Отправляет email-рассылки с помощью сервиса Sendsay

Свободное общение на любые темы

Подписаться Бесплатный дискуссионный лист Подписчиков 173
  Январь 2012  
 1
 2
02.01.2012
01:48:32
13:12:41
 3
 4
 5
 6
 7
 8
08.01.2012
05:46:35
09:55:30
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней 178 выпусков (несколько раз в день)


Открыт: 09-04-2007
Пре-модерация: Нет
Адрес для писем в лист: rest.interesting.svoboda-list@subscribe.ru
Адрес модератора: rest.interesting.svoboda-owner@subscribe.ru

Модератор
instrumentalist

Статистика

173 подписчиков
0 за неделю

[svoboda] Памятка корсара

Hello, All!

Вы - одинокая, или не очень, мамаша, с трудом наковырявшая денег на
полуубитый комп?
вы - бедный студент, не имеющий денег не то, что на windows 7
ultimate, но и на win xp home
вы - сторонник opensource, до сих пор не перешедший на linux из- за
избитых стереотипов о виндовой юзер френдли?
вы - ничего не знающий и не желающий знать об интеллектуальной
собственности и не желающий платить не только разным там буржуинам, но
и нашим совковым программерам в длинных свитерах и дорогих костюмах?
Тогда это для вас! Читайте и да прибудет с вами сила!!!

