如何看待所谓“Windows/Office激活工具”

hoion

川建国代理人 发表于 2020-11-8 18:58
您好，这种构建在远程端的许可证完全没有问题，若检查C盘无任何KMS释放的贴中的不明文件，即视为安全，若 ...

检查C盘无任何KMS释放的贴中的不明文件，是否图片中的（XrML数字许可证图片）谢谢.

liuhanq

感谢楼主的评测

wuerwa

感谢评测，辛苦辛苦，很好的文章，学习收藏了

flamesky80

就下面这个评判，请教一下：

5        KMSAuto Lite Portable        win激活/office激活        较安全级别
7        KMS pico        win激活/office激活        较危险级别

其中5号软件的详细测试是

⑤号工具:
产生的多个进程：

• "wmic.exe" path OfficeSoftwareProtectionProduct where (Name LIKE 'Office%%' And PartialProductKey is Not NULL) get Name, Description, ID, PartialProductKey, LicenseStatus, KeyManagementServiceMachine, KeyManagementServicePort, VLRenewalInterval, VLActivationIn
• "C:\Windows\System32\cmd.exe"  /c  copy C:\Windows\system32\Tasks\KMSAuto "C:\Users\ADMINI~1\AppData\Local\Temp\KMSAuto.tmp" /Y
• "wmic.exe" path OfficeSoftwareProtectionProduct where (Name LIKE 'Office%%' And PartialProductKey is Not NULL) get Name, Description /FORMAT:List
• "wmic.exe" path Win32_NetworkAdapter get ServiceName /value /FORMAT:List
• "wmic.exe" path SoftwareLicensingProduct where (Name LIKE 'Office%%' And PartialProductKey is Not NULL) get Name, Description /FORMAT:List
• "wmic.exe" path SoftwareLicensingProduct where (Name LIKE 'Office%%' And PartialProductKey is Not NULL) get Name, Description, ID, PartialProductKey, LicenseStatus, KeyManagementServiceMachine, KeyManagementServicePort, VLRenewalInterval, VLActivationInterval,
  

[color=rgb(51, 102, 153) !important]复制代码
分配了可读，可写，可执行的内存空间，恢复了一个远程进程中一个挂起的线程，表明远程注入，
其中包含的部分网页：

• http://crl.usertrust.com/UTN-USERFirst-Object.crl05
• http://schemas.microsoft.com/SMI/2005/WindowsSettings
• http://forum.ru-board.com/topic.cgi?forum=2
• http://ocsp.usertrust.com0
• http://www.usertrust.com1
  

有远端注入。

而7号软件的详细测试是

⑦号工具：
可发现与KMSAuto Lite Portable相似其释放的文件

• _setup.tmp
• 
  

[color=rgb(51, 102, 153) !important]复制代码
为获得微软激活码数据库的配置文件

• _setup.tmp
• idp.dll
• _shfoldr.dll
• is-UJL6E.tmp
• is-4CVLV.tmp
• KMSpico-setup.tmp
• is-JDHF8.tmp
• _setup64.tmp
• _setup64.tmp
• 
  

[color=rgb(51, 102, 153) !important]复制代码
为生成的针对不同机型的激活配置文件，位于C盘生成的文件夹中

• setup log 2020-10-17 #001.txt
  

[color=rgb(51, 102, 153) !important]复制代码
为每周期激活的日志文件
同样通过开机自启动实施激活

• "schtasks.exe" /Create /F /SC WEEKLY /D WED,SUN /ST 12:00 /RL HIGHEST /TN "Optimize Thumbnail Cache" /TR ""C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\isupdate.exe"
• cmdline
• "schtasks.exe" /Create /F /SC ONLOGON /RL HIGHEST /TN "KMSpico Automatic Update Scheduler" /TR ""C:\Program Files\KMSpico\KMSUPD.exe"
  

