聲明:本文章中的內容及圖片來均源于互聯網,其中演示的技術細節僅用于試驗環境的技術研究以及漏洞的驗證。文章內容不涉及任何有版權的內容,僅供技術交流研究之用。
“人們正在用錘子猛砸視窗Vista”。
全球最大的黑客組織Defcon的發起人杰弗·莫斯的這番話耐人尋味。在美國西雅圖市郊的雷德蒙,在微軟寬大園區之中22號樓的一間無窗的會議室里,每天,Windows的開發人員都聚集在這里解決漏洞問題。2007年1月30日,Vista零售版正式發布,與微軟以及伙伴的群情亢奮不同的是,盜版商們卻早已虎視眈眈、蠢蠢欲動。就在Vista發布的一周之后,兩位華人工程師Aeno與BinBin對外正式公布,他們已經通過修改主板BIOS,使得系統獲得與品牌電腦OEM正版授權完全一樣的免激活效果,Vista再度告破。對此微軟沒有發表評論。
就在破解消息從論壇中散播出之后,在短短的一個月之內,網絡上關于利用修改BIOS而破解Vista系統的資料早已鋪天蓋地,當然也有很多網友在論壇上發帖炫耀著他們所謂的戰績。微軟產品激活部門負責人Allen Nieman坦誠,“任何產品保護技術都會最終被破,這只是時間問題”。是誰膽敢在微軟視窗下破“窗”而入?滿身“防盜網”的Vista為何再遭破解?為了讓破解真相盡快浮出水面,以及證實所存在漏洞的消息的真實性,我們展開了為期半個月的調查與深入思考。
一個微軟所“承認”的盜版Vista誕生
自從微軟在Windows XP中開始引入產品激活保護之后,各國技術人員便開始以攻克微軟的激活保護為榮。微軟新一代的桌面操作系統Windows Vista面世之后,各種破解激活保護的方法更是層出不窮。先是用于批量激活的非法KMS 服務器遍布網絡,然后是俄羅斯方式的時間停止法等等。
利用修改BIOS的方法激活后的盜版,之所以說這是微軟所承認的盜版Vista,原因在于成功激活后的盜版的系統也一樣可以在微軟的官方網站上通過正版認證。這是微軟官方網站上所承認的“正版”。
利用BIOS破解操作系統已經不是第一次。早在2005年的WindowsXP時代,網絡上便一再流傳通過Aawrd DMI Configuration Utility工具,在BIOS中加入OEM廠商信息,可免費激活OEM版本的Windows XP系統。轉入2007年,修改BIOS的方法,OEM版本VISTA認證信息被成功偽造在非原生支持SLIC段的BIOS里,再次使得大打安全牌的Vista系統陷入尷尬的境況。一位已經修改成功的網友向泡泡網透露:“前提是要改好BIOS。有MSDN版本Vista,使用ASUS CD KEY安裝后導入證書就能免激活,而且還可以得到微軟的認證。”
破解Vista激活機制三大方法
全世界的黑客們,都希望找到這個被開發者稱為“史上最安全”的操作系統軟件的“命門”,為此大家前仆后繼。目前,網絡上已經透露出三種破解Vista激活機制的方法:
1、時間停止法
原理:TimeStop(時間停止)法,首先更改系統時間為2099年12月31日(vista支持的最后時間),破解完后更改為當前時間,通過停止Vista中的計數器以達到強行凍結Vista驗證時間的目的,最終系統激活時間定格在30天。黑客組織已經在網絡上提供傻瓜激活程序下載,最新的2.0版可以激活64位操作系統。
缺陷:不享有自動更新以及微軟其它服務,一旦把機器設置為自動更新,TimeStop失效,甚至可能導致系統癱瘓。
2、KMS激活法
原理:此方法主要針對激活Windows Vista Enterprise(企業版)。為了防止在XP時代的免激活企業版的散播,Vista要求集體用戶必須激活每一個副本的操作系統。通過與KMS(Key Management Service,密鑰管理服務)服務器連接,用戶可在電腦上激活Vista系統,而破解者們,正是利用VMware Workstation 5.5.3這樣一個虛擬機軟件,使用VMware鏡像和VBS腳本復制一個本地KMS,使得可以繞過微軟企業版Vista系統的反盜版機制成功激活Vista系統。
缺陷:Home和Ultimate版不能接受KMS密鑰,僅能在 Business(商業版)或Enterprise(企業版)下使用;必須每6個月重新啟動KMS服務器激活一次。
3、OEM激活法
原理:利用的是微軟OEM中用于輔助激活的SLP(System-Locked Preinstallation)技術的漏洞(不感興趣的可以無視),通過修改BIOS中的信息再配合導入的正版OEM證書文件來獲得永久性的激活以及正版認證。危險系數最高,但破解后能得到與Vista正版相同的升級服務。
