WinFuture-Forum.de: Cd-key-Überprüfung In Ms Dl-center Ausgehebelt - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
Seite 1 von 1

Cd-key-Überprüfung In Ms Dl-center Ausgehebelt


#1 Mitglied ist offline   ZakMcKracken 

  • Gruppe: aktive Mitglieder
  • Beiträge: 848
  • Beigetreten: 18. März 04
  • Reputation: 0
  • Wohnort:Koblenz

geschrieben 24. Mai 2005 - 11:30

Wie eigentlich nicht anders zu erwarten war, wurde einige Zeit nach der Einführung der CD-Key-Überprüfung in Microsofts Download-Center ein Weg gefunden, diese auszuhebeln. Derzeit bringt der Hack jedoch recht wenig: Erstens ist die Überprüfung momentan noch freiwillig, und zweitens benötigt man zum Umgehen außer einem alternativen Browser auch eine Original-Version von Windows XP.

Auch wer die Windows-Update-Seite mit einem Browser wie Firefox und nicht mit dem Internet Explorer besucht, kann dort auf Wunsch überprüfen lassen, ob der CD-Key des verwendeten Windows XP auf einer schwarzen Liste steht. Dazu muss man sich in solch einem Fall ein kleines Programm herunterladen und starten, das einen Schlüssel ausspuckt. Dieser wiederum ist in ein Eingabefeld auf der Update-Seite einzutragen. Anschließend läuft die Prüfung. Der "Trick" besteht nun darin, das Programm auf einem anderen Rechner unter einer Windows-XP-Version laufen zu lassen, deren CD-Key nicht auf der schwarzen Liste steht. Den dort ausgespuckten Schlüssel kann man dann unter dem geklauten XP auf der Update-Seite eingeben und anschließend den Download starten.

Fraglich ist, ob Microsoft es überhaupt für nötig halten wird, diesem "Trick" einen Riegel vorzuschieben. Da der Nutzer des XP mit dem geklauten Schlüssel zusätzlich ein Original-XP benötigt, um den Download anzustoßen, kann er in der Regel schließlich den Download auch gleich auf dem Original-XP durchführen (oder durchführen lassen).

Abgesehen davon kursieren im Internet diverse Key-Generatoren, die beliebig viele frisch erzeugte Schlüssel ausspucken, die natürlich ebenso illegal, aber eben nicht in der schwarzen Liste enthalten sind. Microsoft war sogar so freundlich und stellte ein Skript zur Verfügung, um einen Schlüssel bei Bedarf bequem gegen einen anderen auszutauschen.

Microsoft könnte zwar den Schlüssel beim Aktivieren des frisch installierten XP überprüfen, doch war auch dieser Schutzmechanismus schon kurz nach Erscheinen von XP ausgehebelt. Damit dürfte also jeder Raubkopierer, der ein wenig Mühe nicht scheut, auch weiterhin sein Windows auf dem aktuellen Stand halten können.

Sicherheitskritische Updates will Microsoft übrigens auch weiterhin ohne jede CD-Key-Prüfung bereitstellen. Bei allen anderen Updates soll sie hingegen irgendwann verpflichtend werden, der genaue Zeitpunkt für die Einführung dieser zwangsweisen CD-Key-Prüfung ist jedoch noch nicht bekannt. (axv/c't)

[Quelle: heise.de]
0

Anzeige



#2 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

geschrieben 24. Mai 2005 - 11:44

Ein "Trick" ist das im Prinzip wirklich nicht. Der durch das Genuine-Check-Tool erzeugte Hash-Wert ändert täglich. Man muss ihn daher täglich auf einem "sauberen" System neu erzeugen um ihn auch auf einem "unsauberen" System nutzen zu können. Somit ist es eigentlich einfacher die Downloads auch gleich auf dem "sauberen" System zu machen (und auch auf dem "unsauberen" System zu verwenden). Auch eine Veröffentlichung dieser Hash-Werte auf dem Internet macht nur wenig Sinn.
Von "aushebeln" oder "knacken" könnte man eigentlich nur sprechen wenn z.B. jemand einen Hash-Wert-Generator hinkriegen würde der völlig unabhängig vom installierten OS gültige Hash-Werte erzeugen könnte.
Diese Möglichkeit war eigentlich von Anfang an klar. Es ist mir etwas rätselhaft warum das bei heise und ZDNet jetzt als sensationelle News verkauft wird.

