Eski pc microsoft hesabına baglı ise sil
cmd yonetici
slmgr.vbs -upk ENTER yap
yeni pc ye key gir, OTO ETKİNLEŞMEZ TAHMİNİM. microsoft ara yeni keyini etkinleştir. ETKİNLESTİRME ROBOTUNDA "donanım degişikligi" sec
Open-source Windows and Office activator featuring HWID, Ohook, KMS38, and Online KMS activation methods, along with advanced troubleshooting. - massgravel/Microsoft-Activation-Scripts
yeni pc ye keyi girdiginiz anda hata kodu sonu:
08/20 ile biterse key aktif, microsoft aranarak 1 kereye mahsus manuel etkinleştirme yapılır.
03/60 hata kodu sonu olursa key bloke, kesinlikle etkinleştirilemez...
diger hata kodu sonu farklı olursa donanım degisikliginden vs.. olabilir..
Karalama yapmamak için rastgele analiz için verilenlerden birini araştırdım.
2019 raporuna göre... AV SCORE: TEMİZ
MAL SCORE: 85/100
Risk değerlendirmesi
Ağ DavranışıKişiler 3 etki alanı ve 15 ana bilgisayar.
MITRE ATT&CK™ Teknikleri Tespiti
Bu raporda 4 saldırı tekniği ve 4 taktikle eşlenen 2 gösterge bulunmaktadır.
MITRE ATT&CK™ Teknikleri Tespiti
T1035
Hizmet Yürütme
Uygulamak
Saldırganlar, Hizmet Kontrol Yöneticisi gibi Windows hizmetleriyle etkileşime giren bir yöntem aracılığıyla bir ikili programı, komutu veya betiği çalıştırabilir.
Servis kontrol yöneticisini açtı
T1179
Kancalama
Kimlik Bilgisi Erişimi
Kalıcılık
Ayrıcalık Yükseltmesi
Windows işlemleri, yeniden kullanılabilir sistem kaynakları gerektiren görevleri gerçekleştirmek için genellikle uygulama programlama arabirimi (API) işlevlerinden yararlanır.
Çalışan prosese kancalar/yamalar yükler
T1179
Kancalama
Kimlik Bilgisi Erişimi
Kalıcılık
Ayrıcalık Yükseltmesi
Windows işlemleri, yeniden kullanılabilir sistem kaynakları gerektiren görevleri gerçekleştirmek için genellikle uygulama programlama arabirimi (API) işlevlerinden yararlanır.
Çalışan prosese kancalar/yamalar yükler
T1179
Kancalama
Kimlik Bilgisi Erişimi
Kalıcılık
Ayrıcalık Yükseltmesi
Windows işlemleri, yeniden kullanılabilir sistem kaynakları gerektiren görevleri gerçekleştirmek için genellikle uygulama programlama arabirimi (API) işlevlerinden yararlanır.
Çalışan prosese kancalar/yamalar yükler
İletişimi nasıl kurduğu önemli, muhtemelen size yüksek yetkiyle oluşturulan kriptolu iletişimler ve bağlantılarla kurulan yapılar gösterilmiyor olabilir.
Kontrolsüz sistemde 50-70 puan üzeri AV skoru olan riskler gördüm.
Bir diğeri daha fena...
Firewall aşıp, port açıyor.
.
