如何看待所谓“Windows/Office激活工具”

wcg2006

收藏收藏，感谢分享

theking988

这种工具我都是激活后取得数字权限后就马上重新格盘重新安装。再也不用激活工具了。所有杀软都杀他。肯定是有道理的

hoion

川建国代{过}{滤}理人 发表于 2020-11-8 16:57
经测试判定为潜在危险工具
于①号工具工作机理相似，只不过①号工具为远程搭建KMS激活脚本，这个“Win10 ...

谢谢.

川建国代理人

gshwlj 发表于 2020-11-8 22:32
大神，请测测这个。。。
见附件........

您好，经过测试得出结论为可疑程序
其释放了三个文件      cdb4ee2aea69cc6a_'       `.txt 和 D39D.bat（标点符号未作变动）
路径分别为C:\Windows\Temp\'   C:\Windows\Temp\`.txt   和C:\Users\vbccsb\AppData\Local\Temp\D36D.tmp\D38D.tmp\D39D.bat。
激活动态密钥进程：C:\Windows\system32\cmd.exe /c reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v Desktop
注入进程:C:\Windows\system32\cmd" /c "C:\Users\Administrator\AppData\Local\Temp\7625.tmp\7635.tmp\7636.bat c:\users\admini~1\appdata\local\temp\1.exe"
包含网络行为的进程:C:\Windows\system32\cmd.exe /c "prompt $H&for %B in (1) do rem"
其中包含大量网址：

1. https://forums.mydigitallife.net/forums/51/
   
2. https://forums.mydigitallife.net/members/293479/
   
3. https://forums.mydigitallife.net/members/1108726/
   
4. https://forums.mydigitallife.net/members/1023044/
   
5. https://forums.mydigitallife.net/posts/838023
   
6. https://forums.mydigitallife.net/members/77147/
   
7. https://forums.mydigitallife.net/threads/74769/
   
8. https://forums.mydigitallife.net/posts/1457558/
   
9. https://textuploader.com/1dav8
   
10. http://forums.mydigitallife.net/posts/838114
    
11. https://forums.mydigitallife.net/posts/838808/
    
12. https://forums.mydigitallife.net/posts/1259604/
    
13. https://forums.mydigitallife.net/posts/1475544/
    
14. https://pastebin.com/cpdmr6HZ
    
15. https://sourceforge.net/projects/mingw-w64/files/x86_64-8.1.0-release-win32-sjlj-rt_v6-rev0.7z
    
16. https://forums.mydigitallife.net/posts/1125229/
    
17. https://github.com/abbodi1406/KMS_VL_ALL_AIO
    
18. https://technet.microsoft.com/en-us/library/ff793426(v=ws.10).aspx
    
19. https://forums.mydigitallife.net/members/325887/
    
20. https://forums.mydigitallife.net/posts/862774
    
21. https://forums.mydigitallife.net/threads/41010/
    
22. https://forums.mydigitallife.net/members/2574/
    
23. https://forums.mydigitallife.net/members/80361/
    
24. https://sourceforge.net/projects/mingw-w64/files/i686-8.1.0-release-win32-sjlj-rt_v6-rev0.7z
    
25. https://forums.mydigitallife.net/posts/1476097/
    
26. https://github.com/AveYo/Compressed2TXT
    
27. https://forums.mydigitallife.net/threads/67038/
    
28. https://forums.mydigitallife.net/posts/856978
    
29. https://forums.mydigitallife.net/threads/50234/
    
30. https://forums.mydigitallife.net/posts/1343297/
    
31. https://support.microsoft.com/en-us/help/4487266
    
32. https://forums.mydigitallife.net/posts/1296482/
    
33. https://forums.mydigitallife.net/posts/1553139/
    
34. https://forums.mydigitallife.net/posts/1150042/
    
35. https://stackoverflow.com/a/13351373
    
36. https://technet.microsoft.com/en-us/library/ee939272(v=ws.10).aspx
    
37. https://forums.mydigitallife.net/posts/839363
    
38. https://stackoverflow.com/a/10407642
    
39. https://forums.mydigitallife.net/posts/1508167/
    
40. https://forums.mydigitallife.net/threads/50949/
    
41. https://forums.mydigitallife.net/members/58504/
    
42. https://forums.mydigitallife.net/posts/1462101/
    
43. https://support.microsoft.com/en-us/help/2736303
    
44. https://support.microsoft.com/en-us/help/942962
    
45. https://forums.mydigitallife.net/posts/1466365/
    
46. https://forums.mydigitallife.net/members/104688/
    
47. https://forums.mydigitallife.net/members/846864/
    
48. https://forums.mydigitallife.net/posts/860489
    
49. https://forums.mydigitallife.net/members/120394/
    
50. https://app.box.com/s/mztbabp2n21vvjmk57cl1puel0t088bs
    
51. https://forums.mydigitallife.net/posts/309737/
    
52. https://forums.mydigitallife.net/threads/78950/
    
53. https://forums.mydigitallife.net/posts/1448556/
    
54. https://forums.mydigitallife.net/members/presto1234.647219/
    
55. https://forums.mydigitallife.net/posts/838505

复制代码

推测作用为四个：
连接指定站点
打开HTTP连接
打开HTTP请求
按名称获取主机地址

与激活相关的进程九个：
检测自身是否被调试
创建互斥体
创建事件对象
样本控制台输出内容
打开事件
调用Sleep函数
隐藏指定窗口
打开互斥体
查找指定窗口


转换为exe后

综合多次线程注入、释放不明文件和夹带大量链接及导出SGML文档，ISO-8859文本，带有CRLF行终止符的行为，判定为可疑文件。

huang1111

KMS激活本身T=180D，所以一些KMS工具会自动帮用户注册服务，180天帮你重新激活一下，这时候一些外连IP是操作必须的，至于IP归属地，KMS工具基本都是国外大神搞的，国内只是汉化（或者加料），所以归属地非国内也很正常。
至于关闭杀软，这个不是判断理由，基本上主流KMS工具即使没有任何异常操作也会被杀软杀，或者在运行中被拦下来，不科学且不严谨
至于开头的智量扫描，不想多说啥了，为了提高查杀率采用先入库后分析（太大不分析）的原则做杀软，这根本只是为了成绩单纯的好看，没有任何意义

huang1111

仅分析五号工具外联：
www.download.windowsupdate.com
采用国内CDN，CNAME到wu-fg-shim.trafficmanager.net（微软Azure）
访问后跳转http://www.update.microsoft.com/再跳转到https://support.microsoft.com/
请问？问题在哪里？

hoion

川建国代理人 发表于 2020-11-8 18:58
您好，这种构建在远程端的许可证完全没有问题，若检查C盘无任何KMS释放的贴中的不明文件，即视为安全，若 ...

格式化硬碟.再重新安装系统后（不须要用激活软件已经激活了）但是也有很多XrML数字许可证文件.
请教要如何做才没有XrML数字许可证文件.（已经激活过了如何可以再使用永久激活工具）谢谢.

川建国代理人

huang1111 发表于 2020-11-10 22:24
仅分析五号工具外联：
www.download.windowsupdate.com
采用国内CDN，CNAME到wu-fg-shim.trafficmanager. ...

编辑了

sunlight111

正需要，多谢楼主

有孔虫2010

小马激活，那么危险？