FAQ c’t-KeyFinder: Windows-Installationsschlüssel auslesen und zuordnen

Der c’t-KeyFinder liest Installationsschlüssel aus beliebigen Windows-Installationen aus. Seit der Veröffentlichung sind weitere Fragen aufgetaucht.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen

(Bild: c't)

Lesezeit: 8 Min.
Von
  • Axel Vahldiek
Inhaltsverzeichnis

Der c't KeyFinder liest die Windows-Schlüssel aus Ihren Installationen aus und versucht einzuordnen, welcher Schlüssel zu welcher Version, Edition und Lizenz gehört. Die Schlüssel benötigen Sie etwa für Neuinstallation, Backup und Inventuren – oder einfach nur, weil es geht.

Alle nötigen Anleitungen zum KeyFinder finden Sie in c’t 6/2023, wir haben eine Projektseite zum KeyFinder angelegt und eine erste FAQ zum Schlüsselfinder veröffentlicht. Im Folgenden beantworten wir weitere Fragen zum Skript und dessen Auswertung.

In meinen Backups steckt auch die Sicherung von Registry-Dateien einer längst nicht mehr vorhandenen Windows-Installation. Kann ich mit dem c’t-KeyFinder auch aus diesen die Installationsschlüssel auslesen?

Sofern das Backup intakt ist: Ja. Erzeugen Sie auf einem USB-Laufwerk einen Ordner namens "Windows", darin einen Unterordner namens "System32" und darunter wiederum einen namens "config". Dort hinein kopieren Sie die gesicherten Registry-Dateien, genauer jene namens "SYSTEM" und "SOFTWARE" (jeweils ohne Dateiendung). Lassen Sie anschließend den KeyFinder unter Windows bei angestöpseltem USB-Laufwerk laufen. Sie erkennen die Schlüssel aus dem Backup wie bei KeyFinder in solchen Fällen üblich daran, dass in der ctkey.txt in der Pfadangabe hinter "Fundort" die Angabe "Laufwerk_X" steckt, wobei X hier durch den gerade verwendeten Laufwerksbuchstaben Ihres USB-Laufwerks ersetzt ist.


Der KeyFinder verrät zwar für die aus Windows ausgelesenen Schlüssel, für welche Version und Edition sie jeweils sind. Doch ich habe hier einen Schlüssel, der nicht in Windows steckt, sondern auf einem Zettel steht. Kann mir der KeyFinder auch über den etwas sagen?

Nach dem Entpacken finden Sie im Ordner "Sources" ein weiteres Skript namens ct-PID-Check.bat. Rufen Sie es mit einem Schlüssel als Parameter auf, versucht es, ihn zu identifizieren. Beachten Sie dabei: Das Skript identifiziert nur Windows-Schlüssel, also keine von anderen Anwendungen.

Der c’t-KeyFinder enthält im Ordner Sources ein Zusatzskript, mit dem Sie einzelne Schlüssel identifizieren können.

Ich habe sämtliche von mir erworbenen Windows-Installationsschlüssel ohnehin notiert und sicher verwahrt. Zum Komplettieren meiner Notizen fehlt mir bloß der im BIOS steckende Schlüssel. Ich habe gehört, dass ich dann zum Auslesen eigentlich nur einen einzigen Kommandozeilenbefehl brauche, stimmt das?

Ja, in diesem speziellen Fall können Sie im Prinzip auf den KeyFinder verzichten, denn den BIOS-Schlüssel können Sie auch mit Windows-eigenen Kommandozeilenbefehlen auslesen. Admin-Rechte sind dafür nicht erforderlich. Der Befehl für die Eingabeaufforderung cmd.exe lautet:

wmic path softwarelicensingservice
 get OA3xOriginalProductKey

PowerShell-Fans tippen ein paar Zeichen mehr:

Get-CimInstance
 SoftwareLicensingService |
 select OA3xOriginalProductKey

Windows ist nicht mehr auf dem PC installiert? Unter Linux können Sie den BIOS-Schlüssel auch auslesen:

sudo strings
 /sys/firmware/acpi/tables/MSDM

Beachten Sie: Wenn einer der Befehle einen Schlüssel im BIOS findet, gehört der zu genau der Edition (Home Pro, ...) jener Windows-Version (8.1, 10, 11 ...), die der PC-Hersteller ursprünglich vorinstalliert hat. Welche das ist, verraten die Befehle jedoch nicht. Anders der c’t-KeyFinder: Er nennt im Idealfall auch diese Information. Das klappt zwar nicht immer, doch wenn es so ist, spart Ihnen das weitere Recherche. Zudem spart der KeyFinder im Vergleich zu den Befehlen Tipparbeit, speichert den Schlüssel direkt in einer Textdatei und versieht den Fund mit einem Hinweis, wann der Schlüssel auf welchem PC gefunden wurde. Schließlich: Da unser Skript auch unter Windows PE und dem c’t-Notfall-Windows läuft, kommt es wie der Linux-Befehl ohne Windows-Installation auf dem internen Datenträger aus.