ATT&CK Kimliği İsim Taktikler Tanım Kötü Amaçlı Göstergeler Şüpheli Göstergeler Bilgilendirici Göstergeler
T1071 Uygulama Katmanı Protokolü
Komuta ve kontrol
Saldırganlar, mevcut trafiğe karışarak tespit/ağ filtrelemesini önlemek için OSI uygulama katmanı protokollerini kullanarak iletişim kurabilir. Daha fazla bilgi edin
İkili/bellekte potansiyel URL bulundu
Kişiler sunucusu
Kişiler alanları
T1105 Giriş Aracı Transferi
Komuta ve kontrol
Saldırganlar, araçları veya diğer dosyaları harici bir sistemden güvenliği ihlal edilmiş bir ortama aktarabilir. Daha fazla bilgi edin
Bırakılan dosyalar
T1071.001 Web Protokolleri
Komuta ve kontrol
Saldırganlar, mevcut trafiğe karışarak tespit/ağ filtrelemesini önlemek için web trafiğiyle ilişkili uygulama katmanı protokollerini kullanarak iletişim kurabilir. Daha fazla bilgi edin
Dosyaları bir web sunucusundan GET alır
HTTP web sunucusuyla iletişim kurar (GET/POST istekleri)
Bir web sunucusundan var olmayan dosyaları ALMAYA çalışır
T1568.002 Alan Adı Oluşturma Algoritmaları
Komuta ve kontrol
Saldırganlar, statik IP adresleri veya etki alanları listesine güvenmek yerine, komuta ve kontrol trafiği için bir hedef etki alanını dinamik olarak belirlemek amacıyla Etki Alanı Oluşturma Algoritmalarından (DGA'lar) yararlanabilir. Daha fazla bilgi edin
Yüksek entropi alanı algılandı
T1071.004 DNS
Komuta ve kontrol
Saldırganlar, mevcut trafiğe karışarak tespit/ağ filtrelemesini önlemek için Etki Alanı Adı Sistemi (DNS) uygulama katmanı protokolünü kullanarak iletişim kurabilir. Daha fazla bilgi edin
ATT&CK Kimliği
İsim
Taktikler
Tanım
Kötü Amaçlı Göstergeler
Şüpheli Göstergeler
Bilgilendirici Göstergeler
T1043
Yaygın Olarak Kullanılan Bağlantı Noktası
Komuta ve kontrol
Saldırganlar, güvenlik duvarlarını veya ağ algılama sistemlerini atlamak ve daha ayrıntılı incelemelerden kaçınmak için normal ağ etkinliğine karışmak için yaygın olarak kullanılan bir bağlantı noktası üzerinden iletişim kurabilir.
Trafiği tipik HTTP giden bağlantı noktasına gönderir, ancak HTTP başlığı olmadan
Karalama yapmamak için rastgele analiz için verilenlerden birini araştırdım.
2019 raporuna göre... AV SCORE: TEMİZ
MAL SCORE: 85/100
Risk değerlendirmesi
Ağ DavranışıKişiler 3 etki alanı ve 15 ana bilgisayar.
MITRE ATT&CK™ Teknikleri Tespiti
Bu raporda 4 saldırı tekniği ve 4 taktikle eşlenen 2 gösterge bulunmaktadır.
MITRE ATT&CK™ Teknikleri Tespiti
T1035
Hizmet Yürütme
Uygulamak
Saldırganlar, Hizmet Kontrol Yöneticisi gibi Windows hizmetleriyle etkileşime giren bir yöntem aracılığıyla bir ikili programı, komutu veya betiği çalıştırabilir.
Servis kontrol yöneticisini açtı
T1179
Kancalama
Kimlik Bilgisi Erişimi
Kalıcılık
Ayrıcalık Yükseltmesi
Windows işlemleri, yeniden kullanılabilir sistem kaynakları gerektiren görevleri gerçekleştirmek için genellikle uygulama programlama arabirimi (API) işlevlerinden yararlanır.
Çalışan prosese kancalar/yamalar yükler
T1179
Kancalama
Kimlik Bilgisi Erişimi
Kalıcılık
Ayrıcalık Yükseltmesi
Windows işlemleri, yeniden kullanılabilir sistem kaynakları gerektiren görevleri gerçekleştirmek için genellikle uygulama programlama arabirimi (API) işlevlerinden yararlanır.
Çalışan prosese kancalar/yamalar yükler
T1179
Kancalama
Kimlik Bilgisi Erişimi
Kalıcılık
Ayrıcalık Yükseltmesi
Windows işlemleri, yeniden kullanılabilir sistem kaynakları gerektiren görevleri gerçekleştirmek için genellikle uygulama programlama arabirimi (API) işlevlerinden yararlanır.
