Каким образом Microsoft проверяет подлинность на сайтах обновлений
Вот получил текст…
В нём есть какая-то ценность?
[Ни Windows Update, ни Internet Explorer я не использую.]
IE -> Сервис -> Свойства обозревателя -> Дополнительно -> снять флажок “Включить интегрированную проверку подлинности Windows”.
IE-> Сервис -> Свойства обозревателя -> Программы <Надстройки> находим “Windows Genuine Advantage” и отключаем.
Каким образом Microsoft проверяет подлинность на сайтах обновлений
Когда фирма Microsoft принимала решение о принятии мер против свободного распространения её продуктов, то она, на мой взгляд, сделала довольно странные вещи. Достаточно странно и подозрительно выглядят терминология и методы применяемые для определения свойств ключа. Подлинный ключ – как это трактовать? А если – не подлинный, то – какой? Поддельный? Свойства и качество продукта Microsoft никоим образом не зависят, от свойств ключа (подлинный / не подлинный). Такая терминология применима для сравнения, например, бриллианта и подделки из стекла. Потому что существуют критерии, позволяющие любому независимому эксперту совершенно однозначно определить, что есть что. В случае с Microsoft всё совсем не так. Основным критерием для оценки свойств ключа является факт оплаты продукта. Заплатил деньги – подлинный ключ, не заплатил – не подлинный. Для проверки факта оплаты не используются никакие финансовые/платёжные документы! Вместо этого собирается информация об оборудовании, на которое установлен программный продут, что само по себе уже подозрительно. Microsoft не является собственником этого оборудования, кто дал право Microsoft собирать информацию о чужой собственности? Это информация передается на серверы Microsoft, там храниться, и на основании этой информации и определяются свойства ключа. Другими словами, определить свойства ключа может только Microsoft, независимые эксперты бессильны. Ситуация вплотную приблизилась к тому, что Microsoft – это царь, а все владельцы компьютеров – её рабы. Где же, спрашивается, хвалёная американская демократия? Молчит в тряпочку. Из всего вышесказанного можно сделать вывод: ни терминология Microsoft, ни методы Microsoft для определения свойств ключа не могут быть признаны действительными. Я себя не считаю ни пиратом, ни хакером. У меня есть компьютер. Я заплатил за него уйму денег, это моя собственность. И служить мне моя собственность будет именно так, как это нужно мне, а не фирме Microsoft.
Одной из таких мер Microsoft против свободного распространения её продуктов было ограничение доступа к обновлениям на сайтах Update для владельцев копий Windows, которые не заплатили деньги за лицензию. Как же устроена и на чём основана система проверки подлинности ключа на сайтах Update? Или где лоханулась Microsoft? До этого все обновления и веб страницы, на которых их можно было найти, были как общедоступные ресурсы. После принятия мер борьбы с пиратством ничего не изменилось. Сейчас, как и по-прежнему, любой желающий может скачать всё, что ему требуется, через общедоступный канал. Изменилась только система навигации на сайтах Update. Сайт – это обычно энное число страничек, на которых расположены ссылки на другие страницы этого сайта. Навигационная система представляет собой совокупность всех таких ссылок, и при грамотном построении навигационной системы, посетитель, попав на одну страницу сайта, может обойти весь сайт, используя навигационную систему сайта. Но если на сайте есть страница, на которую не ссылается никакая другая страница, то попасть на неё нельзя, используя навигационную систему сайта. А это, в свою очередь, вовсе не означает, что эту страницу нельзя загрузить. Можно ! Но для этого нужно знать адрес этой страницы или URL (Uniform Resource Locator). Microsoft выстроила навигационную систему следующим образом: ссылки на страницы с описанием обновлений и кнопкой “Download” формируются только на специальных страницах, оборудованные средствами проверки подлинности ключа продукта, и при положительном результате проверки. В противном случае формируется URL страницы с предложением купить лицензию. И это называется защитой?
Аналогия: Представьте себе 30-ти этажный небоскрёб. В нём есть лифт. Для того чтобы попасть на 25-ый этаж нужно зайти в лифт, и нажать кнопку 24. На 24-ом этаж вас проверят охранники, и если всё в порядке, то скажут “нажмите в лифте кнопку 25”, а если не всё в порядке, то скажут “нажмите в лифте кнопку 1”. Но есть небольшой нюанс: Если в лифте сразу нажать кнопку 25, то лифт вас доставит прямо к месту назначения, а на 24-ом этаже даже никто знать не будет, что мимо них кто то проехал.
