1. Отключение проверки активации Windows полностью
2. Обманывают Windows, повозившись с BIOS
3. Империя наносит ответный удар

Я тусовался с плохой толпой в последнее время.

В интересах исследования, я копался в досках объявлений и форумах, которые ведут беззастенчивые энтузиасты Windows, которые намереваются взломать технологию активации Microsoft. У меня эти форумы были отмечены годами, и время от времени я заглядываю, чтобы узнать, что нового. На этот раз я решил зайти и попробовать некоторые инструменты и утилиты, чтобы посмотреть, смогу ли я тоже стать пиратом.

К сожалению, мне это удалось.

В этой статье я поделюсь своим опытом, в том числе близкими встречами с некоторыми очень неприятными вредоносными программами и некоторым анализом того, как, вероятно, завершится последнее столкновение между Microsoft и пиратами.

Здесь вы не найдете имен или прямых ссылок - хотя эти парни кажутся настоящими энтузиастами, я не собираюсь давать им бесплатную рекламу. Но если вы заинтересованы в отслеживании инструментов, которые я тестировал, у вас не должно возникнуть проблем с их поиском, используя подсказки, доступные на скриншотах и ​​в описаниях здесь.

Если вы собираетесь попробовать это самостоятельно, я рекомендую быть предельно осторожным. Моя охота на утилиты, которые обходят технологии активации Windows 7, привела меня в некоторые очень зловещие уголки Интернета. Во-первых, я сделал то, что сделал бы любой красный пират-подражатель, и попробовал поискать в Google. Из первых 10 попаданий шесть были неактивны или были сняты. После загрузки файлов с оставшихся четырех сайтов я отправил их Virustotal.com где три из четырех примеров оказались положительными на неприятные, трудно удаляемые руткиты Windows 7. Вот один пример:

И этот опыт подтверждается, по крайней мере, одним реальным опытом, о котором по иронии судьбы сообщили в разделе Talkback этого блога. После того, как я написал о Microsoft последняя антипиратская инициатива На прошлой неделе один комментатор (громкий, гордый сторонник Linux) настаивал на том, что обновление открыло секретный обратный канал, вероятно, как часть заговора Microsoft, чтобы тайно получить доступ к ПК своих клиентов. Примерно через день после проверки со своим другом, использующим Windows, он вернулся с таким зловещим признанием:

Оказывается, его iso был не добросовестно купленной копией [Windows 7], а скорее взломанной версией из сети. По всей вероятности, iso был троянским ...

В самом деле. Вот почему я проявил чрезвычайную осторожность. Для практических испытаний я использовал свежую копию Windows 7 Ultimate, установленную без ключа продукта. Затем я посмотрел на два широко распространенных инструмента, которые работают совершенно по-разному.

Страница 2: Полное отключение активации Windows
Небольшой умный инструмент под названием RemoveWAT не только отключает подсистему активации Microsoft, но и устанавливает последнее обновление для защиты от пиратства от Microsoft, а затем отключает его!

Страница 3: Обмануть Windows, повозившись с BIOS
Производители больших ПК могут устанавливать копии Windows, которые не требуют активации. Естественно, пираты вскоре выяснили, как заставить любой компьютер выглядеть так, как будто он пришел с одного из этих крупных заводов.

Страница 4: Microsoft против пиратов
Пираты умны и быстры. Microsoft очень заинтересована в сохранении прибыльного потока доходов Windows. Собираются ли клиенты попасть под перекрестный огонь?

Подробности и скриншоты начинаются на следующей странице.

Отключение проверки активации Windows полностью

RemoveWAT впервые появился летом прошлого года, примерно в то время, когда Windows 7 была выпущена в производство. Философия этой небольшой утилиты проста: она отключает функцию технологий активации Windows, позволяя системе сохранять свой статус «Подлинный» при каждой официальной проверке Microsoft. Самая последняя версия претендует на работу со всеми выпусками Windows 7 и Windows Server 2008 R2. (Он не работает с Windows Vista или Windows Server 2008.)