Каким образом Microsoft проверяет подлинность на сайтах обновлений.
Когда фирма Microsoft принимала решение о принятии мер против
свободного распространения её продуктов, то она, на мой взгляд,
сделала довольно странные вещи. Первое, что приходит в голову - это
слова Михаила Задорного "Ну тупые!". Если честно, то я до сих пор не
понял, что же это было, реальная попытка ограничить распространение,
или просто психологическое давление на потребителя. Достаточно странно
и подозрительно выглядят терминология и методы применяемые для
определения свойств ключа. Подлинный ключ - как это трактовать? А если
- не подлинный, то - какой? Поддельный? Свойства и качество продукта
Microsoft никоим образом не зависят, от свойств ключа (подлинный / не
подлинный). Такая терминология применима для сравнения, например,
бриллианта и подделки из стекла. Потому что существуют критерии,
позволяющие любому независимому эксперту совершенно однозначно
определить, что есть что. В случае с Microsoft всё совсем не так.
Основным критерием для оценки свойств ключа является факт оплаты
продукта. Заплатил деньги - подлинный ключ, не заплатил - не
подлинный. Для проверки факта оплаты не используются никакие
финансовые/платёжные документы! Вместо этого собирается информация об
оборудовании, на которое установлен программный продут, что само по
себе уже подозрительно. Microsoft не является собственником этого
оборудования, кто дал право Microsoft собирать информацию о чужой
собственности? Это информация передается на серверы Microsoft, там
храниться, и на основании этой информации и определяются свойства
ключа. Другими словами, определить свойства ключа может только
Microsoft, независимые эксперты бессильны. Ситуация вплотную
приблизилась к тому, что Microsoft - это царь, а все владельцы
компьютеров - её рабы. Где же, спрашивается, хвалёная американская
демократия? Молчит в тряпочку. Из всего вышесказанного можно сделать
вывод: ни терминология Microsoft, ни методы Microsoft для определения
свойств ключа не могут быть признаны действительными. Я себя не считаю
ни пиратом, ни хакером. У меня есть компьютер. Я заплатил за него уйму
денег, это моя собственность. И служить мне моя собственность будет
именно так, как это нужно мне, а не фирме Microsoft.
Одной из таких мер Microsoft против свободного распространения её
продуктов было ограничение доступа к обновлениям на сайтах Update для
владельцев копий Windows, которые не заплатили деньги за лицензию. Как
же устроена и на чём основана система проверки подлинности ключа на
сайтах Update? Или где лоханулась Microsoft? До этого все обновления и
веб страницы, на которых их можно было найти, были как общедоступные
ресурсы. После принятия мер борьбы с пиратством ничего не изменилось.
Сейчас, как и по-прежнему, любой желающий может скачать всё, что ему
требуется, через общедоступный канал. Изменилась только система
навигации на сайтах Update. Сайт - это обычно энное число страничек,
на которых расположены ссылки на другие страницы этого сайта.
Навигационная система представляет собой совокупность всех таких
ссылок, и при грамотном построении навигационной системы, посетитель,
попав на одну страницу сайта, может обойти весь сайт, используя
навигационную систему сайта. Но если на сайте есть страница, на
которую не ссылается никакая другая страница, то попасть на неё
нельзя, используя навигационную систему сайта. А это, в свою очередь,
вовсе не означает, что эту страницу нельзя загрузить. Можно ! Но для
этого нужно знать адрес этой страницы или URL (Uniform Resource
Locator). Microsoft выстроила навигационную систему следующим образом:
ссылки на страницы с описанием обновлений и кнопкой "Download"
формируются только на специальных страницах, оборудованные средствами
проверки подлинности ключа продукта, и при положительном результате
проверки. В противном случае формируется URL страницы с предложением
купить лицензию. И это называется защитой?
Аналогия: Представьте себе 30-ти этажный небоскрёб. В нём есть лифт.
Для того чтобы попасть на 25-ый этаж нужно зайти в лифт, и нажать
кнопку 24. На 24-ом этаж вас проверят охранники, и если всё в порядке,
то скажут "нажмите в лифте кнопку 25", а если не всё в порядке, то
скажут "нажмите в лифте кнопку 1". Но есть небольшой нюанс: Если в
лифте сразу нажать кнопку 25, то лифт вас доставит прямо к месту
назначения, а на 24-ом этаже даже никто знать не будет, что мимо них
кто то проехал.
Если пользователь с "подлинным" ключом может узнать, "какую кнопку
нажимать", то почему этого не может сделать кто то другой? Самый
банальный способ обхода системы проверки подлинности: Идём в любое
место, где есть "подлинное" программное обеспечение (Интернет-кафе,
библиотека, и пр.), путешествуем по сайтам Update, и по ходу
путешествий фиксируем URL интересных страничек (записываем в блокнот,
отправляем по почте на свой e-mail, и т.д.). После, достаточно на
любом компьютере набрать в адресной строке браузера эти URL, и
попадаем прямиком туда, куда хотим. Конечно, на практике такой способ
обхода проверки подлинности является самым не удобным, но зато
наглядно показывает, какую туфту изобрела Microsoft, потратила на это
тонны долларов, а теперь пытается выжать из нас обратно эти деньги.
Чёрта лысого!
Вывод: Microsoft, как всегда, брешет. Реально никакого ограничения в
доступе на серверы обновлений не существует. Единственным препятствие
в получении ссылок на файлы (а не самих файлов) являются "жучки"
Microsoft, которые называются модулями проверки подлинности,
распростаняются в виде критический обновлений, и после установки
шпионят за вами.
Другой мерой Microsoft против свободного распространения её продуктов
стало встраивание модулей проверки подлинности в инсталляторы разных
продуктов. При запуске инсталлятора выполняется проверка подлинности
Windows Genuine Advantage (WGA), если она не дала положительных
результатов, то установка прерывается. Вообще глупая ситуация,
некоторые инсталляторы (Internet Explorer , Media Player ) уже
распространяются как обновления. Можно сказать в принудительном
порядке, но не устанавливаются, если не проходит WGA.
Всё вышеперечисленные меры применяются к операционной системе
семейства Windows XP и продуктам семейства Office. Про новоиспеченную
Windows 7 и Office 2010 пока ничего не могу сказать.
Примечание: обновления, относящиеся к критическим, и связанные с
безопасностью системы, доступны через автоматическое обновление без
проверки подлинности ключа!

