Windows Genuine Advantage Validation Tool - это объект ActiveX. Используется только на страницах Windows Update. Реализован в модуле LegitCheckControl.dll. Распространяется как обязательное обновление KB892130. Назначение: сбор сведений и отправка их на сервер Microsoft, и проверка "подлинности Windows". Т.е. его основная задача имеет скорее шпионский характер, тайком от вас собирать информацию. Вот информация, которую собирает WGA:
- производитель и модель компьютера;
- версия операционной системы и программного обеспечения, использующего функцию Genuine Advantage;
- настройки региона и языка;
- уникальный номер, присвоенный компьютеру используемыми средствами (глобальный уникальный идентификатор или GUID);
- номер и ключ продукта;
- название, номер и дата выпуска версии BIOS компьютера;
- серийный номер носителя;
- ключ продукта Office (при проверке Office);
- результаты установки;
- результаты проверки.
Это взято из официальных источников, остается только гадать, что может быть скрыто от общественности, учитывая маниакальную тягу Microsoft постоянно темнить и лукавить. Но даже этот набор очень сильно впечатляет. Microsoft уже настолько сильно обнаглела, что считает любой компьютер, на котором установлена Windows чуть ли не своей собственностью (В новой операционной системе Vista положение дел ещё хуже).
Итак, на вопрос "Кто в доме хозяин, Я или тараканы Microsoft?", бодро отвечаем - Я! Что делать с этим WGA? То что он является не удаляемым, это очередные басни Microsoft. Удаляется этот жучок элементарно, нужно выполнить две команды (командная консоль cmd.exe):
C:\>regsvr32 -u LegitCheckControl.dll
C:\>del LegitCheckControl.dll
Всё, поганца больше нет! Но это не самое лучшее решение, поскольку при посещении узла обновлений вас первым делом заставят установить его по новой. Поэтому задача такая: чтобы этот поганец был установлен, но не мог проводить свою вредоносную деятельность.
Чтобы лишить этого жучка возможности шпионить, нужно заблокировать доступ к серверу mpa.one.microsoft.com, порт 443. Лучше всего это сделать с помощью надежного брандмаузера (а не встроенного в Windows, ему нельзя доверять). Если такого нет, то можно следующий трюк: Открыть блокнотом файл
127.0.0.1 mpa.one.microsoft.com
Сохранить файл, и выполнить команду
C:\>ipconfig /flushdns
Она нужна для сброса кэша DNS. Эти действия настраивают локальную службу DNS. Её назначение - определять IP-адрес по доменному имени. После этого, при попытке WGA обратиться к серверу mpa.one.microsoft.com, все его запросы будут отправляться на IP=127.0.0.1 (адрес локального компьютера), а не на настоящий IP=131.107.115.40. Поэтому WGA не сможет ничего передать и получить.
Основная задача выполнена - шпионящему модулю заткнули рот! Осталось разобраться, что делать с проверками "подлинности". Для начала нужно убедиться, что всё исправно. Если вы попадаете на страницу с сообщением об ошибке (типа код ошибки: 0x80080205), то это говорит о каких то неисправностях самой системы проверки подлинности, а не о проблемах с вашим ключом. Подробности о кодах ошибок, и что с этим делать, можно найти здесь. ( Для теста работы непосредственно самого модуля WGA можно использовать утилиту RunWGA или тестовую страницу. ) Если всё исправно, и вам предлагают купить за "бесценок" лицензию, то начинаем дурачить WGA:
На заре развития этой системы также родилось достаточно большое число способов её обхода. Со временем Microsoft некоторые из них поборола, но часть до сих пор работают (против лома нет приёма).
Способы обхода WGA:
- Прямые ссылки.
- Смена ключа
- С помощью брандмаузера
- Патч проверочного модуля
- С помощью MgaBlinder
- С помощью IeBlinder
- С помощью подмены регистрационной информации
Самое первое, что имеет смысл сделать - это заблокировать доступ с серверу Microsoft. Убьем сразу двух зайцев: предотвратим утечку информации и лишим WGA получать новости. После этого проверка подлинности будет проходить успешно, но при одном условии: Если используемого вами ключа нет в черном списке, который зашит в модуль WGA. Это список увеличивается в каждой новой версии WGA. В противном случае придется принимать дополнительные меры. Из всех рассмотренных вариантов наименее хлопотный, и дающий 100% гарантию - это IeBlinder.
В этом случае вообще вся эта система WGA никаким образом не задействуется, вы просто скачиваете то, что вы хотите, если точно знаете где оно расположено. Проблема может быть в получении прямых ссылок. Для обхода WGA и сбора прямых ссылок есть утилита MgaBlinder 3.5
Самый простой способ обойти WGA - это заменить ключ на признанный подлинным. Проблема только в том, что где его взять, и в том, что активное распространение ключа приводит к его блокировке, поэтому прежде чем приступать к этой процедуре, заблокируйте сервер mpa.one.microsoft.com (см. выше).
