微软SPP被攻破，TSforge实现Windows/Office全版本激活

ninehua 2025-05-23 19:06 35 浏览

IT之家 2 月 15 日消息，技术团队 MASSGRAVE 昨日（2 月 14 日）发布博文，宣布成功突破 Windows 的核心 DRM 系统软件保护平台（SPP），发现了迄今为止最强大的 Windows 激活漏洞 TSforge，能够激活 Windows 7 以来所有版本的 Windows 系统，以及 Office 2013 以来的所有版本和附加组件。

软件保护平台（SPP）

微软软件保护平台（SPP）是 Windows 操作系统中的一个重要组件，负责保护和管理软件许可证，验证 Windows 和其他微软产品的合法性，防止未经授权的复制、篡改许可和启动功能。

SPP 是近 20 年来 Windows 的核心 DRM 系统，也是自 Windows Vista 早期开发以来激活系统的主要途径。尽管多年来出现了各种绕过 SPP 的技巧，但从未有过直接攻击 SPP 本身的漏洞利用。

CID 技巧的发现:

研究人员在 2023 年发现了一种名为“CID 技巧”的方法，可以绕过 SPP 验证，写入伪造的确认 ID（CID）。IT之家注：CID 是通过电话激活 Windows 时使用的数值，由于电话激活无需联网，所有 Windows 版本和附加组件都至少有一个可电话激活的许可通道。

通过修改内存中 CID 验证代码，研究人员可以使用全零 CID 激活 Windows，并且即使重启 sppsvc 服务后激活状态依然保留，这表明 SPP 保存的激活数据在写入后不会再次验证。

激活数据存储位置的探索:

研究人员发现激活数据存储在“可信存储区”中，该存储区的数据以加密文件形式保存，并与 HKLM\SYSTEM\WPA 下的加密注册表项相关联。

在 Windows 8.1 和 10 上，数据主要存储在 C:\Windows\System32\spp\store\2.0\data.dat 和 C:\Windows\System32\spp\store\2.0\tokens.dat 中。

Windows 7 则使用了 spsys.sys 驱动程序将数据写入 C:\Windows\System32\
7B296FB0-376B-497e-B012-9C450E1B7327-5P-*
.C7483456-A289-439d-8115-601632D005A0 文件和 WPA 注册表项。

突破口

研究人员通过分析泄露的 Windows 8 早期版本（Build 7792 和 7850）的 spsys.sys 驱动程序，找到了破解可信存储区的方法。通过跳过加密调用，可以直接将未加密的内容写入磁盘。

团队结合对 Windows 10 sppsvc.exe 的研究，找到了加密、解密、签名校验和哈希校验例程，并通过修补这些例程，使 sppsvc 解密 data.dat 文件并接受修改。

获取和利用

研究人员通过逆向工程和模拟 RSA 解密例程 SpModExpPrv，成功获取了用于加密 AES 密钥的 RSA 私钥，进而解密了可信存储区的数据。

团队还绕过了 Windows 7 和 CSVLK 的 PKEY2005 编码系统，并创建了适用于所有硬件的通用 HWID，最终实现了几乎所有 Windows 版本的离线激活。

项目地址：
https://github.com/massgravel/TSforge

官网介绍：
https://massgrave.dev/blog/tsforge

win7激活密钥永久激活工具

微软SPP被攻破，TSforge实现Windows/Office全版本激活

软件保护平台（SPP）

CID 技巧的发现:

激活数据存储位置的探索:

突破口

获取和利用

相关推荐

详解什么是BT种子、迅雷下载链接、磁力链接

超强!批量修改文件名工具，一次处理上万个，支持各种网盘!

佳能R62、R7、R10解决ERR70问题的新固件来了，附详细升级方法!

P106/104系列显卡安装魔改驱动步骤

potplayer在线字幕翻译插件——potplayer播放器功能插件推荐

Gopeed，全平台多线程高速下载器，支持磁力BT下载，跑满宽带

麒麟桌面操作系统如何安装佳能打印机驱动程序(图文)

【Steam防坑指南】:教你识破“假入库”骗局!保住钱包和账号!

磁力链接bt链接转直链IDM下载

方正兰亭黑系列/汉仪旗黑家族/思源黑体介绍与区别