Nach meinem Kenntnisstand wird dann, wenn ich beim Installieren von Windows 10 oder 11 meinen aktivierbaren Installationsschlüssel eingebe, dieser durch einen nicht-aktivierbaren "generischen" Schlüssel ersetzt. Zudem sagt Windows, es sei durch eine digitale Lizenz aktiviert. Ist der KeyFinder in solchen Fällen nicht sinnlos?

Die Aussage "digitale Lizenz" sagt nichts darüber aus, ob ein aktivierbarer Schlüssel, ein generischer oder gar beide in der Installation stecken.

Genauer: Es gibt nur einen einzigen uns bekannten Fall, in dem Windows Ihren aktivierbaren Schlüssel aus dem System rauswirft und durch einen generischen ersetzt: Wenn Sie Windows 10 oder 11 frisch neu installieren (!) und dafür einen Schlüssel verwenden, der zu Windows 7, 8 oder 8.1 gehört.

In allen anderen Fällen kann der KeyFinder Ihren Originalschlüssel auslesen, weil er in der Installation erhalten bleibt: Entweder als aktueller Schlüssel, wenn Sie zum Neuinstallieren einen für Windows 10 oder 11 verwenden. Oder aber als Backup, wenn Sie eine bereits bestehende Windows-7/8/8.1-Installation per Upgrade auf 10/11 aktualisieren.


Meine Windows-11-Installation habe ich mit einem Windows-11-Schlüssel aktiviert. Der KeyFinder findet diesen Schlüssel, identifiziert ihn aber als einen für Windows 10. Ein Bug?

Der hier vom KeyFinder ausgelesene Schlüssel gehört zwar zu Windows 10, doch genauso auch zu Windows 11: Beide Versionen verwenden dieselben Schlüssel.

Nein, sondern eine Besonderheit von Windows 10 und 11: Beide Betriebssysteme nutzen die gleichen Schlüssel. Es sind uns jedenfalls bislang keinerlei Merkmale bekannt, die Schlüssel für 10 und 11 unterscheiden würden. Anders formuliert: Ein Schlüssel für Windows 10 ist zugleich immer auch einer für Windows 11.


Der KeyFinder startet zwar und es erscheint das Fenster einer Eingabeaufforderung, doch dieses Fenster schließt sich sofort wieder. Eine ctkey.txt ist anschließend nicht zu finden. Auf einem anderen PC erscheinen in der Ausgabe "Zugriff verweigert"-Meldungen.

Das kann passieren, wenn der Pfad des Speicherortes des Skripts Leer- oder Sonderzeichen enthält. Entpacken Sie in diesem Fall das Skript beispielsweise nach D:\Temp. Sobald Sie die Schlüssel aus dieser Installation erfolgreich ausgelesen und weggesichert haben, können Sie den Ordner ja wieder löschen.


Das Skript steckt in keinem Ordner mit Leer- oder Sonderzeichen, das cmd-Fenster geht trotzdem sofort wieder zu.

Es erscheint dennoch eine Fehlermeldung, die nur deshalb nicht zu lesen ist, weil sich das Eingabeaufforderungsfenster ja sofort wieder schließt. In diesem Fall hilft es bei der weiteren Analyse, wenn Sie das Skript nicht per Doppelklick aus dem Explorer starten. Öffnen Sie stattdessen eine Eingabeaufforderung, hangeln Sie sich darin zum Skript-Speicherort durch und rufen Sie es auf.


Bei der von uns zuerst zum Download bereit gestellten Version des c’t-KeyFinder lösten einige Virenscanner Fehlalarme aus. Sie können sich selbst überzeugen, dass keinerlei Schädlinge enthalten sind: Wir haben den Quellcode des monierten Programms ctBiosKey*.exe auf GitHub veröffentlicht.

Sie können die zuerst von uns veröffentlichte Version also unverändert weiterverwenden. Oder Sie laden das Skript unter ct.de/keyfinder erneut herunter: Bei der aktuellen, dort verlinkten Version besteht das Problem nicht mehr, bei ihr hatte bei unseren Tests kein einziger Scanner etwas zu meckern.

Als Ursache der Fehlalarme vermuten wir, dass die Scanner sich daran stören, dass der KeyFinder direkt auf die ACPI-Tabelle der Mainboard-Firmware zugreift. Dieser Zugriff ist unvermeidlich, denn dort steckt ja der BIOS-Schlüssel. Über einen ähnlichen Zugriff lässt sich aber auch feststellen, ob Windows gerade in einer virtuellen Maschine (VM) läuft. Diese Information werten manche Schädlinge aus, um sich unter vermeintlichen Laborbedingungen (eben in einer VM) still zu verhalten und so vor Entdeckung zu schützen. Das wiederum bringt manche Virenscanner dazu, solches Auswerten als Alarmsignal zu werten, obwohl es völlig harmlos ist.

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(axv)