缺陷:可能導致主板損壞或者功能缺失的危險。
針對第一、第二種方法,微軟早在去年12月便發布了名為Windows Vista Validation Update KB929391的升級補丁,然而就在補丁發布后的3小時內,該方法再次告破!目前,OEM激活法可謂最為火熱,因為成功率最高以及破解成功后可以真正實現原版功能。對于現在各大論壇中討論得最為火熱的OEM激活法,網絡上的提供的“招數”以及“服務”更是空前。
再遭黑客戲弄 網上爽爆“一站式”服務
與微軟在各大電腦賣場中熱鬧非凡的Vista活動相同,在各大論壇中關于利用BIOS破解激活Vista信息的討論也早已是熱火朝天。從教程到已經修改好的BIOS下載,從視頻解說甚至到“一站式”免費帶改服務,對于破解Vista系統甚至已經到了空前的地步。
◎ 奇事一:別人改好,你下載就成
◎ 奇事一:網絡驚現免費修改教程
◎ 奇事二:你不會改,網友竟免費服務
據調查后了解,目前在網上只發現ASUS的三樣齊全:各版本KEY、acpislic.bin、oemcert。聯想的OEM缺acpislic.bin,除HP版KEY外無其它KEY,而其它個別品牌只有HPKEY,連oemcert都沒有。與破解修改Award BIOS相比,AMI的BIOS顯得更為困難一些。
為何普通DIY兼容機無法成功激活OEM版Vista?
因為DIY兼容機在BIOS中缺少ACPI_SLIC表,無法滿足SLP 2.0驗證。一切的問題,在于BIOS。目前,最重要的過程便是在BIOS中添加SLP 2.0支持,在無BIOS源碼的情況下,添加一個包含SLP證書公鑰和SLP標志的ACPI_SLIC表到BIOS中。目前,僅能通過替換現有的、功能較小的ACPI表來實現與OEM版本BIOS的吻合,而要實現動態修改添加尚存在一定的難度。使用靜態替換法,可能導致的問題便是在更新完BIOS后,無法再更改內容的容量。
國內某私人FTP上提供的破解資源下載,甚至超過了破解XP的勢頭
普通版本的BIOS和OEM版本的BIOS有何區別呢?
經過研究發現,OEM版本中的BIOS多出SLP證書公鑰和SLP標志,它們均存儲在OEM硬件內,寫入在BIOS的ACPI_SLIC表中,而這些是非OEM版本BIOS所不具備的。
在玩家對Vista存在的漏洞驗證過程中,通過使用MMTOOL分離BIOS文件,發現OEM版BIOS中包含534c4943 (十六進制)字段,這些正是SLIC表格標記。它們一般都可以加入slp20pubkey和slp20marker兩個模塊338字節地址空間。如果滿足大于338字節空余空間及SLIC表格標記,便是OEM版本的BIOS。SLIC(System Liscensed Internal Code)翻譯成中文就是預安裝系統許可內部固有代碼。
Vista如何被破解激活?簡單三步走
看完一大堆的圖片資料以及網友破解成功后的截圖,那么Vista是如何被成功破解且被成功激活的呢?下面我們用簡單的幾個步驟來演示第三方技術人員破解的整個過程。
第一步:改寫BIOS,符合OEM信息需求
Vista會根據BIOS中是否包含OEMID字串和OEMTableID字串,以此確定是否通過SLP驗證,SLP驗證失敗,則要求進行產品激活。ACPI SLIC表信息為374字節,前36字節為表頭,后338字節為OEM版本需要認證的信息。只要滿足BIOS中有SLIC表、RSDT表這兩項且修改正確,那么此時的BIOS一般就可以認為是修改成功的。
·更改主BIOS模塊
·更改ACPI表
改寫完BIOS后,在DOS下刷新更改后的BIOS文件。有些主板的BIOS在刷新為修改版本的BIOS后,會出現設置BIOS后無法保存的現象,可以進入利用系統下刷新BIOS程序刷新原版BIOS。通過修改BIOS后,通過替換OEM授權證書以及OEM KEY的方法激活Vista系統。
第二步:更改系統為OEM序列號和OEM證書
Windows Vista OEM版本認證機制概述:與Windows XP中只對DMI信息做認證不同的是微軟在Windows Vista系統內部署了更為嚴密的認證機制。在啟動過程中首先認證安裝序列號,隨后通過OEM廠商自己的證書文件對BIOS里的公鑰及標識文件分別進行驗證,如果驗證通過版本及被識別為免激活OEM版本。
一位成功修改后的網友,這樣說到“接下來的安裝過程就和普通的Vista安裝完全一樣了。在輸入序列號的時候不要輸入,然后選擇HOME PREMIUM版本,安裝就是免激活的。”
第三步:重啟計算機,成功激活Vista!
