加载中…
个人资料
甲骨文
甲骨文
  • 博客等级:
  • 博客积分:0
  • 博客访问:139,101
  • 关注人气:26
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

window7全版本激活大法

(2009-11-23 22:02:25)
标签:

windows7

杂谈

好长时间没有来我的博客了,最近比较忙,忙于对现有的精简系统优化,使其更好,已有成果啦。不久即将发布。还有花了一些时间研究了windows7的激活方法,把自己的理解贡献出来,方便大家运用哟。

现在网上的windows7激活方法居多,我大体把他们分成四类:

一、就是loader法,就是加载品牌机的slic2.1到内存中,导入相应的证书和cdkey,就可以变成OEM的系统了,自动就被激活。(win7loader激活,就是这种方法)

二、删除WGA法,就是删除系统的激活功能,让它永远不提示激活信息,并且绕过微软的WGA,进行升级。其实和我下面要介绍的有点相似,但是不同的(典型的工具是removeWAT),电脑没有激活那一栏了。

三、绕过WGA法,修改系统的文件,或叫打补丁,但电脑显示激活,并绕过微软的WGA升级,这个很好,思路也不错,我向大家力荐。典型的工具是CHEW-WGA0.9.

四、严格意义上不叫激活,就是备份恢复法。就是把已激活的令牌和所用的序列号备份下来,等下次重装系统时,恢复就可以激活了,不知可不可以恢复到别的电脑上。典型工具为TokensRecover。

下面我要详细的来分解和述说这些激活的原理:

 

首先把我收集的激活工具奉献出来:

activationkiller.rar(http://www.brsbox.com/filebox/down/fc/1b9d6e1ed0eb2e1c41139308aeb3c692
CW_0.9.zip(http://www.brsbox.com/filebox/down/fc/424078ec2f27297eb2779c88e1769352
DBSLDR_V1.0.97.5.rar(http://www.brsbox.com/filebox/down/fc/07a17a01d0c3ab945a5828fbc3a9427f
Disableactivation.rar(http://www.brsbox.com/filebox/down/fc/f60394ca45a65c2d130dfa025041c75e
kb780190.rar(http://www.brsbox.com/filebox/down/fc/cf244c5382e1a5e6390971644a4a5af2
PCSKYS_V3.27.rar(http://www.brsbox.com/filebox/down/fc/7a26559e734bfdb7cf952304b3dc2dba
http://www.brsbox.com/filebox/down/fc/bc38f7e737efcd122c8ed629f9779123
RemoveWAT.rar(http://www.brsbox.com/filebox/down/fc/3936ed87876428a2b38230a24349b29b
Token Restore.rar(http://www.brsbox.com/filebox/down/fc/3016ecb1d3adfff98be0641963af41fe
ULoader.6.0.0.3.by.Orbit30.rar(http://www.brsbox.com/filebox/down/fc/3016ecb1d3adfff98be0641963af41fe
Vista7 Slic Ldr.rar(http://www.brsbox.com/filebox/down/fc/a03875c96a07adcffaa6100c3accca05
W7L.eXv3.118.rar(http://www.brsbox.com/filebox/down/fc/08a47d426b5b65e834072519bd360542
w7lxe-3010.7z(http://www.brsbox.com/filebox/down/fc/345728c617f186c8b09a17ca6f080253
Windows 7 Activador.rar(http://www.brsbox.com/filebox/down/fc/14668b514211df2f9aba65fd70fc18bf
Windows 7 Loader v1.7.4 repack.zip(http://www.brsbox.com/filebox/down/fc/683400421e2492bcff08f508966410d7
Windows 7 Toolkit 1.8.rar(http://www.brsbox.com/filebox/down/fc/ecb5a404ba9585ebc3562347410e101c

解压密码是:http://blog.sina.com/xhlyuan

先转几篇黑土的分析文章(即所谓的软激活):

 