Windows Genuine Advantage (WGA) - что это такое и способы обхода.
Windows Genuine Advantage Validation Tool - это обязательное
обновление KB892130. Предназначено для проверки подлинности ключа (на
предмет уплаченных за него денег, или законности его использования) во
время посещения страниц узла WindowsUpdate. Реализован как объект
ActiveX в модуле LegitCheckControl.dll. Назначение: сбор сведений и
отправка их на сервер Microsoft, и проверка "подлинности Windows".
Т.е. его основная задача имеет скорее шпионский характер, тайком от
вас собирать информацию. Вот информация, которую собирает WGA:
производитель и модель компьютера;
версия операционной системы и программного обеспечения, использующего
функцию Genuine Advantage;
настройки региона и языка;
уникальный номер, присвоенный компьютеру используемыми средствами
(глобальный уникальный идентификатор или GUID);
номер и ключ продукта;
название, номер и дата выпуска версии BIOS компьютера;
серийный номер носителя;
ключ продукта Office (при проверке Office);
результаты установки;
результаты проверки.
Это взято из официальных источников, остается только гадать, что
может быть скрыто от общественности, учитывая маниакальную тягу
Microsoft постоянно темнить и лукавить. Но даже этот набор очень
сильно впечатляет. Microsoft уже настолько сильно обнаглела, что
считает любой компьютер, на котором установлена Windows чуть ли не
своей собственностью (В новой операционной системе windows 7 положение дел
ещё хуже).
Итак, на вопрос "Кто в доме хозяин, Я или тараканы Microsoft?", бодро
отвечаем - Я! Что делать с этим WGA? То что он является не удаляемым,
это очередные басни Microsoft. Удаляется этот жучок элементарно, нужно
выполнить две команды (командная консоль cmd.exe):

Всё, поганца больше нет! Но это не самое лучшее решение, поскольку
при посещении узла обновлений вас первым делом заставят установить его
по новой. Поэтому задача такая: чтобы этот поганец был установлен, но
не мог проводить свою вредоносную деятельность.
Главное, что нужно сделать - это заблокировать любыми средствами
канал связи, по которому передается информация. Например с помощью
брандмауэра закрыть доступ к серверу mpa.one.microsoft.com, порт 443.
Но не у всех есть брандмауер, имеющий такие функции. Проще
использовать настройки локального DNS. Для этого нужно открыть
блокнотом файл \WINDOWS\system32\drivers\etc\hosts и дописать в конец
файла следующую строку:
127.0.0.1 mpa.one.microsoft.com
Сохранить файл, и выполнить команду

Она нужна для сброса кэша DNS. Эти действия настраивают локальную
службу DNS. Её назначение - определять IP-адрес по доменному имени.
После этого, при попытке WGA обратиться к серверу
mpa.one.microsoft.com, все его запросы будут отправляться на
IP=127.0.0.1 (адрес локального компьютера), а не на настоящий
IP=131.107.115.40. Поэтому WGA не сможет связаться с сервером
mpa.one.microsoft.com, и что то передать или получить.
Основная задача выполнена - шпионящему модулю заткнули рот! Это -
главная мера обхода WGA. Она может дать осечку, и ключ будет
определять как не подлинный, но это не значит что от этой меры следует
отказываться или отменять её. Осечка может произойти если:
Остались следы предыдущих неудачных проверок. Они хранятся в файле:
C:\Documents and Settings\All Users\Application Data\Windows Genuine
Advantage\data\data.dat
Этот файл нужно удалить. Папка "Application Data" имеет атрибут
"скрытая". Если в системе установлено свойство "не показывать скрытые
файлы и папки", то её не будет видно в проводнике. Устанавливать на
файл data.dat атрибуты или разрешения, препятствующие записи в этот
файл, не нужно. Поскольку в этом случае проверка WGA всегда будет
неудачной.