重啟機器進入vista,鼠標右鍵點桌面上的 計算機-屬性,會出現windows已激活字樣,說明修改成功。同時,可以通過運行slmgr.vbs -dlv和slmgr.vbs -xpr命令查看Vista狀態。
這樣的方法,成功破解Vista后的幾率是多少呢?據一份來自國內某Vista論壇的投票統計的結果,有38%的用戶已經通過該方法成功修改并激活Vista系統,有14%的用戶成功修改后卻無法激活,而存在著20.3%的用戶因修改BIOS失敗后,主板返修送回工廠。
2001年6月29日,微軟第一次對Windows系統詳細闡述了“激活”的概念,然而正是從那時起,破解組織們的動作變得更為瘋狂。已經被破解的Vista系統,是什么樣的漏洞使得破解有機可乘,微軟在此次Vista系統中,在防盜版機制上又做了哪些改進呢?
為防止盜版,微軟針對Vista做了些什么?
在官方白皮書微軟這樣談到激活程序存在的意義,“Microsoft 產品激活是一項可以檢驗軟件產品是否得到合理許可的反盜版技術。其目的是為了減少因為不經意的拷貝而導致的盜版。激活也有助于保護硬盤,避免被復制。激活是快捷、簡單而且不引人注意的,它可以保護您的隱私。”
在這樣的防盜版機制收效甚微的教訓之后,微軟在新一代軟件 Windows Vista中制定了更嚴格的激活條件:
1、加強了零售產品密鑰的激活驗證;
2、批量授權不再是完全免激活,而是授權大客戶使用激活服務器,眾多計算機連接到這個服務器進行激活,且定期進行重新激活。
微軟在關于OEM激活許可證原理中談到,OEM版本系統無需激活操作,OEM激活僅可用于特許OEM。對于已激活的密鑰管理服務 (KMS) 客戶端,其重置激活的次數沒有限制。對于未激活的KMS 客戶端,最多只能對激活時鐘進行三次重置,與使用單一許可證的情況相同。
·在XP/2003系統,OEM采用SLP1.0的驗證機制:
具體表現為:
1、OEM廠商的出廠機器BIOS里含有該品牌的字符串(STRING)
2、操作系統里含有對應該品牌的OEMBIOS.*文件
3、安裝序列號為對應該品牌的OEM KEY
如果上述3個條件具備,則XP/2003系統可以免激活,否則,等同于零售版,必須在30天內激活(比如用COA的KEY激活XP/2003)
·在VISTA系統,OEM采用SLP2.0的驗證機制:
具體表現為:
1、OEM廠商的出廠機器BIOS里含有該品牌的OEM授權證書的數字簽名
2、OEM廠商的出廠機器BIOS里含有該品牌的OEM KEY的數字簽名
3、操作系統里含有對應該品牌的OEM授權證書
4、安裝序列號為對應授權證書版本的OEM KEY
如果上述4個條件具備,則VISTA OEM系統為免激活,否則,等同于零售版,必須在30天內激活(比如用COA的KEY激活VISTA)
什么是SLP?
