Windows XP – echt oder gefälscht?
Windows-Check verschärft

SicherheitSicherheitsmanagementSoftware

Microsoft koppelt den Zutritt zu seinem Download-Center seit kurzem an eine Echtheitsüberprüfung von Windows. Auf Hacks, die diese umgehen, reagiert Microsoft mit noch schärferen Prüffunktionen.

Windows-Gültigkeitsprüfung

Windows XP – echt oder gefälscht?

Wer Software von Microsoft-Servern herunterladen will, muss Windows durch ein Programm auf seine Echtheit prüfen lassen. Als Microsoft diesen Prüfvorgang (Windows Genuine Advantage, WGA) auf seinen Servern installierte, dauerte es nur wenige Stunden, bis einfachste Anleitungen im Internet kursierten, wie sich dieser Echtheits-Check umgehen lässt. Das will Microsoft nicht auf sich sitzen lassen und verschärft die Prüffunktionen.

Das Ziel von WGA: Raubkopierte Windows-Versionen (2000/XP) sollen durch einen Test beim Besuch der Update-Webseite oder im Download-Bereich von Microsoft identifiziert werden. Raubkopierer bekommen nur noch kritische System-Updates. Alle anderen Downloads bleiben Besitzern echter Windows-Versionen vorbehalten.


So funktioniert der Windows-Check

Windows XP – echt oder gefälscht?

WGA kommt nur bei den Client-Versionen von Windows 2000 und XP zum Einsatz und zwar sowohl auf den Update-Seiten (über Windows Update im Startmenü oder Internet Explorer) als auch im Download-Center. Wer nur die automatischen Updates aktiviert, merkt nichts von WGA. Besitzer von Windows 98, Me, NT und Server 2003 erhalten auch ohne Echtheits-Check Original-Microsoft-Downloads. Der WGA-Test kann mit einem ActiveX-Control (LegitCheckControl.dll) oder mit einer EXE-Datei (GenuineCheck.exe) ablaufen.

Um Raubkopien zu finden, überträgt das WGA-Tool Produkt-Schlüssel, PC-Hersteller-Kennung, Betriebssystem-Version, Produkt-ID, Sicherheits-ID des angemeldeten Benutzers, Bios-Informationen (Fabrikat, Version, Datum, MD5-Checksumme), Spracheinstellung der Oberfläche und Systemsprache des Betriebssystems verschlüsselt an Microsoft. Wie bei der Aktivierung ordnet Microsoft den Produkt-Schlüssel einer Prüfsumme aller anderen Komponenten zu und gleicht das Ergebnis mit einer Datenbank ab, in der gecrackte oder zu oft genutzte Windows-Schlüssel gespeichert sind. Raubkopierer können nur auf Security-Updates zugreifen.


Windows-Check knacken

Windows XP – echt oder gefälscht?

Bei dem eingangs erwähnten Hack ließ sich die Prüfung beim Windows-Update mit einer einfachen Zeile Javascript-Code abschalten. Dafür musste einfach die Code-Zeile javascript:void(window.g_sDisableWGACheck=all) ins Adressfeld des Internet Explorer kopiert werden. Nach Bestätigen mit der [Enter]-Taste war die Echtheitsprüfung abgeschaltet. Inzwischen hat Microsoft diesem simplen Trick einen Riegel vorgeschoben.

Auch einen zweiten Weg, ohne WGA an Windows-Updates zu kommen, versperrt Microsoft mittlerweile. So haben findige Nutzer herausgefunden, dass man das ActiveX-Control einfach installieren, später aber über Extras/Add-ons verwalten im Internet Explorer deaktivieren kann. Microsoft erzwingt daraufhin jedoch den Download von GenuineCheck.exe. Das Tool muss gestartet werden und liefert bei einem gültigen Windows einen Freischalt-Code zurück, der vor dem Download eingegeben werden muss.

Im Download-Center sind Microsoft-Programme ebenfalls mit WGA geschützt. Wird ein System als Raubkopie erkannt, ist der Download von Extra-Software gesperrt. Über eine Schwäche in GenuineCheck.exe kommt man jedoch trotzdem an die Downloads: Die EXE-Datei muss im Kompatibilitätsmodus von Windows 98 gestartet werden, dann liefert sie einen gültigen Freischaltcode zurück.


WGA mit Linux und Wine überlisten

Windows XP – echt oder gefälscht?

WGA lässt sich jedoch nicht nur unter Windows austricksen. Selbst Linux mit einer Wine-Installation wird als echtes Windows identifiziert. Dabei ist Wine nur eine Nachbildung der Windows-APIs, die unter Linux etwa für das Ausführen von Windows-Spielen oder MS Office eingesetzt werden. Wine enthält keine einzige Zeile echten Windows-Code, gibt sich aber als Windows-98-Installation aus. Das Programm GenuineCheck.exe liefert trotzdem einen Echtheitscode zurück.

Microsoft sichert aber nach: Wird ein bestimmter Wine-Registry-Schlüssel auf dem PC gefunden, funktioniert der Download nicht. Das aktuelle Wine-Release verwendet diesen Schlüssel allerdings nicht mehr. Entsprechend funktionieren auch die Downloads wieder. Im PCpro-Labor lässt sich das mit Suse Linux 9.3 und der aktuellen Wine-Version nachstellen.

Autor: natalie
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen