла ла ла ла

дуня - скажи какой у меня был скайп акаунт. я блин восстановить не могу... приходит на почту не мой аккаунт, а шефа старого... я ему сто лет назад регистрировал.

[dyh9l]

seregaz_kz

[SeregaZ]

трындец. он пишет что мы не можем чото вас там бла бла бла, я и не знаю на какую почту я его регистрировал то блин...

Добавлено через 1 час 8 минут
как скайп забрутить? ))) кароче скайп здох я так понимаю... на какой емейл я его регил это загадка за семью печатями...

[dyh9l]

попробуй в тех поддержку какую нибудь писать)

[mira]

Ребят ктонеть функции шифрации разбирал в сендпакете. Ниже ф-ии компилящей пакет 2 вызова. Первый принимает 1 параметр (вызыватеса редко исходя из каковато условия) вторая вызываетса всегда и имеет вид
function hzche(pnetworkobjectointer; ppacketbufferointer):dword;cdecl; както так.

Добавлено через 2 минуты
Пыталса брейкойнт олькой поставить но при останове на бряке клиент сразу самоуничтожаетса несмаря на плагин хайддебаггер.

Добавлено через 6 минут
Я просто невтыкаю, функция вызывает еще одну та еще пару и уходит на полиморфа. Но при попытке хукнуть те функции ведущие в темиду они вообще не вызываютса, полиморф вызываетса до логина и потом изредка (походу вызывает ggreply)