SLP(System Lock Preinstall)的中文翻譯為“預安裝系統的激活保護措施”。它是微軟與OEM廠商之間的一種協議,SLP是為了最大限度地保證OEM廠商的利益而又能避免盜版的泛濫。
微軟從Windows XP 開始引入了SLP(System-Locked Preinstallation)技術, 用于OEM產品的輔助激活。SLP僅用于OEM產品,不會在零售版或批量授權產品中出現。Windows XP采用的是SLP 1.0版,其原理是檢測BIOS中是否存在由OEM硬件廠家設置的特定SLP字串,如果有,則認為軟件為OEM合法授權,成為激活狀態;否則,則要求用戶輸入OEM硬件附帶的COA號碼,并通過網絡或電話激活軟件。由于原理簡單,很快被熟悉BIOS原理及相關軟件操作的人破解,隨意在非OEM硬件-DIY的兼容機上實現了一樣的效果。普遍流行的做法是使用DMI編輯軟件,在BIOS的DMI數據區加入SLP字串,使Windows XP認為OEM授權合法,成為激活狀態。
微軟規定,能夠成功激活的OEM版本Vista,必須經由原始設備制造商 (OEM) 通路的計算機必須在其系統BIOS內ACPI_SLIC表格中有一個有效的Windows 標記。Windows標記的出現對于計劃使用Windows Vista大量授權媒體來重新映象、或透過大量授權合約提供的重新映象權限來升級OEM 的大量授權客戶非常重要。
既然SLP是此次認證的關鍵,那么SLP的漏洞在什么地方呢?這是我們下面所要討論的。
如何通過欺騙SLP 2.0技術驗證成功激活系統
SLP 2.0技術的驗證具體過程如下:
1. 如果檢測到SLP產品密鑰(SLP與用的CD-KEY),SLP驗證過程啟動。
2. Windows確認其包含(導入)的OEM證書是微軟簽名的。如果檢測到OEM證書,則SLP驗證繼續迚行。如果未檢測到OEM證書,則SLP驗證失敗,要求迚行產品激活。
3. OEM證書將同ACPI_SLIC BIOS表中的OEM公鑰做比較。如果OEM證書和BIOS中的OEM公鑰匹配,則SLP驗證過程繼續迚行。如果OEM證書和BIOS中的OEM公鑰丌匹配,則SLP驗證失敗,要求迚行產品激活。
4. ACPI_SLIC BIOS表中也包含SLP標志。通過OEM公鑰驗證SLP標志,如通過,SLP驗證過程繼續。否則,SLP驗證失敗,要求迚行產品激活。
5. SLP標志中包括OEMID字串和OEMTableID字串,與ACPI_RSDT和ACPI_XSDT的OEMID和OEMTableID比較,若其中之一不SLP標志中的字串完全相符,則SLP驗證通過。否則,SLP驗證失敗,要求迚行產品激活。
SLP 2.0技術的漏洞在哪里?
通過上面的認證信息,你可以了解到,目前Vista系統是依靠系統中存在的OEM證書與OEM公鑰與BIOS中存在的信息進行對比。只要兩者信息相同,系統便認為所使用的硬件為合法的OEM硬件,以此激活系統。那么目前兼容機內,只要偽造運行系統上與BIOS中的相互驗證關系,欺騙SLP 2.0驗證,盜版系統便可能被系統認為是OEM的正式版,最終達到成功激活的目的。目前,Phoenix BIOS和Phoenix-Award BIOS均已宣告正式破解。
修改原始BIOS里的ACPI表名索引,讓原來沒有SLIC表的BIOS變成有叫“SLIC”的這個表(所以“支持VISTA的BIOS”就不用這步,因為BIOS已經有SLIC表了)。只有表名當然不行,還要添加相應的SLIC內容,所以用CBROM分離出BIOS中的ACPI數據區,也就是acpitbl.bin。把數據區里的RSDT表OEMID和OEMTableID字段修改成OEM廠商的SLP標志,然后在這個數據區的尾部添加OEM廠商的SLP證書公鑰,添加完后再把ACPI數據區并回到BIOS里就算是完成了。使得修改兼容機BIOS中的ACPI_RDST和ACPI_XSDT的OEMID和OEMTableID,與SLP標志中的字串相符。
最后,我們進行了嘗試性的測試,以驗證SLP 2.0技術漏洞的存在。