[color=rgb(51, 102, 153) !important]复制代码
此文件为激活密钥接入点

• %HOMEPATH%\AppData\Local\Temp\is-43O7F.tmp\idp.dll
• %HOMEPATH%\AppData\Local\Temp\is-FO10K.tmp\idp.dll
• %HOMEPATH%\AppData\Local\Temp\is-SN6OJ.tmp\_isetup\_shfoldr.dll
• %HOMEPATH%\AppData\Local\Temp\is-43O7F.tmp\idp.dll
• %HOMEPATH%\AppData\Local\Temp\is-FO10K.tmp\idp.dll
  

那么，为什么5号反而会比7号安全呢？

川建国代理人

flamesky80 发表于 2020-11-15 14:39
就下面这个评判，请教一下：

因为⑤号工具的进程均与激活相关，属于激活配置及引导项进程
网站除了4.5未作记录外都未报毒
https://www.virustotal.com/gui/u ... 8e99c3a58/detection
https://www.virustotal.com/gui/u ... 878166fdb/detection
https://www.virustotal.com/gui/u ... 9ed88288a/detection
表明无挂马等恶意行为
⑦号工具除了修改注册表项及开机启动项，还释放了部分功能未知的隐藏衍生物并产生进程，调用或修改了系统多个位置，判断其行为高于激活，属于可疑行为。

flamesky80

川建国代{过}{滤}理人 发表于 2020-11-15 14:57
因为⑤号工具的进程均与激活相关，属于激活配置及引导项进程
网站除了4.5未作记录外都未报毒
https://w ...

非常感谢耐心回复，也就是说

其中包含的部分网页：

• http://crl.usertrust.com/UTN-USERFirst-Object.crl05
• http://schemas.microsoft.com/SMI/2005/WindowsSettings
• http://forum.ru-board.com/topic.cgi?forum=2
• http://ocsp.usertrust.com0
• http://www.usertrust.com1
  

这些远程网址即使以后有其他问题，例如被挂载木马或者广告行为，也不会影响5号软件和所激活的操作系统或者office咯？

川建国代理人

flamesky80 发表于 2020-11-15 14:59
非常感谢耐心回复，也就是说
这些远程网址即使以后有其他问题，例如被挂载木马或者广告行为，也不会影响 ...

如果这些网站存在问题，将会重新评估安全性，若为自启动或诱导用户启动来谋取商业价值等非法用途，较严重的将会被列为潜在危险激活工具，而此工具并没有

flamesky80

川建国代理人 发表于 2020-11-15 15:05
如果这些网站存在问题，将会重新评估安全性，若为自启动或诱导用户启动来谋取商业价值等非法用途，较严重 ...

再次感谢耐心回复。

我这样的小白就怕这些网站不一定什么时候会发生变故，或者有dns劫持导致没有指向真正无问题的网址。
而各位高手不一定有空，时时刻刻像这个帖子这样，随时发布一些安全/危险的信息。

如果有一个没有远端控制风险的纯本地操作的软件就好了

flamesky80

川建国代理人 发表于 2020-11-15 15:05
如果这些网站存在问题，将会重新评估安全性，若为自启动或诱导用户启动来谋取商业价值等非法用途，较严重 ...

95楼提到的：
不如添加“KMS_VL_ALL_AIO-39”
https://github.com/abbodi1406/KMS_VL_ALL_AIO/releases

还有129楼提到的：
国内大部分的kms都是用的KMS_VL_ALL吧，https://github.com/kkkgo/KMS_VL_ALL，感觉开源的不会有太大问题

不知道这些git上公开发布的，是不是会安全一些？

川建国代理人

flamesky80 发表于 2020-11-15 15:41
95楼提到的：
不如添加“KMS_VL_ALL_AIO-39”
https://github.com/abbodi1406/KMS_VL_ALL_AIO/releases ...

是的，如果有较多信任程度，较多人使用且行为无异常，公开源码，无修改加料，是完全可以信任激活程序的。
重申一点，一楼8款工具是我从百度上随机找来的，故可能存在一些隐患