Güncelledim, analizi paylaştım. Tehlike sizin sistemde ağ trafiği ve izinsiz yüklemeler ile ortaya çıkar.
Bilgi amaçlı paylaştım.
Yeni analizler yapılması lazım.
Bilişim uzmanlığı okumuş, siber güvenlikten dereceli ve sertifikalı arkadaşlar vardır. Onlara konu açtırmak ve inceletmek lazım.
Güncelledim, analizi paylaştım. Tehlike sizin sistemde ağ trafiği ve izinsiz yüklemeler ile ortaya çıkar.
Bilgi amaçlı paylaştım.
Yeni analizler yapılması lazım.
Bilişim uzmanlığı okumuş, siber güvenlikten dereceli ve sertifikalı arkadaşlar vardır. Onlara konu açtırmak ve inceletmek lazım.
Ben kendi incelememi tamamladım 2020 de virüslü olanlar var 2014te bazıları Microsoft tarafından davalık olmuş firmalar. 2024 av sonucu temiz bazılarında, Mitre ise yine sürüyor.
Ucuz key konusunda da konu içeriğinde yazanlar doğru.
Tercih yapmadan önce bunları göz önünde bulundurun.
Open-source Windows and Office activator featuring HWID, Ohook, KMS38, and Online KMS activation methods, along with advanced troubleshooting. - massgravel/Microsoft-Activation-Scripts
Bu Mitre açısından daha tehlikeli görünüyor.
Raporu güncelleyerek ileteceğim.
ATT&CK KİMLİĞİ
Ad
Taktik
Tarif
Kötü Amaçlı Göstergeler
Şüpheli Göstergeler
Bilgilendirici Göstergeler
T1005 Serisi
Yerel Sistemden Gelen Veriler
Koleksiyon
Saldırganlar, Sızmadan önce ilgilenilen dosyaları ve hassas verileri bulmak için dosya sistemleri ve yapılandırma dosyaları veya yerel veritabanları gibi yerel sistem kaynaklarında arama yapabilir. Daha fazla bilgi edinin
Bulunan tarayıcı bilgileri, konumlar, ilgili dizeler
6389...0fd7
T1071.004 Serisi
DNS
Komuta ve Kontrol
Saldırganlar, mevcut trafikle karışarak algılama/ağ filtrelemesini önlemek için Alan Adı Sistemi (DNS) uygulama katmanı protokolünü kullanarak iletişim kurabilir. Daha fazla bilgi edinin
DNS sunucusunu sorgular
6389...0fd7
6609...ba5b
T1071 Serisi
Uygulama Katmanı Protokolü
Komuta ve Kontrol
Saldırganlar, mevcut trafikle karışarak algılama/ağ filtrelemesini önlemek için OSI uygulama katmanı protokollerini kullanarak iletişim kurabilir. Daha fazla bilgi edinin
İkili/bellekte potansiyel URL bulundu
6609...ba5b
Kişiler sunucusu
6609...ba5b
T1105 Serisi
Giriş Aracı Transferi
Komuta ve Kontrol
Saldırganlar, araçları veya diğer dosyaları harici bir sistemden güvenliği ihlal edilmiş bir ortama aktarabilir. Daha fazla bilgi edinin
Bırakılan dosyalar
6609...ba5b
T1568.002 Serisi
Etki Alanı Oluşturma Algoritmaları
Komuta ve Kontrol
Saldırganlar, statik IP adresleri veya etki alanları listesine güvenmek yerine, komuta ve kontrol trafiği için bir hedef etki alanını dinamik olarak tanımlamak için Etki Alanı Oluşturma Algoritmalarını (DGA'lar) kullanabilir. Daha fazla bilgi edinin
Yüksek Entropi alanı Tespit Edildi
6609...ba5b
T1583.001 Serisi
Etki alanları
Kaynak Geliştirme
Saldırganlar, hedefleme sırasında kullanılabilecek alan adları edinebilir. Daha fazla bilgi edinin