Dieser Beitrag wurde von swissboy bearbeitet: 24. Mai 2005 - 12:10

0

#3 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 24. Mai 2005 - 11:51

Außerdem würde das so oder so nicht wirklich funktionieren, da es letztendlich so geplant ist, dass die Produkt-ID gescheckt wird. Nur wenn die Produkt-ID des Rechner mit der Produkt-ID übereinstimmt, welche zur Aktivierung verwended wurde, wird das Update freigeschaltet. Das ganze klappt aber zur Zeit noch nicht wirklich, so das div. Tricks das System noch aushebeln können. Wann das System Pflicht wird, steht noch nicht fest, grob wurde Sommer 2005 angegeben.
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#4 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

geschrieben 24. Mai 2005 - 12:05

Zitat (DK2000: 24.05.2005, 12:51)

Außerdem würde das so oder so nicht wirklich funktionieren, da es letztendlich so geplant ist, dass die Produkt-ID gescheckt wird. Nur wenn die Produkt-ID des Rechner mit der Produkt-ID übereinstimmt, welche zur Aktivierung verwended wurde, wird das Update freigeschaltet. Das ganze klappt aber zur Zeit noch nicht wirklich, so das div. Tricks das System noch aushebeln können. Wann das System Pflicht wird, steht noch nicht fest, grob wurde Sommer 2005 angegeben.
<{POST_SNAPBACK}>


Das stimmt so nun auch wieder nicht. Beim Genuine-Check wird nach Prüfung schlussendlich nur ein Hash-Wert übergeben und wenn du einen (für den Tag) gültigen Hash-Wert hast kannst du damit auch definitiv Downloads von Download-Center kriegen. Dies wir sich auch in der endgüligen Version nicht ändern. Es wird wohl nur die freiwillige Abfrage ob man den Genuine-Check machen will oder nicht herausgenommen werden.

Es gibt jetzt auch eine eigene News zu diesem Thema:
http://www.winfuture...news,20612.html

Dieser Beitrag wurde von swissboy bearbeitet: 24. Mai 2005 - 12:11

0

#5 _Benjamin_

  • Gruppe: Gäste

geschrieben 24. Mai 2005 - 12:21

und wie verhält sich das mit volume lizenzen die keine aktivierung benötigen ?
0

#6 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 24. Mai 2005 - 12:34

Und wie lange wird es dauern, bis sich einfach jemand thedailyhash.com registriert und dort täglich den aktuellen Hash automatisiert postet?
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#7 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

geschrieben 24. Mai 2005 - 12:38

Zitat (Xandros: 24.05.2005, 13:21)

und wie verhält sich das mit volume lizenzen die keine aktivierung benötigen ?
<{POST_SNAPBACK}>


Damit hat dies nichts zu tun. Auch auf diesen Systemen erfolgt diese Prüfung.


Zitat (Rika: 24.05.2005, 13:34)

Und wie lange wird es dauern, bis sich einfach jemand thedailyhash.com registriert und dort täglich den aktuellen Hash automatisiert postet?
<{POST_SNAPBACK}>


Sucher möglich, aber für die grosse Masse der Anwender wohl zu mühsam und auf die grosse Masse der (illegalen) Anwender hat es Microsoft ja abgesehen.
Microsoft wird z.B. wohl auch nicht verhindern können das solche Downloads auf anderen Webseiten angeboten werden, auch in Form von Update-Packs.

Dieser Beitrag wurde von swissboy bearbeitet: 24. Mai 2005 - 12:43

0

#8 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 24. Mai 2005 - 12:40

Zitat

und wie verhält sich das mit volume lizenzen die keine aktivierung benötigen ?