Модуль WGA имеет встроенный черный список нелегальных ключей, которые
известны Microsoft. С помощью этого списка WGA может определить такой
ключ без связи с сервером. Осечка будет, если установленный ключ
находится в этом списке. В этом случае нужно сменить ключ или
воспользоваться всем известным валидатором. Не факт, что валидатор
решит проблему, но от откатит 2 файла, использующихся в процедуре
windows genuine advantage до старых версий, в которых, вероятно, ваш
ключ ещё не забанили, в прочем, если винды встали без проблем, то
вероятность бана ключа в следствие обновления wga исчезающе мала, если
вовремя прикрыть этому жуку дыхальце.
Все остальные известные мне способы обхода WGA уже не так хороши, и
скорее это временные меры.
Использование файла hosts не очень надежно. Потому что это
обычный текстовый файл, и любая программа может его открыть и изменить
содержимое, или даже просто удалить его. Тогда вся надежда на то что
mpa.one.microsoft.com будет заблокирован окажется тщетной.
Для этих целей лучше использовать политику безопасности IP. Это штатный
инструмент Windows. Он точно есть на каждой машине с Windows. По
умолчанию он отключен и не настроен. Его использование чуток посложнее
hosts, но не намного, зато работает железно. Даже службы (имеющие все
системные привилегии) не могут пробить это барьер. Нужно всего лишь
создать новую политику, настроить ее, и включить. Этот инструмент
можно использовать не только для блокировки серевера microsoft, но и
других. Сейчас очень многие приложения злоупотребляют сетью. Собирают
и отправляют какую то информацию на нигде недокументированные серверы,
качают откуда то рекламу, естественно, проверяют лицензию, отправляя и
получая информацию на какие то серверы. Об этом факте пользователь
узнает лишь косвенным образом. И его никто не спрашивает - хочет он
этого или нет. Кстати, не очень давно испеченный браузер GoogleChrome
именно этим и занимается: при путешествии пользователям по страница он
отправляет об этом информацию на какие то серверы Google. Это я
выяснил, когда проверял сайт расположенный на локальном Вэб-сервере, а
не в Интернете. Совершенно однозначно наблюдались попытки браузера
соединиться с внешним сервером при каждом переходе на очередную
страницу, хотя содержимое сайта не требовало никаких внешних ресурсов.
Если известен IP, на который стучится та или иная программа с
неизвестными целями, то достаточно просто положить конец этой тайной
деятельности используя политику безопасности IP. Которая именно для
этого и предназначена - для контроля сетевого доступа.
Если вы попадаете на страницу с сообщением об ошибке (типа код
ошибки: 0x80080205), то это говорит о каких то неисправностях самой
системы проверки подлинности, а не о проблемах с вашим ключом.