Kısa Süreli SSL Sertifikası Tespit Edildi
6609...ba5b
Yakın zamanda yenilenen veya oluşturulan SSL sertifikası
6609...ba5b
T1129 Serisi
Paylaşılan Modüller
İdam
Saldırganlar, paylaşılan modülleri yükleyerek kötü amaçlı yükler yürütebilir. Daha fazla bilgi edinin
RPC (Uzaktan Yordam Çağrısı) modülü DLL'sini yükler
6609...ba5b
T1027 Serisi
Gizlenmiş Dosyalar veya Bilgiler
Savunmadan Kaçınma
Saldırganlar, sistemde veya aktarım sırasında içeriğini şifreleyerek, kodlayarak veya başka bir şekilde gizleyerek bir yürütülebilir dosyayı veya dosyayı keşfedilmesini veya analiz edilmesini zorlaştırmaya çalışabilir. Daha fazla bilgi edinin
Bcrypt modülü DLL'sini yükler
6609...ba5b
T1553.002 Serisi
Kod İmzalama
Savunmadan Kaçınma
Saldırganlar, kötü amaçlı yazılımlarını veya araçlarını imzalamak için kod imzalama malzemeleri oluşturabilir, edinebilir veya çalabilir. Daha fazla bilgi edinin
Giriş örneği bir sertifika ile imzalanmıştır
6609...ba5b
T1057 Serisi
Süreç Keşfi
Keşif
Saldırganlar, bir sistemde çalışan işlemler hakkında bilgi almaya çalışabilir. Daha fazla bilgi edinin
Yeni süreçler oluşturur
6609...ba5b
Bilinen alt işlemler olmayan yeni işlemler oluşturur
Konuda belirttim zaten. Olayın detayları tüm şeffaflığıyla yazıyor. Sunuculara bağlanıldığını, KMS işleminin ne olduğunu okuyan görüyor. Bu sunucuların tersine mühendislikle yazılmış açık kaynak sunucular olduğunu ve orijinal Microsoft sunucusu olmadığını da biliyor. İşlemi yapan ona göre yapıyor. Ben de yaklaşık iki sene kullandım, çok kişiye kullandırttım. Şu ana kadar sıkıntı yaşayan tek bir kişiye denk gelmedim. Offline serverler zaten. Fakat ihtimali var tabii ki, konuda da dediğim gibi sütten çıkmış ak kaşık değil sonuçta.
Herkese selam. İşlemi tüm detaylarıyla anlatacağım ve nasıl yapıldığını göstereceğim. Laflarıma internette 5-50 TL'ye satılan OEM keylerin yasal olmadığını belirterek başlayayım. Zamanında bu konu Microsoft'a iletildi ve ucuz lisanların yasal olmadığı söylendi. Öyle bekleniyordu zaten. Ucuz lisanslar genelde klonlama yapıp dağıtılıyor, Türkiye'deki satıcıların büyük çoğunluğu da bu yöntemle OEM diyerek MAK key satıyor. MAK keyler, genellikle şirketlere verilen yüksek yoğunluğa sahip keyler oluyor. 50.000 kere bile kullanılabiliyor. MAK değil de gerçekten OEM, Retail olarak satılanlar ise geride kalan fabrikalardan çalıntı oluyor yahut çalıntı kredi kartları vasıtasıyla satın alınıp ucuzdan satılıyor. Yurt dışından alınıp ucuza satılan ürünler de oluyor. 6.299 TL olan şeyi, arta kalan sipariş ürünü ve tek kullanımlık diye 5-50 TL'ye kimsenin vermeyeceğini biliyorsunuz. Para vermek yerine CMD üzerinden KMS yöntemi ile ücretsiz olarak etkinleştirebiliyorsunuz, "KMS nedir?" diyebilirsiniz. Buradaki konumdan etkinleştirme yöntemlerinin farklılıklarını, nasıl etkinleştirdiklerini ve detaylarını öğrenebilirsiniz.
