[amel27]

Dark Engel

Цитата:

А можно как нибудь сделать что бы был не нужен первый этап установки?

В принципе можно уже сейчас, распаковав и переименовав сгенерированный в режиме "Scan" файл Setup.exe - этот скрипт лишь копирует в System32 две указанные выше утилиты и выполняет команду "Devcon Find" (на сообщение о перезагрузке можно не обращать внимания). Но в этом случае придется поиграть с параметром DevFind, чтобы результат работы "DevCon Find" не отличался в пред-установочном окружении и после полной установки системы. Совпадение можно гарантировать только при полном повторении всех условий - именно поэтому я в руководстве указал требование имитации установки при сканировании, в других ситуациях я просто не тестировал...

В любом случае не советую использовать маску всех устройств (DevFind=*). Например, включение перечислителя ACPI поставит результат в зависимость от настроек BIOS, а USB* соответственно от подключенных USB-устройств. Кстати, все перечисляемые DevCon-ом устройства можно просмотреть в ветке реестра [HKLM\SYSTEM\CurrentControlSet\Enum].

[Dark Engel]

amel27

Цитата:

В любом случае не советую использовать маску всех устройств (DevFind=*). Например, включение перечислителя ACPI поставит результат в зависимость от настроек BIOS, а USB* соответственно от подключенных USB-устройств. Кстати, все перечисляемые DevCon-ом устройства можно просмотреть в ветке реестра [HKLM\SYSTEM\CurrentControlSet\Enum].

В таком случае возможно стоит предусмотреть несколько наборов предустановок? Я просто плохо в железе вообще понимаю.

[borzoy]

XXXler

amel27

Boa Soft

не могли бы вы более падробнее рассказать
я понимаю для вас и участников форума, но вот простому юзеру не очень понятно тем более я тока начал этим заниматься

[simplix]

Напишу и свой способ, тем более он успешно прошёл тесты и достоин быть одним из вариантов защиты Юзать на XP Rus Corp SP2.

Общая идея такая - дистрибутив будет ставиться на любую машину, но с хитринкой, известной только тому, кто устанавливал защиту, а конкретно исход успешности установки будет зависеть от системной даты. Таким образом, чтобы успешно установить систему, нужно перед началом установки поменять дату в биосе на один из дней заранее известного диапазона. Примеры защиты были написаны на скриптах NSIS, экзешники с исходниками прилагаются.

Первым делом компилим следующий код:

Код:

;Encrypt.exe
ReadINIStr $0 $EXEDIR\Winnt.sif UserData ProductKey
Exec '"$EXEDIR\WINNT32.EXE" /ENCRYPT:"$0:30" /UNATTEND:"$EXEDIR\Winnt.sif'

Это можно и вручную сделать, но так проще. Число 30 означает, в течение скольких дней после установки защиты ключ дистрибутива будет вводиться автоматически - сейчас установлен один месяц, можно изменить на конкретный день или диапазон. Эта команда шифрует ключ установки таким образом, что в любые другие дни ключ нужно будет вводить вручную. Как пользоваться: помещаем Encrypt.exe в каталог i386, где уже лежит файл Winnt.sif с рабочим ключом установки, меняем системную дату компьютера на начало того периода, в который система должны устанавливаться с диска (например если мы поставим дату на 02.11.06 и в скрипте укажем период на 30 дней, то система будет работоспособной, если перед установкой в биосе поставить любой день диапазона 02.11.06-02.12.06), и только после этого запускаем Encrypt.exe. Убеждаемся, что в Winnt.sif вместо ключа содержится зашифрованная строка и удаляем Encrypt.exe (больше он не нужен) и меняем системную дату компа на правильную. Защита установлена, но если дата не совпадёт с нужной, программа установки запросит ввести ключ вручную, а это нам совсем не нужно. Поэтому копируем из дистрибутива три файлика: Syssetup.dl_, Winnt32u.dll и Activ.ht_. Распаковываем Syssetup.dl_ и Activ.ht_. Редактором ресурсов (рекомендую PE Explorer) удаляем из Syssetup.dll диалог 208 и из Winnt32u.dll диалог 158 (актуально для XP Rus Corp), сохраняем изменения (не забываем воспользоваться Modifype и Killwfp.lst, сами файлы не используются системой никак и существуют исключительно на этапе установки, так что система от этого не пострадает). Таким образом даже если дата не будет соответствовать серийнику, он никогда не будет запрошен - система установится без него, но запросит активацию, а нам не нужно чтобы юзер мог ввести свой код, поэтому в распакованном файле Activ.htm в самом конце удаляем строчки:

Код:

<td>
<BUTTON ID="btnNext" class="buttons" TABINDEX=6 ACCESSKEY="Д"><label for=btnNext><id id="LocalBtnNext_Text"><u>Д</u>алее</id></label></BUTTON>
</td>

