Windows Genuine Advantage Validation Tool - это обязательное обновление KB892130.
Предназначено для проверки подлинности ключа (на предмет уплаченных за него денег, или
законности его использования) во время посещения страниц узла WindowsUpdate. Реализован
как объект ActiveX в модуле LegitCheckControl.dll.
Назначение: сбор сведений и отправка их на сервер Microsoft, и проверка "подлинности
Windows". Т.е. его основная задача имеет скорее шпионский характер, тайком от вас
собирать информацию. Вот информация, которую собирает WGA:
- производитель и модель компьютера;
- версия операционной системы и программного обеспечения, использующего
функцию Genuine Advantage;
- настройки региона и языка;
- уникальный номер, присвоенный компьютеру используемыми средствами
(глобальный уникальный идентификатор или GUID);
- номер и ключ продукта;
- название, номер и дата выпуска версии BIOS компьютера;
- серийный номер носителя;
- ключ продукта Office (при проверке Office);
- результаты установки;
- результаты проверки.
Это взято из
официальных источников, остается только гадать, что может быть скрыто
от общественности, учитывая маниакальную тягу Microsoft постоянно темнить
и лукавить. Но даже этот набор очень сильно впечатляет. Microsoft уже
настолько сильно обнаглела, что считает любой компьютер, на котором
установлена Windows чуть ли не своей собственностью (В новой операционной
системе Vista положение дел ещё хуже).
Итак, на вопрос "Кто в доме хозяин, Я или тараканы Microsoft?", бодро
отвечаем - Я! Что делать с этим WGA? То что он является не удаляемым,
это очередные басни Microsoft. Удаляется этот жучок элементарно, нужно
выполнить две команды (командная консоль cmd.exe):
C:\>regsvr32 -u LegitCheckControl.dll
C:\>del LegitCheckControl.dll
Всё, поганца больше нет! Но это не самое лучшее решение, поскольку
при посещении узла обновлений вас первым делом заставят установить его
по новой. Поэтому задача такая: чтобы этот поганец был установлен, но
не мог проводить свою вредоносную деятельность.
Главное, что нужно сделать - это заблокировать любыми средствами канал
связи, по которому передается информация. Например с помощью брандмаузера
закрыть доступ к серверу mpa.one.microsoft.com, порт 443. Но не у всех есть
брандмаузер, имеющий такие функции. Проще использовать настройки локального DNS.
Для этого нужно открыть блокнотом файл \WINDOWS\system32\drivers\etc\hosts и дописать
в конец файла следующую строку:
127.0.0.1 mpa.one.microsoft.com
Сохранить файл, и выполнить команду
C:\>ipconfig /flushdns
Она нужна для сброса кэша DNS. Эти действия настраивают локальную
службу DNS. Её назначение - определять IP-адрес по доменному имени.
После этого, при попытке WGA обратиться к серверу mpa.one.microsoft.com,
все его запросы будут отправляться на IP=127.0.0.1 (адрес локального
компьютера), а не на настоящий IP=131.107.115.40. Поэтому WGA не сможет
связаться с сервером mpa.one.microsoft.com, и что то передать или получить.
Основная задача выполнена - шпионящему модулю заткнули рот!
Это - главная мера обхода WGA.
Она может дать осечку, и ключ будет определять как не подлинный, но это не
значит что от этой меры следует отказываться или отменять её. Осечка может произойти
если:
- Остались следы предыдущих неудачных проверок. Они хранятся в файле:
C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data\data.dat
Этот файл нужно удалить. Папка "Application Data" имеет
атрибут
"скрытая". Если в системе установлено свойство "не показывать скрытые файлы
и папки", то её не будет видно в проводнике. Устанавливать на файл data.dat атрибуты или
разрешения, препятствующие записи в этот файл, не нужно. Поскольку в этом случае проверка WGA
всегда будет неудачной.
- Модуль WGA имеет встроенный черный список нелегальных ключей, которые известны Microsoft.
С помощью этого списка WGA может определить такой ключ без связи с сервером. Осечка будет,
если установленный ключ находится в этом списке. В этом случае нужно сменить
ключ или воспользоваться надстройкой для InternetExplorer IeBlinder
Все остальные известные мне способы обхода WGA уже не так хороши, и скорее это временные меры.
Например, кракнутая LegitCheckControl.dll. Будет работать пару месяцев, до выхода новой версии
WGA, Как только появится новая версия с увеличенным черным списком ключей, так вам предложат
(заставят) установить её, независимо от того была у вас до этого кракнутая длл, или нет.
Кроме этого, кракнутые дллки как правило не решают проблему утечки информации. Если вы поменяете
ключ, то во время проверки WGA он убежит на сервер Microsoft, и через некоторое время будет
внесен в черный список новой версии WGA.
new
Использование файла hosts не очень надежно. Потому что это обычный текстовый файл, и любая программа
может его открыть и изменить содержимое, или даже просто удалить его. Тогда вся надежда на то что
mpa.one.microsoft.com будет заблокирован окажется тщетной.