Если пользователь с “подлинным” ключом может узнать, “какую кнопку нажимать”, то почему этого не может сделать кто то другой? Самый банальный способ обхода системы проверки подлинности: Идём в любое место, где есть “подлинное” программное обеспечение (Интернет-кафе, библиотека, и пр.), путешествуем по сайтам Update, и по ходу путешествий фиксируем URL интересных страничек (записываем в блокнот, отправляем по почте на свой e-mail, и т.д.). После, достаточно на любом компьютере набрать в адресной строке браузера эти URL, и попадаем прямиком туда, куда хотим. Конечно, на практике такой способ обхода проверки подлинности является самым не удобным, но зато наглядно показывает, какую туфту изобрела Microsoft, потратила на это тонны долларов, а теперь пытается выжать из нас обратно эти деньги. Чёрта лысого!
Вывод: Microsoft, как всегда, брешет. Реально никакого ограничения в доступе на серверы обновлений не существует. Единственным препятствие в получении ссылок на файлы (а не самих файлов) являются “жучки” Microsoft, которые называются модулями проверки подлинности, распростаняются в виде критический обновлений, и после установки шпионят за вами.
Другой мерой Microsoft против свободного распространения её продуктов стало встраивание модулей проверки подлинности в инсталляторы разных продуктов. При запуске инсталлятора выполняется проверка подлинности Windows Genuine Advantage (WGA), если она не дала положительных результатов, то установка прерывается. Вообще глупая ситуация, некоторые инсталляторы (Internet Explorer 7, Media Player 11) уже распространяются как обновления. Можно сказать в принудительном порядке, но не устанавливаются, если не проходит WGA. Что можно сделать в таких ситуациях написано здесь: Установка Internet Explorer 7 и здесь: лечение пакетов Windows Installer (*.msi).
Всё вышеперечисленные меры применяются к операционной системе семейства Windows XP и продуктам семейства Office. Про новоиспеченную Windows Vista и Office 2007 пока ничего не могу сказать.
Примечание: обновления, относящиеся к критическим, и связанные с безопасностью системы, доступны через автоматическое обновление без проверки подлинности ключа!
Windows Genuine Advantage Validation Tool (WGA). Что это такое и способы обхода.
Windows Genuine Advantage Validation Tool – это объект ActiveX. Используется только на страницах Windows Update. Реализован в модуле LegitCheckControl.dll. Распространяется как обязательное обновление KB892130. Назначение: сбор сведений и отправка их на сервер Microsoft, и проверка “подлинности Windows”. Т.е. его основная задача имеет скорее шпионский характер, тайком от вас собирать информацию. Вот информация, которую собирает WGA:
* производитель и модель компьютера;
* версия операционной системы и программного обеспечения, использующего функцию Genuine Advantage;
* настройки региона и языка;
* уникальный номер, присвоенный компьютеру используемыми средствами (глобальный уникальный идентификатор или GUID);
* номер и ключ продукта;
* название, номер и дата выпуска версии BIOS компьютера;
* серийный номер носителя;
* ключ продукта Office (при проверке Office);
* результаты установки;
* результаты проверки.
Это взято из оффициальных источников, остается только гадать, что может быть скрыто от общественности, учитывая маниакальную тягу Microsoft постоянно темнить и лукавить. Но даже этот набор очень сильно впечатляет. Microsoft уже настолько сильно обнаглела, что считает любой компьютер, на котором установлена Windows чуть ли не своей собственностью (В новой операционной системе Vista положение дел ещё хуже).
Итак, на вопрос “Кто в доме хозяин, Я или тараканы Microsoft?”, бодро отвечаем – Я! Что делать с этим WGA? То что он является неудаляемым, это очередные басни Microsoft. Удаляется этот жучок элементарно, нужно выполнить две команды:
C:\>regsvr32 -u LegitCheckControl.dll
C:\>del LegitCheckControl.dll
Всё, поганца больше нет! Но это не самое лучшее решение, поскольку при посещении узла обновлений вас первым делом заставят установить его по новой. Поэтому задача такая: чтобы этот поганец был установлен, но не мог проводить свою вредоносную деятельность.
