搜索
楼主: 川建国代理人
收起左侧

[技术原创] 如何看待所谓“Windows/Office激活工具”

  [复制链接]
有孔虫2010
发表于 2020-11-12 11:21:31 | 显示全部楼层
小马激活,那么危险?
hoion
发表于 2020-11-12 11:57:18 | 显示全部楼层
川建国代理人 发表于 2020-11-8 18:58
您好,这种构建在远程端的许可证完全没有问题,若检查C盘无任何KMS释放的贴中的不明文件,即视为安全,若 ...

检查C盘无任何KMS释放的贴中的不明文件,是否图片中的(XrML数字许可证图片)谢谢.
liuhanq
发表于 2020-11-12 12:42:27 | 显示全部楼层
感谢楼主的评测
wuerwa
发表于 2020-11-15 10:27:19 | 显示全部楼层
感谢评测,辛苦辛苦,很好的文章,学习收藏了
flamesky80
发表于 2020-11-15 14:39:29 | 显示全部楼层
就下面这个评判,请教一下:
5        KMSAuto Lite Portable        win激活/office激活        较安全级别
7        KMS pico        win激活/office激活        较危险级别


其中5号软件的详细测试是
⑤号工具:
产生的多个进程:

  • "wmic.exe" path OfficeSoftwareProtectionProduct where (Name LIKE 'Office%%' And PartialProductKey is Not NULL) get Name, Description, ID, PartialProductKey, LicenseStatus, KeyManagementServiceMachine, KeyManagementServicePort, VLRenewalInterval, VLActivationIn
  • "C:\Windows\System32\cmd.exe"  /c  copy C:\Windows\system32\Tasks\KMSAuto "C:\Users\ADMINI~1\AppData\Local\Temp\KMSAuto.tmp" /Y
  • "wmic.exe" path OfficeSoftwareProtectionProduct where (Name LIKE 'Office%%' And PartialProductKey is Not NULL) get Name, Description /FORMAT:List
  • "wmic.exe" path Win32_NetworkAdapter get ServiceName /value /FORMAT:List
  • "wmic.exe" path SoftwareLicensingProduct where (Name LIKE 'Office%%' And PartialProductKey is Not NULL) get Name, Description /FORMAT:List
  • "wmic.exe" path SoftwareLicensingProduct where (Name LIKE 'Office%%' And PartialProductKey is Not NULL) get Name, Description, ID, PartialProductKey, LicenseStatus, KeyManagementServiceMachine, KeyManagementServicePort, VLRenewalInterval, VLActivationInterval,

[color=rgb(51, 102, 153) !important]复制代码

分配了可读,可写,可执行的内存空间,恢复了一个远程进程中一个挂起的线程,表明远程注入,
其中包含的部分网页:
  • http://crl.usertrust.com/UTN-USERFirst-Object.crl05
  • http://schemas.microsoft.com/SMI/2005/WindowsSettings
  • http://forum.ru-board.com/topic.cgi?forum=2
  • http://ocsp.usertrust.com0
  • http://www.usertrust.com1


有远端注入。

而7号软件的详细测试是
⑦号工具:
可发现与KMSAuto Lite Portable相似其释放的文件

  • _setup.tmp


[color=rgb(51, 102, 153) !important]复制代码

为获得微软激活码数据库的配置文件

  • _setup.tmp
  • idp.dll
  • _shfoldr.dll
  • is-UJL6E.tmp
  • is-4CVLV.tmp
  • KMSpico-setup.tmp
  • is-JDHF8.tmp
  • _setup64.tmp
  • _setup64.tmp


[color=rgb(51, 102, 153) !important]复制代码

为生成的针对不同机型的激活配置文件,位于C盘生成的文件夹中

  • setup log 2020-10-17 #001.txt

[color=rgb(51, 102, 153) !important]复制代码

为每周期激活的日志文件
同样通过开机自启动实施激活


  • "schtasks.exe" /Create /F /SC WEEKLY /D WED,SUN /ST 12:00 /RL HIGHEST /TN "Optimize Thumbnail Cache" /TR ""C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\isupdate.exe"
  • cmdline
  • "schtasks.exe" /Create /F /SC ONLOGON /RL HIGHEST /TN "KMSpico Automatic Update Scheduler" /TR ""C:\Program Files\KMSpico\KMSUPD.exe"