Пример. Для этих целей лучше
использовать политику безопасности IP. Это штатный инструмент Windows. Он точно есть на каждой машине
с Windows. По умолчанию он отключен и не настроен. Его использование чуток посложнее hosts, но не намного,
зато работает железно. Даже службы (имеющие все системные привилегии) не могут пробить это барьер.
Нужно всего лишь создать новую политику, настроить ее, и включить. Этот инструмент
можно использовать не только для блокировки серевера microsoft, но и других. Сейчас очень многие приложения
злоупотребляют сетью. Собирают и отправляют какую то информацию на нигде недокументированные серверы,
качают откуда то рекламу, естественно, проверяют лицензию, отправляя и получая информацию на какие то
серверы. Об этом факте пользователь узнает лишь косвенным образом. И его никто не спрашивает - хочет
он этого или нет. Кстати, не очень давно испеченный браузер GoogleChrome именно этим и занимается: при
путешествии пользователям по страница он отправляет об этом информацию на какие то серверы Google.
Это я выяснил, когда проверял сайт расположенный на локальном Вэб-сервере, а не в Интернете. Совершенно
однозначно наблюдались попытки браузера соединиться с внешним сервером при каждом переходе на очередную
страницу, хотя содержимое сайта не требовало никаких внешних ресурсов. Если известен IP, на который
стучится та или иная программа с неизвестными целями, то достаточно просто положить конец этой тайной
деятельности используя политику безопасности IP. Которая именно для этого и предназначена - для контроля
сетевого доступа. Подробности можно почитать здесь.
Если вы попадаете на страницу с сообщением об ошибке (типа код ошибки: 0x80080205), то это
говорит о каких то неисправностях самой системы проверки подлинности, а не о проблемах с вашим ключом.
Подробности о кодах ошибок, и что с этим делать, можно найти
здесь. Для теста работы непосредственно самого модуля WGA можно использовать утилиту
RunWGA или тестовую страницу.
Office Genuine Advantage (OGA)
17 декабря 2010 года программа Office Genuine Advantage прекратила свое существование.
Правда, компания Microsoft это никак не афишировала. Вкратце об этом факте упомянуто на
этой странице .
KB905474
Это Windows Genuine Advantage Notification (уведомление о результатах проверки
подлинности).
wgapatcher.ru
You may be a victim of software counterfeiting 1. Перед тем, как предпринимать какие-либо серьёзные меры, просто попробуйте откатить систему.
2. Если Вы не можете этого сделать, запустите Диспетчер задач.
3. Найдите процесс "wgatray.exe” и завершите его
4. Загрузитесь в безопасном режиме и удалите файл "WgaTray.exe" из "c:\Windows\System32"
5. Также удалите "WgaTray.exe" из "c:\Windows\System32\dllcache"
6. Запустите Regedit (пуск => выполнить), зайдите в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
7. Удалите папку WgaLogon и всё её содержимое.
8. Перезагрузите ПК.
Дополнение
Есть способ достаточно «неправильный», но эффективный – за вывод окна
с уведомлением о результатах проверки подлинности Виндоус отвечают два
файла:
WgaTray.exe – Уведомления о проверке подлинности Windows
WgaLogon.dll
Найти файлы можно следующим образом – C:\WINDOWS\system32\. Процесс
WgaTray.exe постоянно сидит в памяти, его убить не возможно использую
Диспетчер задач, т.к. он запускается по новой, но есть решение этой
проблемы:
1.Можно удалить или переименовать файлы WgaTray.exe, WgaLogon.dll.
2.Есть «патчи» от данных файлов.
3.Реестр Windows XP – лучший выбор от этого «обновления».
Чтобы запустить редактор реестра выполняем слудующие действия: Пуск –
Выполнить набираем «regedit». На вид редактор реестра Виндовс похож на
Проводник windows, в реестре нам нужно найти и удалить раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\WgaLogon
Для уверенности избавления от KB905474 презагрузите компьютер. После
перезапуска операционной системы Windows XP сообщение о не прошедшем
проверку лицензионности Windows отстанет от компьютера.
P.S.:
При установке обновления KB905474 (Windows Genuine Advantage Notification) на локальный компьютер копируются следующие файлы:
– Windows Genuine Advantage Validation – C:\WINDOWS\system32\LegitCheckControl.dll (1,41МБ);
– Уведомление о результатах проверки подлинности Windows – C:\WINDOWS\system32\WgaLogon.dll (231КБ);
– Уведомления о проверке подлинности Windows – C:\WINDOWS\system32\WgaTray.exe (329КБ).
В кэше так же создаются копии:
– C:\WINDOWS\system32\DllCache\ WgaLogon.dll
– C:\WINDOWS\system32\DllCache\ WgaTray.exe
Не забудьте удалить эти файлы – ведь они занимают свободное место!!!
Все кто перешел с XP на Windows 7, так же ищут способы активации Виндовс 7, описано здесь как активировать Windows 7. Читайте и делайте вашу операционную систему лицензионной.
| 