Чтобы лишить этого жучка возможности шпионить, нужно заблокировать доступ к серверу mpa.one.microsoft.com, порт 443. Лучше всего это сделать с помощью надежного брандмаузера (а не встроенного в Windows, ему нельзя доверять). Если такого нет, то можно следующий трюк: Открыть блокнотом файл \WINDOWS\system32\drivers\etc\hosts и дописать в конец файла следующую строку:
127.0.0.1 mpa.one.microsoft.com
Сохранить файл, и выполнить команду
C:\>ipconfig /flushdns
Она нужна для сброса кэша DNS. После этого, при попытке WGA обратиться к серверу mpa.one.microsoft.com, все его запросы будут отправляться на IP=127.0.0.1 (адрес локального компьютера), а не на настоящий IP=131.107.115.40. Поэтому WGA не сможет ничего передать и получить.
Основная задача выполнена – шпионящему модулю заткнули рот! Осталось разобраться, что делать с проверками “подлинности”. Для начала нужно убедиться, что всё исправно. Если вы попадаете на страницу с сообщением об ошибке (типа код ошибки: 0x80080205), то это говорит о каких то неисправностях самой системы проверки подлинности, а не о проблемах с вашим ключом. Подробности о кодах ошибок, и что с этим делать, можно найти здесь. Для теста работы непосредственно самого модуля WGA можно использовать утилиту RunWGA. Если всё исправно, и вам предлагают купить за “бесценок” лицензию, то начинаем дурачить WGA:
На заре развития этой системы также родилось достаточно большое число способов её обхода. Со временем Microsoft некоторые из них поборола, но часть до сих пор работают (против лома нет приёма).
Способы обхода WGA:
Прямые ссылки.
Смена ключа
С помощью брандмаузера
Патч проверочного модуля
С помощью MgaBlinder
С помощью IeBlinder
С помощью подмены регистрационной информации
1. Прямые ссылки
В этом случае вообще вся эта система WGA никаким образом не задействуется, вы просто скачиваете то, что вы хотите, если точно знаете где оно расположено. Проблема может быть в получении прямых ссылок.
2. Смена ключа.
Самый простой способ обойти WGA – это заменить ключ на признанный подлинным. Проблема только в том, что где его взять, и в том, что активное распространение ключа приводит к его блокировке, поэтому прежде чем приступать к этой процедуре, заблокируйте сервер mpa.one.microsoft.com (см. выше).
Существуют разные приемы смены ключа, расскажу как это быстро сделать для VLK (корпоративная версия, не требующая активацию).
Нужно запустить редактор реестра и экспортировать ключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WPAEvents
например, в file1.reg. Затем его скопировать и переименовать file2.reg. В файле file2.reg изменить значение параметра.
Было: “OOBETimer”=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd
Стало: “OOBETimer”=hex:00,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd
С помощью file2.reg портим значение параметра в реестре, с помощью file1.reg – восстанавливаем.
Также нужно создать ярлык для файла
C:\WINDOWS\system32\oobe\msoobe.exe, открыть его свойства, и добавить ключ /a :
C:\WINDOWS\system32\oobe\msoobe.exe /a
Инструменты готовы. Последовательность следующих действий:
портим параметр (file2.reg)
ярлыком msoobe.exe запускаем активацию
выбираем “по телефону”
выбираем “изменить ключ продукта”
набираем новый ключ
нажимает “обновить”
нажимает “напомнить позже”
закрываем msoobe.exe
восстанавливаем параметр (file1.reg)
Перезагружаемся
Удаляем C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data\data.dat
Новый ключ установлен.
3. С помощью брандмаузера или файла hosts.
Избежать не желаемого результата проверки можно лишив возможности проверочный модуль получать и/или отправлять информацию на сервер Microsoft mpa.one.microsoft.com (IP=131.107.115.40, порт 443). О том, как это сделать, написано выше. Но есть один нюанс. Дело в том, что сам проверочный модуль содержит “черный список” ключей. Версии WGA регулярно обновляются, черный список соответственно расширяется. Поэтому есть вероятность, что однажды, после установки свежей версии WGA, ваш ключ может оказаться в этом списке.
4. Патч проверочного модуля.
