Et av verktøyene piratene bruker for å unngå piratsjekken i Windows 7.

Annonse


Microsofts piratsjekk avslørt

Et av verktøyene piratene bruker for å unngå piratsjekken i Windows 7.Den nye piratsjekken myntet på Windows 7-pirater er rullet ut til store deler av verden (og ved en feil til noen nordmenn), men hva gjør den egentlig?

Hva gjør piratsjekken under panseret?

Det er ikke mulig uten videre å se hva piratsjekken gjør. Alt skjer automatisk under panseret. ZDnets Ed Bott har ved hjelp av to enkle gratisprogram og litt detektivarbeid funnet ut hva som egentlig skjer når Windows 7 ringer hjem til moderskipet.

To verktøy brukes for å undersøke hva som skjer: Process Monitor og Wireshark. Førstnevnte er en avansert utgave av Task Manager som er å finne i alle Windows-versjoner siden 2000. Wireshark analyserer og snapper opp all nettverkstrafikk.

Dette installerer den

Piratoppdateringen KB971033 ble lastet inn på en rekke maskiner for å verifisere at den gjør det Microsoft hevder den gjør. Og joda, Microsoft har sitt på det tørre. Den gjør som lovet av programvaregiganten, men hva?

Annonse


Først lager KB970133 mappen WAT under WindowsSystem32. I WAT-mappen legges det fire filer:

* WatAdminSvc.exe – Windows Activation Technologies Service
* npWatWeb.dll – Windows Activation Technologies Plugin for Mozilla
* WatWeb.dll – Windows Activation Technologies ActiveX Control
* WatUX.exe – Windows Activation Technologies UX

I tillegg til WAT-mappen og de tilhørende filene lages det nye registeroppføringer: MachineID og GGUID. I Task Scheduler lager oppdateringen to nye automatiseringer som undersøker om maskinen er blitt tuklet med (deaktivering av piratsjekk osv.) og om lisenskoden stemmer.

unauthorized_wat_02_scheduled_tasks

Undersøker systemfiler

Windows 7 kjører også WAT som en egen service. Denne servicen passer hele tiden på at filer som styrer piratsjekken ikke blir tuklet med. Servicen sjekker dette ved å undersøke digitale signaturer.

WAT undersøker også følgende DLL-filer for å passe på at de ikke er endret:

* sppobjs.dll
* sppc.dll
* sppcext.dll
* sppwinob.dll
* slc.dll
* slcext.dll
* sppuinotify.dll
* slui.exe
* sppcomapi.dll
* sppcommdlg.dll
* sppsvc.exe
* spsys.sys
* spldr.sys

Om WAT finner ut at disse filene er endret vil den automatisk prøve å gjenopprette til de originale. Bott prøvde piratverktøyet RemoveWAT (versjon 2.2.5) og ganske riktig. WAT flagget de endrede DLL-filene som uekte.

Slik ringer Windows hjem

For å kunne sende resultatene til Microsoft kobler Windows 7 seg til en HTTPS-sikret nettside. Fra denne nettsiden lastes det ned en signatur-liste som skal matche filene på maskinen din. Om disse ikke matcher stemples Windows 7 som piratvare.

Windows 7 kontakter na.activation.sls.microsoft.com for å laste ned jevnlig oppdaterte signaturfiler. Denne operasjonen tok 13 sekunder på Botts maskin.

Denne informasjonen sendes til Microsoft

Microsoft lover å ikke sende person-informasjon. Følgende blir innhentet og sendt:

* Maskinprodusent og modellnavn
* Windows versjoninformasjon og programvareversjon
* Regionale oppsett og språk
* Et unikt nummer tildelt din maskin (GUID Globally Unique Identifier)
* Produktnøkkel og produkt-ID
* BIOS-navn, revisjonsnummer og revisjonsdato
* Serienummeret til harddisken
* Om en installasjon var velykket om den ble utført
* Resultatet av piratsjekken inkludert feilmeldinger sant informasjon rundt piratverktøy for å unngå piratsjekken

Om undersøkelsen finner at det er piratverktøy installert sender den informasjon omkring piratverktøyet som ble brukt, om piratprogramvaren fortsatt er tilstede eller om det er fjernet og mer konkret informasjon rundt piratverktøyene, blant annet filnavn.

Har man installert den nye piratsjekken er det fullt mulig å avinstallere den igjen. Bott fant at en slik avinstallering fjernet WAT-mappen, ryddet opp i registeret samt fjernet servicen. Med andre ord ser den ut til å fjerne alt.

Kilde:
ZDnet

Annonse


Annonse


Annonse


Annonse