BIOS之家DBSLDR简单分析
作者:黑土
还是那句话,做人莫装13,装13遭雷劈!
好了,分析开始.
分析目标:
DBSLDR V1.0.96.5
MD5: 18A81FDEAAB401CB3BCABF4D3C5B9B43
PECompact V2.X-> Bitsum Technologies
经分析,实际上是易语言写的.所以很多杀软灰常爱报毒,加之加了一个PECompact的木马常用壳.所以报毒是易之加易.
所以,加壳时注意啊...
其实这个软件也没在太多新意.
和之前分析的那个Win7 loader 的分析 差不多.
区别无非是一个是CMD打包,一个是易语言编译.本质还是一样的.
好,现在就把核心的东西搞出来吧.
0046E9BC    55              push    ebp                              ; 安装按钮事件开始地址
0046E9BD    8BEC            mov     ebp, esp
0046E9BF    81EC 24000000   sub     esp, 24
.........
我只贴关键处开始代码.然后大家自己跟一下就行了.
我这只贴默认核心代码,其它的自行跟踪.
0046EEE6    E8 980D0000     call    0046FC83                         ; 释放安装用bootsect.exe到临时目录
0046EEEB    83C4 1C         add     esp, 1C
0046EEEE    FF35 B005D600   push    dword ptr [D605B0]
0046EEF4    68 FE1F4500     push    00451FFE                         /NT60
eax=001E3008, (ASCII "C:\DOCUME~1\360\LOCALS~1\Temp\25564a.tmp /NT60  C:")

说明一下:
25564a.tmp 实际上是修改过的bootsect.exe
作用是把bootsect中的bootmgr都修改为了esldr,这样写入MBR后,系统会首先寻找esldr,在esldr中运行完acpi后再运行bootmgr启动win7。
完成上面的操作后,再将C:\ntldr文件复制一份命名为C:\boormgr.
-----------------------------------------------------------------------------------
接下来,分析卸载过程.
0046DEAB    55              push    ebp                              ; 卸载过程
0046DEAC    8BEC            mov     ebp, esp
0046DEAE    81EC 20000000   sub     esp, 20
0046DFDE    E8 A01C0000     call    0046FC83                        ; 释放卸载用bootsect.exe到临时目录
0046DFE3    83C4 1C         add     esp, 1C
0046DFE6    FF35 B005D600   push    dword ptr [D605B0]
0046DFEC    68 FE1F4500     push    00451FFE                         /NT60
0012F4D0   001E3200  ASCII "C:\DOCUME~1\360\LOCALS~1\Temp\255649.tmp /NT60  C:"
说明一下:
255649.tmp 实际上是未修改的bootsect.exe,其作用就是还原bootmgr.
嗯.简单分析.
原理其实看批处理比跟踪这个EXE清晰.
感兴趣的就照着这个写一个吧.
关键点如下:
1.修改安装用bootsect.exe,可以自己定义esldr这个名字.再使用上面命令行.详细可以参见Win7 loader 的分析
2.GRLDR部份未将详细分析.
这里有关于证书替换方面的信息.这也是我上文中没有提到的地方.

Win7 loader 的分析
作者:黑土
笔记本一直惨于无法修改BIOS激活,而且今天又惨闻这款型号是闪屏门中的型号,所以心中一直懊悔为什么要买HP的挫机器.
今天X叫兽要装win7,于是把ISO给了,并从网上下载了PCSKYS_Win7_loader_v3.0.
顺便看了一下工作原理,分析如下:
PCSKYS_Win7_loader_v3.0
│  install.cmd                  //安装脚本
│  start.cmd                    //调用安装、卸载、退出脚本
│  uninstall.cmd              //卸载脚本
│  
└─data
bootinst.exe           //修改过的bootsect.exe,共修改34字节.
bootrest.exe          //原版bootsect.exe
grldr                      //用来修改bios内存副本的loader
Lenovo7.xrm-ms    //联想证书
下面,简单分析一下install.cmd中的部分片断:
for %%A in (C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z:) do (
if exist %%A\bootmgr (
if not exist %%A\setup.exe (
echo.
echo Installing to drive %%A
echo.
if exist %%A\menu.lst attrib %%A\menu.lst -h -r -s
if exist %%A\menu.lst ren %%A\menu.lst menu_lst.bak
if exist %%A\grldr attrib %%A\grldr -h -r -s
copy data\grldr %%A\grldr                           //复制grldr到目标盘符下
attrib %%A\grldr +h +s +r
data\bootinst /nt60 %%A                             //设置系统启动的加载器,实际上是加载grldr.
)
)
)
if exist data\%VLFILE%.xrm-ms cscript %windir%\system32\slmgr.vbs -ilc data\%VLFILE%.xrm-ms  //导入证书
if exist data\%VLFILE%.xrm-ms cscript %windir%\system32\slmgr.vbs -ipk 22TKD-F8XX6-YG69F-9M66D-PMJBM //导入U版序列号
goto end
下面,简单分析一下uninstall.cmd 中的部分片断:
if not exist %windir%\system32\slmgr.vbs goto novista
for %%A in (C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z:) do (
if exist %%A\grldr (
echo.
echo Uninstalling from drive %%A
echo.
attrib %%A\grldr -h -s -r
del %%A\grldr            //删除grldr
data\bootrest /nt60 %%A     //恢复被修改的启动加载器
)
)
goto end
------------------------------------------------------------------------------------------------
Bootsect.exe updates the master boot code for hard disk partitions in order to
switch between BOOTMGR and NTLDR.  You can use this tool to restore the boot
sector on your computer.
最后,我对grldr加载器也不熟悉.不知道其工具原理.
就不分析了.