Я загрузил самую последнюю версию RemoveWAT (v2.2.5) и убедился, что она чистая. Один файл .exe имеет небольшой размер (менее 7 МБ), а пользовательский интерфейс прост:

После нажатия кнопки «Удалить WAT» и перезагрузки я заметил небольшое, но существенное изменение в диалоговом окне «Свойства системы». Раздел, описывающий состояние активации моей системы, исчез. Не было никаких признаков идентификатора продукта или статуса активации. Ничего такого. Ранее в этом разделе сообщалось, что у меня осталось 30 дней для активации.

Внимательный осмотр папки Windows \ System32 объяснил почему. RemoveWAT установил собственную исправленную версию критически важного DLL-файла в подсистеме лицензирования программного обеспечения Slwga.dll. Вдумчиво, разработчик программы кодировал его, чтобы сохранить резервную копию фактического файла, чтобы он мог быть восстановлен в случае необходимости. (И когда я протестировал функцию восстановления WAT, я обнаружил, что она отлично работает в моей системе.)

Что касается Windows, то система была полностью работоспособна. Я смог загрузить и установить дополнительные обновления через Центр обновления Windows и успешно проверил систему, чтобы я мог устанавливать продукты, зарезервированные для клиентов Подлинной Windows. Мне также удалось установить Microsoft Security Essentials, которая выполняет проверку проверки во время установки.

По иронии судьбы самая последняя версия RemoveWAT фактически пытается установить обновление WAT от Microsoft (KB971033), которое предназначено для обнаружения и устранения несанкционированного доступа такими программами, как ... ну, например, RemoveWAT. Пиратский код продолжал работать, даже когда я запустил обновление WAT вручную.

Страница 3: Сверните свою бесплатную копию OEM? ->

Обманывают Windows, повозившись с BIOS

Другой популярный подход к взлому активации Windows использует разницу между розничными и OEM-копиями Windows. Розничные копии должны быть активированы с использованием уникального серийного номера. OEM-копии от крупных производителей систем (Dell, Toshiba, HP и т. Д., Известные под общим названием OEM-производители) используют метод, называемый предустановкой с блокировкой системы (SLP). В предустановленной копии Windows используется один главный ключ продукта, связанный с конкретной информацией в системном BIOS, которая уникальна для систем этого производителя. Если зашифрованная информация о лицензии в предустановленной копии Windows совпадает с информацией в BIOS, активация не требуется.

Пираты Windows выяснили, как использовать этот взлом во время запуска Windows Vista. Программа Windows 7 Loader, которую я использовал в тестовой системе, просматривает BIOS вашего ПК, чтобы определить, содержит ли он таблицу ACPI_SLIC с информацией о лицензировании программного обеспечения («маркеры» для операционной системы Windows и имя производителя компьютера). Если таблица SLIC присутствует, инструмент устанавливает правильный ключ продукта для вашей версии Windows 7 вместе с цифровым сертификатом; комбинация имитирует законную предустановку OEM. Для систем с BIOS, который не содержит надлежащих таблиц SLIC (сценарий, который я не тестировал), он использует альтернативный загрузчик (обычно это какой-то вариант GRUB) и устанавливает код эмуляции BIOS, чтобы обмануть систему, заставляя ее думать о вашей системе. является законной OEM-установкой. Вы можете использовать программу установки в один клик или выбрать один из дополнительных параметров, чтобы персонализировать свой компьютер, выбрав определенную марку.

В этом случае я установил розничную копию Windows 7 Home Premium на относительно новую систему (приобретенную в середине 2009 года), которая первоначально была лицензирована для Windows Vista. Я не вводил ключ продукта во время установки и провел без активации более 30 дней. Вот что я увидел, когда запустил W7Loader:

Установщик правильно определил марку (Dell) и версию Windows 7. Когда я нажал кнопку «Установить сертификат и серийный номер» справа, я получил следующее сообщение:

Система, которая никогда не была активирована, ранее не давала мне покоя «неподлинными» предупреждениями. Как только пиратский инструмент завершил свою работу, водяной знак на черном рабочем столе исчез, и диалоговое окно «Свойства системы» сообщило мне, что я был активирован с помощью идентификатора продукта Dell OEM.