Существуют разные приемы смены ключа, расскажу как это быстро сделать для VLK (корпоративная версия, не требующая активацию).
Нужно запустить редактор реестра и экспортировать ключ реестра:
например, в file1.reg. Затем его скопировать и переименовать file2.reg. В файле file2.reg изменить значение параметра.
С помощью file2.reg портим значение параметра в реестре, с помощью file1.reg - восстанавливаем.Было: "OOBETimer"=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd
Стало: "OOBETimer"=hex:00,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd
Также нужно создать ярлык для файла
Инструменты готовы. Последовательность следующих действий:
- портим параметр (file2.reg)
- ярлыком
msoobe.exe запускаем активацию - выбираем "по телефону"
- выбираем "изменить ключ продукта"
- набираем новый ключ
- нажимает "обновить"
- нажимает "напомнить позже"
- закрываем
msoobe.exe - восстанавливаем параметр (file1.reg)
- Перезагружаемся
- Удаляем C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data\data.dat
3. С помощью брандмаузера или файла hosts.
Избежать не желаемого результата проверки можно лишив возможности проверочный модуль получать и/или отправлять информацию на сервер Microsoft mpa.one.microsoft.com (IP=131.107.115.40, порт 443). О том, как это сделать, написано выше. Но есть один нюанс. Дело в том, что сам проверочный модуль содержит "черный список" ключей. Версии WGA регулярно обновляются, черный список соответственно расширяется. Поэтому есть вероятность, что однажды, после установки свежей версии WGA, ваш ключ может оказаться в этом списке.
Обойти проверку подлинности можно также пропатчив проверочный модуль LegitCheckControl.dll, либо заменив его на уже пропатченный. Но это не очень эффективный способ, учитывая достаточно небольшой интервал времени (около двух месяцев) существования версии. Как только будет выпущена новая версия, пропатченный модуль будет заменен на оригинальный. Я впервые столкнулся с этим явлением в начале 2006, а концу года мне уже надоело подгонять патчи под новые версии, к тому же Microsoft стала шифровать в модуле участки кода, наиболее подходящие для патча. Поэтому появились другие инструменты: IeBlinder и MgaBlinder 3.5.
Это новый подход к проблеме обхода WGA. MgaBlinder 3.5 представляет собой браузер, использующий движок InternetExplorer. Фактически это и есть InternetExplorer, только пользовательский интерфейс (органы управления) не от Microsoft. Конечно он выглядит недоразвитым, но зато он свободен от всяких пакостей, и его назначение - беспрепятственно ходить по сайтам обновлений. Кроме этого он в ходе путешествий собирает прямые ссылки на загружаемые файлы, и адреса страниц, где эти ссылки находятся.
Найти MgaBlinder 3.5 можно здесь
Это небольшой модуль расширения Internet Explorer. После его установки в меню "Сервис" браузера появится два дополнительных пункта "Редактировать файл hosts" и "AntiWga". Первый открывает блокнотом для редактирования файл
7. С помощью подмены регистрационной информации.
Это не очень надежный способ. Смысл его в том, чтобы подсунуть модулю проверки фальшивую регистрационную информацию. Она находится здесь:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"DigitalProductId"=hex:a4,00,00,00,....
Именно здесь находится информации установки, ключ, и пр. информация, которую анализирует WGA. Если сюда записать информацию с подлинной системы, то и проверка пройдет успешно. Это как бы неполноценная замена ключа. С этой информацией много чего связано, и всё это не изменится, поэтому замена ключа будет неполной, и нет гарантии, что операционная система будет устойчиво работать длительное время. На каком то форуме я даже видел совет записать сюда регистрационную информацию Windows Server 2003! Например так:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] "ProductId"="69831-640-1780577-45389" "DigitalProductId"=hex:a4,00,00,00,03,00,00,00,36,39,38,33,31,2d,36,34,30,2d,\ 31,37,38,30,35,37,37,2d,34,35,33,38,39,00,5a,00,00,00,41,32,32,2d,30,30,30,\ 30,31,00,00,00,00,00,00,00,00,0d,04,89,b2,15,1b,c4,ee,62,4f,e6,64,6f,01,00,\ 00,00,00,00,27,ed,85,43,a2,20,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,31,34,35,30,34,00,00,00,00,00,00,00,ce,0e,\ 00,00,12,42,15,a0,00,08,00,00,87,01,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,94,a2,b3,ac
Лучше родную информацию сохранить в отдельном файле. Перед обновлениями записать сюда подложную информацию, а после завершения обновлений обязательно восстановить исходную. И не забывайте про блокировку сервера mpa.one.microsoft.com
Office Genuine Advantage (OGA)
В принципе всё совершенно аналогично, только реализован этот ActiveX в OGACheckControl.dll, и проверяет подлинности продуктов серии Office. Так же шпионит, используется только на страницах OfficeUpdate, методы обхода аналогичны.
здесь Лик Стража Смерти
слабонервным делать нечего 