Программа предназначена для восстановления паролейпользователей Windows NT, Windows 2000, Windows XP,Windows 2003, Windows Vista, Windows 7 и имеет ряд особенностей,выгодно отличающих ее от аналогичных программ:
Программа имеет небольшой размер, не требует инсталляциии может запускаться с дискеты, с CD/DVD-диска или с внешнего USB-диска.
Программа содержит свыше 10
видов импорта данных и позволяет использовать 6
видов атак длявосстановления паролей пользователей:
– Атака полным перебором;
– Атака распределенным перебором;
– Атака по маске;
– Атака по словарям;
– Гибридная атака;
– Атака по предварительно рассчитанным Rainbow-таблицам.
Код перебора паролей в программе полностью написан на языкеАссемблер, что позволяет получать очень высокую скорость перебора паролей на всех процессорах.
Программа корректно извлекает имена и пароли пользователей Windowsв национальных кодировках символов.
Импорт данных
Программа имеет следующие возможности для импорта данных:
"Import SAM and SYSTEM Registry Files" – импорт пользователей из файла SAM реестра Windows.Если в загружаемом файле SAM используется дополнительное шифрование ключом SYSKEY (ав Windows 2000/XP/2003/Vista такое шифрование включено принудительно),то программе дополнительно потребуется файл SYSTEM реестра Windows, располагающийся втой же директории Windows, что и файл реестра SAM, а именно – в каталоге %SystemRoot%\System32\Config.Также копии этих файлов могут находиться в каталогах %SystemRoot%\Repairи %SystemRoot%\Repair\RegBack. (Примечание: %SystemRoot% – системная директория Windows, обычно этокаталог C:\WINDOWS или C:\WINNT).
"Import SAM Registry and SYSKEY File" – импортпользователей из файла реестра SAM с использованием файлас системным ключом SYSKEY.
"Import from PWDUMP File" – импорт пользователей из текстового файлав формате программы PWDUMP. В каталоге \Hashes архива с программой SAMInsideвы можете найти тестовые файлы подобного формата.
"Import from *.LC File" – импорт пользователей из файлов, создаваемых программой L0phtCrack.
"Import from *.LCP File" – импорт пользователей из файлов, создаваемых программами LC+4 и LC+5.
"Import from *.LCS File" – импорт пользователей из файлов, создаваемых программами LC4, LC5 и LC6.
"Import from *.HDT File" – импорт пользователей из файлов, создаваемых программами Proactive Windows Security Explorer и Proactive Password Auditor.
"Import from *.LST File" – импорт пользователей из файла LMNT.LST, создаваемого программой Cain&Abel.
"Import LM-Hashes from *.TXT File" – импорт списка LM-хэшей из текстового файла.
"Import NT-Hashes from *.TXT File" – импорт списка NT-хэшей из текстового файла.
"Import Local Users ..."
– импорт пользователей с локальногокомпьютера (для этого программу нужно запустить под пользователем с правами Администратора).В программе используются следующие методы получения хэшей локальных пользователей:
" ... via LSASS"
– импорт локальных пользователей, используя подключение к процессу LSASS.
" ... via Scheduler"
– импорт локальных пользователей с использованием системной утилиты Scheduler.
Также программа позволяет добавлять пользователей с известными LM/NT-хэшами через диалоговое окно (Alt+Ins ).
При этом максимальное количество пользователей, с которыми работает программа – 65536 .
Экспорт данных
Программа имеет следующие возможности для экспорта данных:
"Export Users to PWDUMP File" – экспорт всех пользователейв текстовый файл в формате программы PWDUMP. Далее вы можете загружать полученный файлв любую удобную для вас программу для восстановления паролей.
"Export Selected Users to PWDUMP File" – экспорт выделенных пользователейв текстовый файл в формате программы PWDUMP.
"Export Found Passwords" – экспорт найденных паролей в формате "User name: Password".
"Export Statistics" – экспорт текущей статистики программы в текстовый файл.
"Export Users to HTML" – экспорт информации о пользователях в HTML-файл.
Восстановление паролей
Атака полным перебором
Данный вид атаки представляет собой полный перебор всех возможных вариантов паролей.