Страница 4: Империя наносит ответный удар ->

Империя наносит ответный удар

Два эксплойта, которые я описываю в этом посте, конечно, не единственные. Действительно, пираты Windows уже много лет играют с Microsoft в кошки-мышки. В эпоху Windows XP пираты чаще всего концентрировались на краже законных ключей продукта, особенно ключей корпоративной лицензии. Начиная с Windows Vista, Microsoft начала встраивать антипиратские компоненты непосредственно в операционную систему, и пираты стали совершенствовать свои навыки взлома этих компонентов.

Последним залпом от Microsoft в войне с пиратами является Обновление технологий активации Windows (KB971033). В конфигурации по умолчанию он выполняет начальную проверку достоверности, а затем повторяет этот процесс каждые 90 дней, загружая новые подписи, чтобы обнаружить эксплойты, которые скрывались за радаром в предыдущем сканировании. Когда я вначале писал об этом предмете в прошлом месяце, чаще всего я слышал вопрос: «Почему нужно постоянно проверять? Если я получу подтверждение, разве это не будет достаточно хорошо?»

К сожалению, опыт, о котором я писал, доказывает, почему эта стратегия не работает. Если вы использовали копию RemoveWAT, созданную в 2009 году, вы смогли обмануть серверы проверки Microsoft с вероятностью успеха 100%. Однако, как показали мучительные крики участников форума, в феврале обновление KB971033 выявило все эти взломы, восстановив правильные файлы лицензий и заставив системы (правильно) не пройти проверку. В результате разработчик RemoveWAT изменил свой код и на прошлой неделе выпустил версию, которая превзошла новое обновление и снова позволила взломанным машинам пройти тест активации.

В прошлом это считалось победой пиратов. Но с помощью своей новой системы на основе сигнатур Microsoft может улучшить свой код обнаружения эксплойтов и, по крайней мере, теоретически, идентифицировать обновленные хаки через 90 дней (или, в худшем случае, через 90 дней после этого). Дело в том, что пираты не могут рассчитывать на получение постоянного бесплатного пропуска при активации. Если вы увлекаетесь пиратством Windows, вам придется мириться с неудобством обновления ваших хакерских утилит каждые несколько месяцев. Но если вы продаете пиратское программное обеспечение (в коробке или предварительно загруженное в систему), вы рискуете быть уволенным из бизнеса и, возможно, отправлено в тюрьму, когда системы, проданные вами в марте, будут обнаружены как пиратские в июне или июле.

Другой вопрос, который я слышу по этому вопросу: «Зачем выбирать законных клиентов? Почему бы не пойти за настоящими пиратами?»

Существует распространенное заблуждение, что только несгибаемые хакеры бездельничают с пиратским программным обеспечением. Реальность такова, что любой может стать жертвой, особенно если ему когда-либо понадобится помощь в переустановке Windows или устранении какой-либо проблемы с оборудованием. Я потерял счет тому, сколько раз видел компьютер с пиратской копией Windows, установленной племянником, соседом или даже местным компьютерным техником, который пытался поделиться интересной вещью, которую он нашел в Интернете. Еще в 2007 году я писал о собственном опыте использования технологии ремонта ПК для крупной национальной сети, которая использовал пиратскую копию Windows «починить» компьютер моего друга.

В этом случае я смог быстро обнаружить неавторизованную копию и помочь моему другу устранить ущерб (и вернуть свои деньги от изогнутой технологии). Если бы это случилось сегодня, технологии, возможно, повезло бы, чтобы сойти с обмана на несколько месяцев, но в конечном итоге он был бы пойман.

Одна вещь, которую я узнал, исследуя эту часть, это феноменальная решимость пиратов. Они становятся все более изощренными и способны очень быстро реагировать на изменения от Microsoft. Для Microsoft реагирование на эти быстро меняющиеся цели без непреднамеренного нанесения сопутствующего ущерба своим клиентам является огромной проблемой.

В прошлые выходные я использовал несколько сложных инструментов судебной экспертизы, чтобы в равной степени внимательно (и совершенно неавторизованно) взглянуть на то, что делает Microsoft со своим последним обновлением по борьбе с пиратством. Завтра я опубликую удивительные результаты этого анализа.