Теперь если будет предложена активация винды, юзер не сможет ввести свой код, т. к. тупо будет отсутствовать кнопочка "Далее". Запаковываем обратно Syssetup.dl_ и Activ.ht_. Остаётся устранить последнюю потенциальную дырку - безопасный режим, в который юзер может загрузиться и с которого может запустить какой-нибудь AntiWPA и ломануть эту активацию. Для этого компилим следующую вещь:

Код:

;Protect.exe
CopyFiles /SILENT $EXEDIR\Protect.exe $SYSDIR\Protect.exe
WriteRegStr HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "Shell" "Explorer.exe,Protect.exe"
ReadRegStr $0 HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion" "ProductId"
IntCmp $0 0 false false true
false:
WriteRegDWORD HKLM SYSTEM\Setup SystemSetupInProgress 1
Delete /REBOOTOK $EXEDIR\Protect.exe
Reboot
true:
WriteRegStr HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" "Shell" "Explorer.exe"
Delete /REBOOTOK $EXEDIR\Protect.exe

Или берём готовый Protect.exe. Смысл его такой - если система установлена с пустым серийником, т. е. с неправильной датой, и юзер загрузил её в безопасном режиме, она автоматически уйдёт в ребут и заблокируется, а без безопасного режима его будет поджидать активация без кнопки "Далее". Тупик короче. Если ключ в системе есть, скрипт не сделает ровным счётом ничего, поэтому ничем не повредит, даже если будет запущен на рабочем компе. Как использовать: сделать из него аддон методом Svcpack (кстати если немного поправить скрипт (в строчке CopyFiles /SILENT $EXEDIR\Protect.exe $SYSDIR\Protect.exe), переименовав Protect.exe в какой-нибудь KBxxxxxx.exe с соответствующей иконкой, на глаз будет сложно отличить его от обновления). А если взломщик его всё-таки удалит, система от этого рабочей не станет, и не станет даже если удалит Winnt.sif - только если будет правильная дата, система установится как обычно, так же, как бы она установилась без защиты вообще.

Такая защита - только идея и первый шаг. Кому нужно - доработайте её так, чтобы было по-настоящему трудно ломать (хотя и эту защиту среднестатистический юзер не сломает, т. к. облом вылезет только после полной установки винды перед первым входом в систему админа, а отследить где и как закопано не прочитав эту статью - не так просто). Принцип защиты не затрагивает лицензионное соглашение и по сути редактирование ресурсов можно приравнять к патчу Uxtheme.dll, т. е. это не варез и защита не направлена на взлом системы или ослабление её защиты, наоборот защищает её от неавторизованого доступа, если диски с дистрибутивами хранятся в общедоступном месте. Аминь.

[Ilja77]

А как насчет того, чтобы просто хранить свой диск от чужих рук? Для товарищей, которые хотят взять у меня винду, есть обрезок - WinXP SP2 с интегрированным DirectX и все...

[simplix]

Ilja77
Смысл темы в том, что это просто интересно, как можно его защитить
На практике мне лично никакая защита даром не нужна, т. к. мну сторонник свободного ПО. И за мир во всём мире

[_xakep_]

Здравствуйте!
Спасибо Вам за изложенные выше способы, есть очень интерессные методы.
Правда мне, как программеру, легше написать свой софт для защиты дистрибутива. Дать юзеру после установки системы пару дней на активацию, после чего потребовать от него код или специально сгенерированый под его машину ключевой файтик, который будет созданый мною же. Так я смогу знать к кому попал мой диск.
Плюс этого метода в том, что мне не нужно пересобирать свой дистриьутив. Программка автоматом все сгенерирует, юзеру нужно быдет только взять у меня файлик.
Если получется че-нибудь толковое, то поделюсь программкой.

[Vovanchik]

честно говоря немного шокирован таким развитием этой темы....
такое впечатление что тут собралась толпа трудоголиков которым очень не лень тестировать свою сборку на различных комбинациях железа...

я вот наоборот создал народный вариант. и выпустил его в сеть. так меня идеями по оптимизации и выловленными глюками просто завалили.мне тока оставалось их исправлять и выкладывать обновленные исправленные версии.
так что на даннный момент после двухгодичного широкомасштабного тестирования я могу сказать что создал абсолютно стабильный и надежный диск который работоспоссобен практически на любой комбинации железа. причем на всех уровнях - от доса до дистрибутива виндов любых и livecd.

а вы как я погляжу отладили все только для конкретно взятой машины и даже не представить себе не можете и не хотите что будет если малость изменить конфигурацию железа.

[simplix]

Цитата:

я вот наоборот создал народный вариант. и выпустил его в сеть.

Цитата:

так что на даннный момент после двухгодичного широкомасштабного тестирования я могу сказать что создал абсолютно стабильный и надежный диск который работоспоссобен практически на любой комбинации железа. причем на всех уровнях - от доса до дистрибутива виндов любых и livecd.

Аналогично, только год

[prokazzza]

amel27

вот такая мысль, почему бы не сделать проверку на определенный винт, ведь у каждого винта свой единственный номер, железо может и одинаковае, и если сделать чтобы при установке или до установки он сверял номер винта и если он не совпадал делать принудительный ребут. Тогда можно привязку на железо не делать.