这篇文章作者不明
这两天研究了一下vista激活程序,有两个问题,请教一下
最近研究了一下vista的破解程序vista loader,有几点疑问,请教一下:
1、这个破解程序是通过软刷BIOS,仿真品牌机BIOS里面的验证信息来实现激活的,只需要运行install.cmd这个批处理即可,这个批处理里面有这么一句很关键的语句:
copy data\vstaldr1 /b + data\%VLFILE%.bin /b + data\vstaldr2 /b %%A\grldr /b
这个命令本身并不难理解,是把三个文件叠加然后保存到系统盘的根目录,名字是grldr。中间的bin文件就是刷bios用的bin文件,也不难理解,关键是前后的两个文件vstaldr1和vstaldr2到底是个啥东西?经过研究,发现这个文件是grub4dos 0.43 2007-03-13的grldr文件,但是被劈开了两半,中间插入了BIOS用的bin文件。因为无法下载到3月13日的grub4dos版本,所以跟临近的3月10日和16日的版本对比了一下,大致相当,但具体改动了啥因为版本不一致也无法看出。但这个合成出来的grldr文件有这么几个特点:
a、开机后不显示通常的grub4DOS的启动菜单,并非是timeout=0的原因,把timeout改为9,也照样不显示启动菜单!虽然不显示启动菜单但却运行了菜单中的内容,不知这个是如何做到的?(注明一下:2.1.2版本是显示菜单的,并且有字符串显示,2.1.3开始就没有菜单显示而且也没有字符串了,这个版本下载在楼下)
b、这个合成的grldr导出的启动菜单如下:
default 0
timeout 0
title Windows Vista
acpi
fallback 1
find --set-root /bootmgr
chainloader /bootmgr
title Windows NT/2000/XP
fallback 2
find --set-root /ntldr
chainloader /ntldr
title Enter Command Line
pause Boot failed! Press any key to enter command line.
commandline
可以看出,启动vista之前首先运行了acpi这个命令,这个是最关键的命令,这个命令实现了BIOS的ACPI表的模拟仿真,骗过了vista操作系统的SLP验证。但这个acpi命令本身应该不是GRUB4DOS自身的命令吧,我在wiki的命令索引里面并没有找到这样一个命令,不知这个命令是如何实现的?
2、分析这个激活程序的时候,先开始一直有个疑问:既没有grldr.mbr又没有grubinst,它是如何实现启动后直接读取grldr的呢?后来发现原来是隐藏在了这个批处理命令中:
data\bootinst /nt60 %%A
这个bootinst文件其实是改装后的bootsect文件,它把bootsect中的bootmgr都修改为了grldr,这样写入MBR后,系统会首先寻找grldr,在grldr中运行完acpi后再运行bootmgr启动vista。
看来,在vista环境下,这个改装后的bootsect文件可以在一定程度上代替grubinst,来实现重写MBR。但不知在安全性和功能上,改装的bootsect跟grubinst有何异同?
搞清楚了上面的启动机理,发现这个激活程序有个很大的但却完全可以避免的问题,那就是占用了grldr这个文件名,而且会受到menu.lst的影响,如果根目录下有个其他的menu.lst文件,那启动后系统就处于未激活状态。在目前越来越多的软件使用了GRUB4DOS的情况下,冲突往往无法避免。既然可以把bootmgr修改为grldr,为何不干脆修改成其他的文件名,顺便把menu.lst也改了,这样不就避免了冲突了吗!!!而且我发现最新版本vista loader同样存在这些问题,目前还没有发现哪个版本使用改名的grldr来进行激活破解!

以上几篇文章提到的附件:http://www.brsbox.com/filebox/down/fc/b65f6f8f8e93c89e83a2fa738a13b1f1

 

WOW不修改MBR软改激活win7的原理
wow这个工具没什么特别之处,至于不修改mbr的道道在于它使用一个dos引导盘引导GRLDR然后引导win7的bootmgr,接着启动windows7的。
首先说说WOW的激活原理:(;后是注释,如果使用这个脚本,请一定要删除)
cd..
for %%X in (C: D: E:) do (                                                              ;查找引动盘
if exist %%X\bootmgr \wow7\bootsectgrldr.exe /nt60 %%X     ;改引导分区,指向grldr,再指向bootmgr引导win7。
)
cd..
exit

menu.lst:
default 0
hiddenmenu
find --set-root /wow7/WOWfloppy_7.0.0_auto_HP.IMG      ;引导模拟HP机的软盘映像。 
map --mem /wow7/WOWfloppy_7.0.0_auto_HP.IMG (fd0)
map --hook
chainloader (fd0)+1
rootnoverify (fd0)