Windows Genuine Advantage Notification (KB905474). Как прибить жучка.
Обновление KB905474 - это система уведомлений о результатах проверки
подлинности Windows. Если проверка подлинности обнаружит что ключ,
установленный в системе, не является подлинным, то в системном трее
появится звездочка, которая будет постоянно мозолить глаза сообщениями
о необходимости приобрести лицензию. Аналогичные сообщения будут
появляться при включении и выключении компьютера. Советую его никогда
не устанавливать, независимо от состояния вашей лицензии. Оно не
предназначено для пользователя компьютера, а служит исключительно
шкурным интересам Microsoft. В настоящее время никакого лекарства от
этой "звезды героя" не требуется. Достаточно отказаться от установки
обновления KB905474 навсегда (поставить галочку "Никогда больше не
предлагать". Если же это обновление уже установлено, то достаточно его
отключить, об этом - ниже.
Что же это такое, и почему его так все не полюбили? Это ещё один
шпионский жучок, который ежедневно проверяет "подлинность" Windows,
собирает и передает сведения на сервер Microsoft
mpa.one.microsoft.com, даже если по всем признакам с лицензией всё в
порядке. Подробней об этом написано здесь. А если есть повод для
сомнений в лицензии, то он появляется в системном трее в виде
звёздочки, и начинает донимать пользователя сообщениями о
необходимости приобрести лицензию. Аналогичные сообщения появляются
при старте системы, и при выходе из системы. Боже мой! Софтверный
гигант опустился до такой низости: NagScreen-ов! Причем, если в более
ранних версиях пользователь мог закрыть эту звёздочку щелкнув по ней
мышкой, и выбрав команду "Выйти". То сейчас такой команды нет! А если
пользователь захочет принудительно завершить это приложение, используя
менеджер задач (проще говоря, убить процесс), то у него ничего не
получится. Как только процесс будет насильно завершен, то некая
невидимая наблюдающая за ним сила тут же запустит его снова! При этом
WgaTray.exe (так называется это пускатель мыльных пузырей) невозможно
найти ни в одном известном месте автозапуска! Караул! Что же делать?
Спокойно, поводов для паники нет. Чтобы выключить его, нужно понять
как он включается. В автозапусках его точно нет, потому что все
автозапуски срабатывают только после того, как пользователь войдет в
систему (залогинится), а эта зараза начинает орать раньше! В это время
фактически функционирует только winlogon и грузятся системные службы,
в прочем, эта дрянь системной службой себя не обзывает. Смотрим ключик в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\WgaLogon]
"DllName"="WgaLogon.dll"
"Logon"="WLEventLogon"
"Logoff"="WLEventLogoff"
"Startup"="WLEventStartup"
"Shutdown"="WLEventShutdown"
"StartScreenSaver"="WLEventStartScreenSaver"
"StopScreenSaver"="WLEventStopScreenSaver"
"Lock"="WLEventLock"
"Unlock"="WLEventUnlock"
"StartShell"="WLEventStartShell"
"PostShell"="WLEventPostShell"
"Disconnect"="WLEventDisconnect"
"Reconnect"="WLEventReconnect"
Именно этот ключ отвечает за старт WgaNotification. Winlogon
загружает указанную dll (WgaLogon.dll), а после, при возникновении
каких то событий, вызывает указанные функции из этой dll. Слева -
событие, справа - функция из dll. Удаляем этот ключ полностью,
перезагружаем компьютер - вуаля! Никаких звездочек и предупреждений о
поддельных копиях нет! Все остальные действия (патчи, кракнутые
dll-ки) являются избыточными. Ибо без этого ключа система уведомлений
не будет запущена, и остальные телодвижения никоим образом не улучшат
ситуацию. Но есть один нюанс: служба обновлений WindowsUpdate, не
обнаружив это ключ, будет считать KB905474 неустановленным, и она
предложит установить обновление KB905474 повторно. Так что будьте
внимательны, и откажитесь от повторной установки KB905474 навсегда.
Я считаю, что Microsoft совершила огромную глупость, выпустив WGA
Notification. Причем Microsoft не просто дура или дура в квадрате, а
дура в шестьдесят четвертой степени. Потому что она продемонстрировала
очень наглядный пример вирусописателям, как сделать качественный
вирус, и превратить Windows в мину замедленного действия. А
вирусописатели уже воспользовались этим примером. Сначала появился
червяк, маскирующийся под Windows Genuine Advantage. А недавно узнал
об "интересном" вирусе. Своими глазами я его не видел, но со слов
пострадавших, он очень похож по поведению на WGA Notification. При
старте он выводит сообщение о пиратской копии, блокирует дальнейший
вход, и просит перечислить 300 рублей на Яндекс.Деньги для якобы
активации Windows. В одном вирусописатели ошиблись: Microsoft простит
не рубли, а баксы, ну и уж точно не через Яндекс.
Мораль: не устанавливайте KB905474. А на ключик
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify]
установите следующие разрешения: запрет на модификацию для всех групп
(не только для группы "Все", а и для администраторов, и SYSTEM). Для
того чтобы никакие вирусописатели (и из Microsoft в том числе) не
могли привинтить к winlogon никакую дополнительную заразу.
А в версии WGA Notification v 1.8.31.0 вообще сказка!!! Теперь не только сидит
"звезда пирата"
в системном трее, но цвет рабочего стола становится черным, а на нём
рисуется предупреждение о нелегальной копии. Если пользователь
установить цвет и обои рабочего стола по своему, то каждые 60 мин. все
опять возвращается к черному цвету. Ранее подобные фишки были только
в висте и семёре, теперь хрюкающие неандертальцы, сиречь умственно
отсталые по мнению юзателей семёры пользователи xp тоже получают жизнь
в сказке!
Так же новое обновление приобрело статус неудаляемых. Т.е. штатными
средствами удалить его невозможно. Удалить нельзя, а убить - можно за
пять секунд. Способ старый и проверенный на всех старших братьях WGA
Notification: удалить ключ реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\WgaLogon]
и перезагрузиться. После этого "звезда пирата" не появится, а рабочий
столь можно раскрашивать по своему усмотрению.

Всё описанное применимо только к windows xp и на ней же опробовалась,
на других виндах используете на свой страх и риск!

Ответить   yuniks Wed, 11 Jan 2012 19:16:50 +0400 (#2334947)