해적인증으로 인한 1시간마다 셧다운 무력화 시도

수정 직후 재부팅에서 부팅 불가 없음

인증상태 변화 없음

윈도우즈 7 임베디드 에디션에서 저파일 때문에 1시간마다 재부팅된적이 있어서

7 해적때는 저파일을 접근금지로 묶어두었었습니다.

저파일이 맞습니다. 윈도우즈 8에서 없어진줄 알았는대 평가판에는 있었네요 ^^

엇;;; 찍었는데 맞췄나보네요?

툴이나 후킹 스크립트 하나 안쓰고 그냥 통밥으로 서비스 목록만 봐서 그럴것 같은 걸 골라서 조졌(?)는데...

네. 엔터K 평가판입니다.

지금 엔터K 일반판의 토큰과 키가 내장된 상태에서 KMS 인증이 먹힌 상태입니다.

윈도우즈 7 에서는 이렇게 했었네요.

if exist %Windir%System32wlmswlms.exe takeown /f %Windir%System32wlmswlms.exe >nul
if exist %Windir%System32wlmswlms.exe icacls %Windir%System32wlmswlms.exe /deny everyone:f >nul

일단 저 파일을 다른 페이크 파일로 덮어버릴 경우 수 초 이내에 시스템이 상태를 파싱해내에서

블루스크린을 띄운 후 강제 재부팅이 됩니다.

그래서 파일의 권한 자체는 냅두는 방향으로 수정한겁니다.

제가 견문이 좁아 권한 내역의 일부를 수정했을때 용량이나 해시 내지 MD5 값이 변하는지는 모르겠지만

저정도면 거진 변화가 없는 수준에서 수정이 가능하지 않을까 생각했네요.

그룹정책에서 경로 정책으로 제한 하면 어찌될까요.....어느쪽이 우선권이 있을지...

아, 블루스크린이라는걸 보니, 커널레벨에서 로드하는 모양이네요.

그쪽이 우선권이 있을 듯.....

평가판은 라이센스보호서비스 wlms.exe 1시간에 1번씩 재부팅

인증풀리면 2시간에 1번씩 재부팅 만료날자 다가오면 또 수시로 재부팅 이거 다 막으려면 힘들어서 시도도 안하고 있습니다.

윈도우즈 7에서 하도 질려서요 ^^

재부팅은 여전히 있습니다.

재부팅 발생할때의 이벤트 리포트합니다.

로그 이름:         System
원본:            Microsoft-Windows-DistributedCOM
날짜:            2012-09-21 - 금요일 오후 07:00:37
이벤트 ID:        10010
작업 범주:         없음
수준:            오류
키워드:           클래식
사용자:          
컴퓨터:          
설명:
{9BA05972-F6A8-11CF-A442-00A0C90A8F39} 서버가 요구된 초과 시간 안에 DCOM으로 등록하지 않았습니다.
이벤트 Xml:
<Event xmlns="https://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
    <EventID Qualifiers="0">10010</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime="2012-09-21T10:00:37.293737700Z" />
    <EventRecordID>2078</EventRecordID>
    <Correlation />
    <Execution ProcessID="828" ThreadID="2264" />
    <Channel>System</Channel>
    <Computer></Computer>
    <Security UserID="S-1-5-21-570398381-4034124728-4209271822-500" />
  </System>
  <EventData>
    <Data Name="param1">{9BA05972-F6A8-11CF-A442-00A0C90A8F39}</Data>
  </EventData>
</Event>

---------------

참고로 이건 레지스트리에서

MessageFileName %SystemRoot%system32combase.dll

ResourceFileName %SystemRoot%system32combase.dll

를 나타냅니다.

로그 이름:         System
원본:            Microsoft-Windows-Kernel-PnP
날짜:            2012-09-21 - 금요일 오후 06:52:57
이벤트 ID:        219
작업 범주:         (212)
수준:            경고
키워드:          
사용자:           SYSTEM
컴퓨터:          
설명:
The driver DriverWudfRd failed to load for the device ROOTWPD000.
이벤트 Xml:
<Event xmlns="https://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Kernel-PnP" Guid="{9C205A39-1250-487D-ABD7-E831C6290539}" />
    <EventID>219</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>212</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2012-09-21T09:52:57.472290000Z" />
    <EventRecordID>2048</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="52" />
    <Channel>System</Channel>
    <Computer></Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="DriverNameLength">13</Data>
    <Data Name="DriverName">ROOTWPD000</Data>
    <Data Name="Status">3221226341</Data>
    <Data Name="FailureNameLength">14</Data>
    <Data Name="FailureName">DriverWudfRd</Data>
    <Data Name="Version">0</Data>
  </EventData>
</Event>

-----------------

MessageFileName %SystemRoot%system32microsoft-windows-kernel-pnp-events.dll

ResourceFileName %SystemRoot%system32microsoft-windows-kernel-pnp-events.dll

추가 :

C:WindowsSystem32combase.dll  <-  고급보안 감사 제거

구성 요소 서비스 - 서비스(로컬) - Te.Service <- 사용 안함 설정

두가지 시도

//

실패. 셧다운 발생.

wlms.exe, combase.dll 수동으로 접근금지 시도.

//

셧다운 방해에는 성공했으나 윈도 화면이 까맣게 변했고

그 뒤로 재부팅해도 윈도우 접근 불가.