[color=rgb(51, 102, 153) !important]复制代码

此文件为激活密钥接入点

  • %HOMEPATH%\AppData\Local\Temp\is-43O7F.tmp\idp.dll
  • %HOMEPATH%\AppData\Local\Temp\is-FO10K.tmp\idp.dll
  • %HOMEPATH%\AppData\Local\Temp\is-SN6OJ.tmp\_isetup\_shfoldr.dll
  • %HOMEPATH%\AppData\Local\Temp\is-43O7F.tmp\idp.dll
  • %HOMEPATH%\AppData\Local\Temp\is-FO10K.tmp\idp.dll




那么,为什么5号反而会比7号安全呢?

川建国代理人
 楼主| 发表于 2020-11-15 14:57:16 | 显示全部楼层
flamesky80 发表于 2020-11-15 14:39
就下面这个评判,请教一下:

因为⑤号工具的进程均与激活相关,属于激活配置及引导项进程
网站除了4.5未作记录外都未报毒
https://www.virustotal.com/gui/u ... 8e99c3a58/detection
https://www.virustotal.com/gui/u ... 878166fdb/detection
https://www.virustotal.com/gui/u ... 9ed88288a/detection
表明无挂马等恶意行为
⑦号工具除了修改注册表项及开机启动项,还释放了部分功能未知的隐藏衍生物并产生进程,调用或修改了系统多个位置,判断其行为高于激活,属于可疑行为。
flamesky80
发表于 2020-11-15 14:59:50 | 显示全部楼层
本帖最后由 flamesky80 于 2020-11-15 15:04 编辑
川建国代{过}{滤}理人 发表于 2020-11-15 14:57
因为⑤号工具的进程均与激活相关,属于激活配置及引导项进程
网站除了4.5未作记录外都未报毒
https://w ...

非常感谢耐心回复,也就是说
其中包含的部分网页:
  • http://crl.usertrust.com/UTN-USERFirst-Object.crl05
  • http://schemas.microsoft.com/SMI/2005/WindowsSettings
  • http://forum.ru-board.com/topic.cgi?forum=2
  • http://ocsp.usertrust.com0
  • http://www.usertrust.com1

这些远程网址即使以后有其他问题,例如被挂载木马或者广告行为,也不会影响5号软件和所激活的操作系统或者office咯?
川建国代理人
 楼主| 发表于 2020-11-15 15:05:08 | 显示全部楼层
flamesky80 发表于 2020-11-15 14:59
非常感谢耐心回复,也就是说
这些远程网址即使以后有其他问题,例如被挂载木马或者广告行为,也不会影响 ...

如果这些网站存在问题,将会重新评估安全性,若为自启动或诱导用户启动来谋取商业价值等非法用途,较严重的将会被列为潜在危险激活工具,而此工具并没有
flamesky80
发表于 2020-11-15 15:14:12 | 显示全部楼层
川建国代理人 发表于 2020-11-15 15:05
如果这些网站存在问题,将会重新评估安全性,若为自启动或诱导用户启动来谋取商业价值等非法用途,较严重 ...

再次感谢耐心回复。

我这样的小白就怕这些网站不一定什么时候会发生变故,或者有dns劫持导致没有指向真正无问题的网址。
而各位高手不一定有空,时时刻刻像这个帖子这样,随时发布一些安全/危险的信息。

如果有一个没有远端控制风险的纯本地操作的软件就好了

flamesky80
发表于 2020-11-15 15:41:02 | 显示全部楼层
川建国代理人 发表于 2020-11-15 15:05
如果这些网站存在问题,将会重新评估安全性,若为自启动或诱导用户启动来谋取商业价值等非法用途,较严重 ...

95楼提到的:
不如添加“KMS_VL_ALL_AIO-39”
https://github.com/abbodi1406/KMS_VL_ALL_AIO/releases

还有129楼提到的:
国内大部分的kms都是用的KMS_VL_ALL吧,https://github.com/kkkgo/KMS_VL_ALL,感觉开源的不会有太大问题

不知道这些git上公开发布的,是不是会安全一些?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2021-3-8 02:33 , Processed in 0.099096 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表