Обойти проверку подлинности можно также пропатчив проверочный модуль LegitCheckControl.dll, либо заменив его на уже пропатченный. Но это не очень эффективный способ, учитывая достаточно небольшой интервал времени (около двух месяцев) существования версии. Как только будет выпущена новая версия, пропатченный модуль будет заменен на оригинальный. Я впервые столкнулся с этим явлением в начале 2006, а концу года мне уже надоело подгонять патчи под новые версии, к тому же Microsoft стала шифровать в модуле участки кода, наиболее подходящие для патча. Поэтому появились другие инструменты: IeBlinder и MgaBlinder 3.5.
5. С помощью MgaBlinder 3.5.
Это новый подход к проблеме обхода WGA. MgaBlinder 3.5 представляет собой браузер, использующий движок InternetExplorer. Фактически это и есть InternetExplorer, только пользовательский интерфейс (органы управления) не от Microsoft. Конечно он выглядит недоразвитым, но зато он свободен от всяких пакостей, и его назначение – беспрепятственно ходить по сайтам обновлений. Кроме этого он в ходе путешествий собирает прямые ссылки на загружаемые файлы, и адреса страниц, где эти ссылки находятся.
Найти MgaBlinder 3.5 можно здесь
6. С помощью IeBlinder.
Это небольшой модуль расширения Internet Explorer. После его установки в меню “Сервис” браузера появится два дополнительных пункта “Редактировать файл hosts” и “AntiWga”. Первый открывает блокнотом для редактирования файл %WINDOWS%\system32\drivers\etc\hosts, очень глубоко закопанный в недрах системных папок. Второй активирует систему обхода проверки подлинности непосредственно для Internet Explorer, после чего можно свободно посещать сайты обновлений и скачивать интересующие вас файлы. Находится здесь.
7. С помощью подмены регистрационной информации.
Это не очень надежный способ. Смысл его в том, чтобы подсунуть модулю проверки фальшивую регистрационную информацию. Она находится здесь:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
“DigitalProductId”=hex:a4,00,00,00,….
Именно здесь находится информации установки, ключ, и пр. информация, которую анализирует WGA. Если сюда записать информацию с подлинной системы, то и проверка пройдет успешно. Это как бы неполноценная замена ключа. С этой информацией много чего связано, и всё это не изменится, поэтому замена ключа будет неполной, и нет гарантии, что операционная система будет устойчиво работать длительное время. На каком то форуме я даже видел совет записать сюда регистрационную информацию Windows Server 2003! Например так:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
“ProductId”=”69831-640-1780577-45389”
“DigitalProductId”=hex:a4,00,00,00,03,00,00,00,36,39,38,33,31,2d,36,34,30,2d,\
31,37,38,30,35,37,37,2d,34,35,33,38,39,00,5a,00,00,00,41,32,32,2d,30,30,30,\
30,31,00,00,00,00,00,00,00,00,0d,04,89,b2,15,1b,c4,ee,62,4f,e6,64,6f,01,00,\
00,00,00,00,27,ed,85,43,a2,20,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,31,34,35,30,34,00,00,00,00,00,00,00,ce,0e,\
00,00,12,42,15,a0,00,08,00,00,87,01,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,94,a2,b3,ac
Лучше родную информацию сохранить в отдельном файле. Перед обновлениями записать сюда подложную информацию, а после завершения обновлений обязательно восстановить исходную. И не забывайте про блокировку сервера mpa.one.microsoft.com
Office Genuine Advantage (OGA)
В принципе всё совершенно аналогично, только реализован этот ActiveX в OGACheckControl.dll, и проверяет подлинности продуктов серии Office. Так же шпионит, используется только на страницах OfficeUpdate, методы обхода аналогичны.
KB905474
Это Windows Genuine Advantage Notification.
Windows Genuine Advantage Notification. Как прибить жучка.
Обновление KB905474 – это система уведомлений о результатах проверки подлинности Windows. Советую его никогда не устанавливать, независимо от состояния вашей лицензии. Оно не предназначено для пользователя компьютера, а служит исключительно шкурным интересам Microsoft. В настоящее время можно спокойно отказаться от его установки, и так же поставить галочку “Никогда больше не предлагать”. Это произошло благодаря нескольким коллективным судебным искам со стороны честных потребителей продуктов Microsoft.