Die Produkt-IDs für diese Lizenzen sind bei MS gespeichert und werden abgefragt. Wird die Produkt ID in der Datenbank nicht gefunden, schlägt der Check fehl. Das habe ich mal mit div. Keys aus div Keygens getestet und alle Volumen Produkt IDs wurden abgelehnt mit dem Hinweis, das der Key nicht in der Datenbank gefunden wurde und man sich mit MS in Verbindung setzen soll.

Bei aktivierungspflichtigen Lizenzen wird dies noch nicht gemacht.

Zitat

Dies wir sich auch in der endgüligen Version nicht ändern.


Lt. meinem Kenntnisstand wird sich das noch ändern, da die Prüfung tranzparent ablaufen wird und definitiv die Produkt ID mit einbezogen wird. Bei Produkt IDs, welche zur Zeit keine Volumenlizenzen repräsentieren, finded der Gegencheck nicht statt, lediglich die Prüfung ob der Key in der Blacklist steht. Alles andere wäre auch sinnlos, da es früher oder Später ausgehebelt werden kann.

Dieser Beitrag wurde von DK2000 bearbeitet: 24. Mai 2005 - 12:43

Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#9 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

geschrieben 24. Mai 2005 - 12:52

Zitat (DK2000: 24.05.2005, 13:40)

Die Produkt-IDs für diese Lizenzen sind bei MS gespeichert und werden abgefragt. Wird die Produkt ID in der Datenbank nicht gefunden, schlägt der Check fehl. Das habe ich mal mit div. Keys aus div Keygens getestet und alle Volumen Produkt IDs wurden abgelehnt mit dem Hinweis, das der Key nicht in der Datenbank gefunden wurde und man sich mit MS in Verbindung setzen soll.
<{POST_SNAPBACK}>


Das ist falsch, ich habe es auch ausgetestet. Die die durch den Volume-Licence-Key erzeugte Product-ID muss lediglich in einem bestimmten Range liegen (und nicht auf der Blacklist stehen). Man muss nur die Regeln kennen.

Zitat (DK2000: 24.05.2005, 13:40)

Bei aktivierungspflichtigen Lizenzen wird dies noch nicht gemacht.
Lt. meinem Kenntnisstand wird sich das noch ändern, da die Prüfung tranzparent ablaufen wird und definitiv die Produkt ID mit einbezogen wird. Bei Produkt IDs, welche zur Zeit keine Volumenlizenzen repräsentieren, finded der Gegencheck nicht statt, lediglich die Prüfung ob der Key in der Blacklist steht. Alles andere wäre auch sinnlos, da es früher oder Später ausgehebelt werden kann.
<{POST_SNAPBACK}>


Hast du eine seriöse Quelle für diese Theorie?

Dieser Beitrag wurde von swissboy bearbeitet: 24. Mai 2005 - 12:53

0

#10 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 24. Mai 2005 - 13:11

Zitat

Hast du eine seriöse Quelle für diese Theorie?


Ja, natürlich, sowas denke ich mir ja nicht aus :blink: Nur wird Dir die Quelle vermutlich nicht viel nutzen: https://beta.microsoft.com/

Zitat

Das ist falsch, ich habe es auch ausgetestet.


Ja, gut, ich will mich da jetzt nicht streiten, da meine Test schon länger zurück liegen (August/September 2004? ) und auf US Seite stattfanden. Zur der Zeit gab es das auf dt. Seiten noch nicht und befand sich relativ in der Anfangsphase.

Ich will jetzt nicht ausschließen, das sich mitlerweile etwas geändert hat oder das System doch vereinfacht wurde. Wäre nicht das erste mal, das sich solche Sachen radikal ändern. Müsste ich eventuell auch nochmal testen.

Theoretisch bleibt eigentlich ersteinmal nur abzuwarten, was MS letztendlich einführen wird. Irgendwas wird kommen :P
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0