"Madem yasal değil, nasıl hâlâ internette ucuz lisanslar satılıyor?" diyorsanız Microsoft'un bu ucuz lisans piyasasının önüne geçmesinin imkanı olmadığını belirteyim, bunun önüne geçecek güç şu an Microsoft'ta yok. Gözünüz korkmasın. "Lisans almıştım, sahte mi şimdi?" diye düşünmenize gerek yok. Benim dediğim şey, yasal değiller. Yasal ile orijinalin farkını bilmeniz gerek. İnternetten alacağınız lisans anahtarları da aşağıdaki yöntem de size orijinal bir Windows sunuyor. Fakat tabii ki yasal değiller. Tek yasal yol, herkesin bildiği gibi Microsoft'un kendi sitesinden satın almaktır. Kısacası, ucuz lisansların elde ediliş yolları farklı fakat bize yani son kullanıcılara bir etkisi yok. Size sorunsuz bir etkinleştirme sunuyorlar. Bu konuda ise alternatif olarak CMD'den etkinleştirmeyi göstereceğim.
Yaptığımız işlem temelde KMSpico ile aynı gözükse de sisteme herhangi bir zararlı bırakmıyor, sistemi ele geçirmiyor. Size kısaca KMSpico'nun ne yaptığını anlatayım. Neden zararlı? KMSpico, 10.112.92.197 IP adresine sürekli bağlanır. "C:\Windows" klasörüne sızar, zararlılarını bırakır. "SECOH" adında ".dll" dosyalarını da aynı şekilde burada görebilirsiniz. Görev zamanlayıcısını ele geçirir, çoğu dosyada kendine yer edinir. Arka planda sürekli çalışır ve sistem kaynağını tüketir. Sisteminizi ele geçirir, botnet yapar. Birçok yerde kullanılabilirsiniz, tamamen bir güvensiz ortam içerisinde olursunuz. KMSpico, virüs yuvası ve asla o tür programları önermem. Windows'u etkinleştirmek için asla 3. şahıs programlar indirmeyin. KMSpico'nun problemi indirip aktive ettiğimizde programın içinde saklı olan zararlı virüsler. Yaptığı etkinleştirme işlemi sadece sunuculara bağlanmaktan ibaretken ".exe"nin için virüs atıyorlar. Size indirttiğim herhangi bir program yok. CMD üzerinden yapıyoruz, şu an kullanmasam da geçmişte ben de kullandım. Herhangi bir zararlı yok. Virüs bulunmuyor. Hemen nasıl yapılacağını göstereyim:
Windows sürümünüzü öğrenin. (Dosya gezgininde boş bir yere sağ tıklayıp özelliklere tıklayın, orada yazar.)
CMD programına sağ tıklayıp yönetici olarak açın.
Windows sürümünüze göre CMD'ye şöyle yazıp enterleyin: slmgr.vbs /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Örneğin, Pro sürümü böyle olacak: slmgr.vbs /ipk W269N-WFGWX-YVC9B-4J6C9-T83GX
Home: TX9XD-98N7V-6WMQ6-BX7FG-H8Q99
Home N: 3KHY7-WNT83-DGQKR-F7HPR-844BM
Home (Country Specific): PVMJN-6DFY6-9CCP6-7BKTT-D3WVR
Home (Single Language): 7HNRX-D7KGG-3K4RQ-4WPJ4-YTDFH
Daha sonra bunu yazıp enterleyin: slmgr.vbs /skms kms.lotro.cc
Ardından bunu yazıp enterleyin: slmgr.vbs /ato
Son olarak bilgisayarı yeniden başlatın.
Not: Tüm işlemlere rağmen etkinleşmediyse "kms.lotro.cc" kısmını "kms8.msguides.com" olarak değiştirip tekrar deneyebilirsiniz.
Şimdi bazı arkadaşlar şöyle diyebilir:
"Bunun OEM keyden farkı ne? Aynı şeyi nasıl bedavaya yapıyoruz?"