归类为第一类,软改激活,其中的grldr中整合了hp的slic2.1的东东。

 

谈谈chew-wga的激活原理
我分析了0.6以前的版本,0.7以后的版本作者就不让我知道他的秘密了。但我想原理总归相同吧,这是一个删除激活绕WGA的方法,这个很巧妙呀,连微软都承认这个漏洞哟,我比较喜欢这种激活。它可以激活任意版本的win7。故在我的精简版中集成了这个激活工具。
该激活工具对这几个文件打了补丁:
slui.exe.mui
sppcommdlg.dll.mui
systemcpl.dll.mui
user32.dll.mui
据说是防止nags,这个单词我不会翻译,中文叫什么不知道。我想可能是水印吧。
修改了的文件:
slmgr.vbs
winver.exe
这两个软件的修改,纯粹是欺骗操作系统用户的,不管你用什么参数,如-dli、-dlv和-xpr啦,都是激活的提示,不管你的系统是否激活,那怕你的激活栏明明写着未激活。
还有一个关键的文件:
tokens.dat
令牌证书文件,好像和替换激活很相似呀。
想贴出它的批处理文件,即脚本,太长了就不贴了,我分析到这里,大家应该都会玩了吧,补丁附件我会提供的。
最后要对注册表修改一下了:
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\Activation" /v Schedule /f>NUL
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\Activation" /v ActivationInterval /t REG_DWORD /d 00000000 /f>NUL
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\Activation" /v NotificationDisabled /t REG_DWORD /d 00000001 /f>NUL
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SoftwareProtectionPlatform\Plugins\Modules" /f>NUL

 

最重要的在此了,绕WGA:

set HOSTS=%WINDIR%\System32\drivers\etc\hosts

FINDSTR /I "sls.microsoft.com" "%HOSTS%"
IF NOT ERRORLEVEL 1 EXIT
echo. >> %HOSTS%
echo 127.0.0.1 genuine.microsoft.com >> %HOSTS%
echo 127.0.0.1 mpa.one.microsoft.com >> %HOSTS%
echo 127.0.0.1 sa.windows.com >> %HOSTS%
echo 127.0.0.1 se.windows.com >> %HOSTS%
echo 127.0.0.1 ie.search.msn.com >> %HOSTS%
echo 127.0.0.1 wustat.windows.com >> %HOSTS%
echo 127.0.0.1 wutrack.windows.com >> %HOSTS%
echo 127.0.0.1 catalog.microsoft.com >> %HOSTS%
echo 127.0.0.1 sls.microsoft.com >> %HOSTS%
ipconfig -flushdns
exit
到此也就结束了。

 

TimerNuke工具激活Window 7和Server 2008的原理

TimerNuke,运行批处理命令脚本禁用Windows 7和Windows Server 2008的激活过程。 众所周知TimerNuke使得Windows 7&2008激活关闭,其实不会停止激活宽限期的倒计时。相反,它禁用和删除多个服务和一些相关的软件许可文件,以绕过和跳过激活要求。
当执行时TimerNuke是怎么工作的,它停止并改变了sppsvc(软件保护启动类型),sppuinotify(SPP通知服务)和SLUINotify(SL UI通知服务)来禁用服务。然后,TimerNuke获取下列文件的所有权和完全控制权限,然后备份起来,最后删除他们。
%SYSPATH%\SLLUA.exe
%SYSPATH%\sppsvc.exe
%SYSPATH%\SLUI.exe
%SYSPATH%\sppuinotify.dll
%SYSPATH%\SLUINotify.dll
一旦Windows 7或Windows Server 2008用TimerNuke被激活和破解,Windows将停止要求用户激活。在控制面板中的激活状态和产品ID变得不可用或未知。因此,Windows可能永远没有激活,也就永久激活了。

TimerNuke版本1.0.5.0支持32位(x86)和64位(x64)的Windows Server 2008和Windows 7版本。它支持至少到Windows 7 Beta build 7000。然而,如果在操作系统的产品激活模块没有明显改变,它可能支持的破解 windows7最终的RTM版本。

这个方法与像RemoveWAT其他方法的激活器比较不是真正的'工作',但更多的是权宜之计和不稳定的问题解决方法

注意:只是实验,使用由您自行承担风险。

(待续)
 

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有