Что же это такое, и почему его так все не полюбили? Это ещё один шпионский жучок, который ежедневно проверяет “подлинность” Windows, собирает и передает сведения на сервер Microsoft, даже если по всем признакам с лицензией всё в порядке. Подробней об этом написано здесь. А если есть повод для сомнений в лицензии, то он появляется в системном трее в виде звёздочки, и начинает донимать пользователя сообщениями о необходимости приобрести лицензию. Аналогичные сообщения появляются при старте системы, и при выходе из системы. Боже мой! Софтверный гигант опустился до такой низости: NagScreen-ов! Причем, если в более ранних версиях пользователь мог закрыть эту звёздочку щелкнув по ней мышкой, и выбрав команду “Выйти”. То сейчас такой команды нет! А если пользователь захочет принудительно завершить это приложение, используя менеджер задач (проще говоря, убить процесс), то у него ничего не получится. Как только процесс будет насильно завершен, то некая невидимая наблюдающая за ним сила тут же запустит его снова! При этом WgaTray.exe (так называется это пускатель мыльных пузырей) невозможно найти ни в одном известном месте автозапуска! Караул! Что же делать?
Спокойно, поводов для паники нет. Чтобы выключить его, нужно понять как он включается. В автозапусках его точно нет, потому что все автозапуски срабатывают только после того, как пользователь войдет в систему (залогинится), а эта зараза начинает орать раньше! В это время фактически функционирует только winlogon. Смотрим ключик в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
“DllName”=”WgaLogon.dll”
“Logon”=”WLEventLogon”
“Logoff”=”WLEventLogoff”
“Startup”=”WLEventStartup”
“Shutdown”=”WLEventShutdown”
“StartScreenSaver”=”WLEventStartScreenSaver”
“StopScreenSaver”=”WLEventStopScreenSaver”
“Lock”=”WLEventLock”
“Unlock”=”WLEventUnlock”
“StartShell”=”WLEventStartShell”
“PostShell”=”WLEventPostShell”
“Disconnect”=”WLEventDisconnect”
“Reconnect”=”WLEventReconnect”
Именно этот ключ отвечает за старт WgaNotification. Winlogon загружает указанную dll (WgaLogon.dll), а после, при возникновении каких то событий, вызывает указанные функции из этой dll. Слева – событие, справа – функция из dll. Удаляем этот ключ полностью, перезагружаем компьютер – вуаля! Никаких звездочек и предупреждений о поддельных копиях нет! Единственное неудобство – после этой процедуры служба обновлений будет считать KB905474 неустановленным, и она будет предлагать установить обновление KB905474 заново. От этого можно отказаться, поставив внизу галочку “больше не показывать это обновление”.
Альтернативный вариант избавления от уведомления KB905474: пропатчить wgalogon.dll. Это умеет делать патчер в MgaBlinder 4.0. Сделав патч, нужно также перезагрузить компьютер. Система уведомлений будет запущена, но это будет чисто формально, потому что пропатченная wgalogon.dll не будет совершать никаких действий. И никаких звёздочек и всплывающих сообщений не будет.
Я считаю, что Microsoft совершила огромную глупость, выпустив WGA Notification. Причем Microsoft не просто дура или дура в квадрате, а дура в шестьдесят четвертой степени. Потому что она продемонстрировала очень наглядный пример вирусописателям, как сделать качественный вирус, и превратить Windows в мину замедленного действия. А вирусописатели уже воспользовались этим примером. Сначала появился червяк, маскирующийся под Windows Genuine Advantage. А недавно узнал об “интересном” вирусе. Своими глазами я его не видел, но со слов пострадавших, он очень похож по поведению на WGA Notification. При старте он выводит сообщение о пиратской копии, блокирует дальнейший вход, и просит перечислить 300 рублей на Яндекс.Деньги для якобы активации Windows. В одном вирусописатели ошиблись: Microsoft простит не рубли, а баксы, ну и уж точно не через Яндекс.
Мораль: не устанавливайте KB905474. А на ключик
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
установите следующие разрешения: запрет на модификацию для всех групп (не только для группы “Все”, а и для администраторов, и SYSTEM). Для того чтобы никакие вирусописатели (и из Microsoft в том числе) не могли привинтить к winlogon никакую дополнительную заразу.