事情是这样的，前两天在Freebuf看到一篇火绒发表的帖子——《盗版用户面临的“APT攻击”风险》（链接：http://www.freebuf.com/articles/system/105892.html），加之我弟的电脑系统激活即将到期，于是我对他的windows系统进行了一次重新激活。

      首先，和之前一样，我首先想到的是激活神器——小马激活工具。但是小马在去年就已经停止了该激活工具的开发和维护，并且现在官网也找不到该工具的下载链接了，百度一搜倒是能在其它网站上下载到。

      联想到在那篇帖子中提到的“小马激活病毒”，我对百度搜索结果第一页中下载的小马激活工具进行了测试，部分程序本身360安全卫士报毒，部分不报毒，上传到viruscan.org进行检测，各个版本的工具被查出病毒的几率为6/39。其中我放弃了无法绕过360的版本，对能够加壳做360免杀的工具进行测试。

在运行数秒之后，360开始提示各种如“线程注入”等风险，选择忽略，稍后提示激活成功，要求保持该工具一直保留不被杀毒软件查杀。使用slmgr.vbs命令查看，激活的有效期为45天。

      然后我就想到了以前很出名的KMS激活，也就是现在的kmspico激活工具，在官网下载需要做任务，由于没能加载出来所以最后选择了在其它的网站下载。安装程序依然没有问题，但是在激活的过程中还是会收到很多各种风险提示。难道就没有一款值得信任的激活工具了吗？于是我去谷歌，关键字是输入的英文，因为想找找看有没有国外的大神写的激活工具，然而结局令人很失望，连360都过不了。

      最后我卸载了之前用工具激活安装的激活密钥，让windows处于未激活状态。今天开机的时候，进入桌面以后首先弹出的是EXPLORE进程自动打开的计算机界面（也就是C、D、E盘界面），这一个行为让我很好奇，但是没有深究。在使用了一会之后右下角弹出一个命名为“迷你窗口”的广告弹窗，于是就有了今晚对于这个问题的深究。

一.打开任务管理器，查看到有三个空白名称的进程，加之一个svchost.exe进程显得十分异常，定  位这个svchost.exe打开路径却是：C://windows/syswow64这个文件夹下面，它不是 微软官方的svchost。

二.下载Avast！，安装好以后弹窗提示拦截了脚本感染，稍微扫描一下，结果如下：

      这四个威胁前两个是后面的工具运行后声称的脚本木马，用途为：后台访问、更新本地木马代码、前台展示（可能有后台访问但是不展示行为的）广告。以这种手段来达到木马绑定者通过中招用户获取流量（推广）费的目的。

三.检查系统任务计划，发现激活工具的启动计划：

四.检查注册表，发现了导致开机自动弹出Explore界面以此运行上述脚本木马的键值：

五.任务管理器里面还是存在空白名进程，与此同时还有一个进程很显眼：

      这个文件本来应该出现的路径是：c://windows/system32文件夹下，果断清除。（关于这一点有待商榷。）

      到此，清理跑马场的任务已经完成，重启之后发现没有了之前的弹窗情况，但是，windows还是处于未激活状态。

      你们也许要问，真的真的就没有一款值得信任的激活工具了吗？我智能很遗憾地说：我目前反正是没找到。今天咨询了一下微软的技术人员然后总结一下，要安全地激活windows只能：

      1.升级（购买）windows10.

      2.由于之前版本的windows官方已经停售，要购买正版只能寻找第三方厂商。

      3.买正版太贵了吧，我们需要的只是一个激活码，所以，可以去某宝购买激活密钥，价格3—10块钱不等。

      最后，提醒一下各位千万不要相信目前网上能下载的激活工具，也不要相信永久激活工具，最安全的方法就是购买一枚激活密钥，当然如果有耐心的话在网上还是能够找到免费的。此外，激活工具将带来的威胁远远不止局限于流量劫持，通过本地木马的释放和通信，将你的电脑变成肉鸡也是轻而易举的事。关于上诉过程有些错误的，欢迎批评指正，但是请勿见怪。

      附上自己系统的属性以及slmgr.vbs -xpr提示的“永久激活”

                                                                                                   By：迷失的瓦解