Tam olarak aynı şey değiller, OEM keyler girildiği zaman anakarta gömülüyor diyebiliriz. Microsoft ve anakart ID'si eşleşiyor, format attıktan sonra internete bağlandığınız gibi etkinleşiyor. OEM keyi bilgisayara bir kere girdikten sonra kaç kere format atarsanız atın gitmiyor ve sizinle kalıyor. Sizden temelli ayrılması için ise anakart değiştirmeniz ya da lisansı kalıcı olarak silmeniz lazım. Bu yaptığımız CMD yönteminde ise sadece kodları girerken anlık bir etkinleştirme uygulanıyor, format sonrası tamamen kalkar. Yaptığımız işlemi de detaylıca anlatayım, KMS (Key Management Service) yoluyla olduğunu söylemiştim. Bu işlem, genellikle Volume lisans sahibi şirketlerde çevrim dışı ya da çevrim içi aktivasyon için kullanılıyor. Bir adet ana KMS serveri bulunuyor, diğer bilgisayarlar da KMS kanalını ona atayıp otomatik etkinleştirme yapıyor. Piyasada onlarca KMS serveri bulunuyor. Konuda "kms.lotro.cc"yi verdim. Offline bir server kendisi. Karşı taraf verilerinizi işleyip döngüye sokamıyor yani. Online serverler de var, onlar yedi günde bir etkinleştirme süresini yeniliyor. Onlara bağlanmanızı önermiyorum. Serverin offline olması daha güvenli. Online, offline serverlerin listesi için:
Online KMS serverleri:
kms.digiboy.ir
hq1.chinancce.com
54.223.212.31
kms.cnlic.com
kms.chinancce.com
kms.ddns.net
franklv.ddns.net
k.zpale.com
m.zpale.com
mvg.zpale.com
kms.shuax.com
kensol263.imwork.net:1688
xykz.f3322.org
kms789.com
dimanyakms.sytes.net:1688
kms.03k.org:1688
Offline KMS serverleri:
kms.lotro.cc
mhd.kmdns.net110
noip.me
45.78.3.223
kms.didichuxing.coms
zh.us.to
toxykz.f3322.org
192.168.2.81.2.7.0
kms.guowaifuli.com
106.186.25.2393
rss.vicp.net:20439
122.226.152.230
222.76.251.188
annychen.pw
heu168.6655.la
kms.aglc.cc
kms.landiannews.com
kms.xspace.in
winkms.tk
kms7.MSGuides.com
kms8.MSGuides.com
kms9.MSGuides.com
Bu sunucular tersine mühendislik ile yazılmış diyebiliriz. İçerisinde bir sürü açık kaynak kodlu yazılımlar bulunuyor. Microsoft'un kendi orijinal sunucuları değil tabii ki. Bunu bedavaya vermezlerdi. Ben şu ana kadar bu işlemden dolayı sorun yaşayan tek bir kişi bile görmedim, kendim de uzun süre kullandım ve bir sorun yaşamadım fakat güvenip güvenmemek size kalmış. Sütten çıkmış ak kaşık değil sonuçta. 90-180 gün boyunca Windows'u sıkıntısız kullanabilirsiniz. Etkinleştirme süresi bitmeye yakın uyarı verir, kodları tekrar girerek yenileyebilirsiniz.
Memnun kalmadıysanız ve etkinleştirmeyi kaldırmak istiyorsanız:
Çıkan uyarılara tamam deyin ve bilgisayarı yeniden başlatın. Bilgisayar açıldığında etkinleştirmenin silinip silinmediğine bakmak için CMD'yi yönetici olarak başlatın ve slmgr -dli yazın. Lisans olup olmadığını gösterecektir.
Konuda belirttim zaten. Olayın detayları tüm şeffaflığıyla yazıyor. Sunuculara bağlanıldığını, KMS işleminin ne olduğunu okuyan görüyor. Bu sunucuların tersine mühendislikle yazılmış açık kaynak sunucular olduğunu ve orijinal Microsoft sunucusu olmadığını da biliyor. İşlemi yapan ona göre yapıyor. Ben de yaklaşık iki sene kullandım, çok kişiye kullandırttım. Şu ana kadar sıkıntı yaşayan tek bir kişiye denk gelmedim. Offline serverler zaten. Fakat ihtimali var tabii ki, konuda da dediğim gibi sütten çıkmış ak kaşık değil sonuçta.
github.com