漏洞驗證平臺
在驗證漏洞是否存在,我們選用了華碩P5B Deluxe主板搭建平臺,主板BIOS為1004版。
SLP 2.0技術漏洞驗證
第一步:刷新BIOS
第二步:更改系統為OEM序列號和OEM證書
激活成功!驗證漏洞存在
通過微軟官方驗證,無限升級
對于漏洞的存在,在我們經過一系列的驗證成功后,對此頗感驚訝。這也許才是Vista“補丁之路”的開始。
對于此驗證所存在的漏洞,直至發稿時為止,微軟依然沒有對這個破解方式采取任何措施的行動。但早前據微軟公司正版軟件驗證技術部門工程師Anderson透露,OEM 破解方式將在今年下半年發布的Windows Vista SP1 時得到阻止。屆時Windows Vista SP1將會集成對Windows Vista產品密匙的驗證程序。所有廠商的Windows Vista OEM 版本通用安裝的Key將會失效,Windows Vista 隨機版用戶都必須用唯一能驗證正版身份的COA密匙通過驗證才能升級到Windows Vista SP1。而通過破解方式的盜版用戶將會因為沒有合法的安裝密匙而會被阻止升級到 Windows Vista SP1。
“出來混,總是要還的”,親歷盜版后的危機
“出來混,總是要還的”,電影《無間道》的這句臺詞頗有一點江湖的味道。在破解軟件大行其道的今天,在美麗的“成功激活”的掩護下,在破解后的系統中也出現了種種問題。
在修改方案公布后,我們也收到了網友眾多的回饋信息,其中不乏抱怨之詞,例如超線程CPU與多核CPU無法正常工作,許多聲卡、網卡不能正常工作,無法超頻,退出游戲后造成藍屏等等,更為嚴重的是,刷新修改失敗的BIOS后返廠維修。“這么多人送修,看來自己還算幸運的。很多人刷掛了,要等年后才能送修”一位網友這樣談到修改后的驚現經歷。
作為首位成功進行突破驗證的工程師以及SLP2.0技術弱點的發現者,Binbin這樣說到:“技術是沒有正邪之分的,關鍵看使用的人出于什么目的使用該技術。我們分析SLP 2.0技術的弱點及公開突破驗證演示,完全處于技術研討的目的。我們認為突破試驗驗證的演示僅使用于實驗室環境。我本人和合作人aeno都在使用預裝Windows Vista的品牌機,從而有機會研究這項技術。Windows Vista是一個優秀的操作系統,我也是熱愛微軟產品的技術人員。”
打擊還是引導?微軟帝國遭遇的噩夢
微軟反盜版行動的關鍵一步不在于打擊盜版,問題的癥結顯然是如何引導用戶遠離盜版軟件是當務之急。多年來,微軟因為“壟斷高價”問題,在包括中國在內的全球市場廣受詬病,微軟顯然生怕被這個“罵名”繼續尾隨下去。我們從微軟中國公司的主要零售渠道連邦軟件營業店咨詢后得到的信息,目前已經到貨的Vista包括家庭普通版和中文旗艦版,售價分別為每套1530元和2760元。
“看看中國的手機銷量與普及率都已經很高,三四千元的手機連上學的學生有些都買得起,這依然是消費觀念問題。如果真心想買,中國人可以說一半都會買得起,但是必竟盜版的情況大量存在,現在說系統再去花錢買,大家都不太適應。”一位民間破解組織成員這樣向我們說到,“我想還是更加應該支持正版,我個人認為,Vista這次的售價應該還是合情合理的,看看中國的軟件:用友軟件。一套網絡網帶幾個客戶端就得十幾萬,相比之下,Vista的價格就很低很低。如果艦艦版能降到2300左右,高級家庭版降到1500元左右,我想可能會有更多人選擇正版。”
反壟斷、盜版、安全、兼容性、價格等問題已成為微軟揮之不去的夢魘。
【請撥打微軟舉報熱線】
盜版現象不僅侵犯軟件權利人的知識產權、遏制創新,妨礙正常的經濟秩序,嚴重時會構成犯罪。微軟已設立盜版舉報熱線 ( 限微軟產品 ) ,在您發現或懷疑存在盜版現象時,無論是屬于公司 / 代理商 或 零售商 / 計算機預裝 / 網上盜版或侵權行為,請撥打微軟舉報熱線 ( 限微軟產品 ) : 8008104888 。 你也可以通過商業軟件聯盟 (BSA) 在線報告盜版,或聯系 BSA中國盜版舉報熱線:8008100036 。