Атака полным перебором также включает в себя атаку распределенным перебором .Данный вид атаки позволяет использовать для восстановления паролейнесколько компьютеров, распределив между ними обрабатываемые пароли.Этот вид атаки включается автоматически, когда пользователь устанавливает количество компьютеров,участвующих в атаке, более одного. После этого становится доступной возможностьвыбора диапазона паролей для атаки на текущем компьютере.Таким образом, чтобы начать атаку распределенным перебором, вам необходимо:
1. Запустить программу на нескольких компьютерах.
2. Выбрать во всех экземплярах программы нужное количество компьютеров для атаки.
3. Установить одинаковые настройки для перебора на всех компьютерах.
4. Выбрать для каждого компьютера свой
диапазон перебора паролей.
5. Запустить на каждом компьютере атаку полным перебором.
Атака по маске
Данный вид атаки используется, если есть определенная информация о пароле.Например:
– Пароль начинается с комбинации символов "12345";
– Первые 4 символа пароля – цифры, остальные – латинские буквы;
– Пароль имеет длину 10 символов и в середине пароля есть сочетание букв "admin";
– И т.д.
Настройки перебора по маске позволяют сформировать маску дляперебираемых паролей, а также установить максимальную длину перебираемых паролей.Установка маски заключается в следующем – если вы не знаете N-й символ пароля, товключите N-й флажок маски и в соответствующем текстовом поле укажите маску для этого символа.Если же вы заранее знаете определенный символ пароля, товпишите его в N-е текстовое поле и снимите флажок маски.
В программе используются следующие символы маски:
?
– Любой печатаемый символ (ASCII-коды символов 32...255).
A
– Любая заглавная латинская буква (A...Z).
a
– Любая строчная латинская буква (a...z).
S
– Любой специальный символ (!@#...).
N
– Любая цифра (0...9).
1...8
– Любой символ изсоответствующего пользовательского набора символов.
Атака по словарям
Словарь – это текстовый файл, состоящий из часто употребляемых паролей типа
123
admin
master
и т.д.
Настройки атаки по словарям также включают и гибридную атаку , т.е.возможность добавлять к проверяемым паролямдо 2 символов справа и слева, что позволяет восстанавливать такие пароликак "master12" или "#admin".
Атака по предварительно рассчитанным таблицам
Данный вид атаки использует Rainbow-технологию(http://project-rainbowcrack.com/)для создания предварительно рассчитанных таблиц.
Дополнительно
– Для всех видов атак необходимодополнительно указать – по каким хэшам (LM или NT) восстанавливатьпароли.
– Для атаки по словарям (в списке файлов словарей) идля атаки по Rainbow-таблицам (в списке файлов таблиц)необходимо отметить галочками те файлы, которые предполагается использоватьв атаке.
Параметры командной строки
Программой можно управлять, используя следующие параметры командной строки:
-hidden : запуск программы в скрытом режиме;
-noreport : запрещает программе выдавать сообщения об окончании атаки;
-import : при загрузке программа сразу же выполнитавтоматический импорт локальных пользователей;
-export : программа выполнит импортлокальных пользователей, сохранит результаты вфайл SAMInside.OUT и завершит работу;
-minimize : запускпрограммы с минимизацией в трей.
Дополнительные возможности программы
1. Проверка пароля на всех пользователях, загруженных в программу.
Для этого в текстовом поле "Current password:" введите нужный парольи нажмите F2
. После этого программа проверит данныйпароль на всех
пользователях, пароль к которым еще не найден.
2. "Скрытый режим" работы программы (Ctrl+Alt+H
).
При выборе этого режима программа исчезнет с экрана и с панели задач.
Для возврата из скрытого режима нажмите эту же комбинацию клавиш.
3. Также в архиве с программой находятся следующиеконсольные утилиты для работы с файлами реестра SAM и SYSTEM:
GetSyskey –программа извлекает из файла реестра SYSTEM системный ключ SYSKEY и сохраняет его в отдельный 16-байтовый файл.
GetHashes –программа извлекает хэши пользователей из файла реестра SAM, используя файл с ключом SYSKEY.
LRConvert – программа преобразует хэши из форматапрограммы "Login Recovery" в формат PWDUMP.
PassToSyskey – программа генерирует ключ SYSKEY на основе вводимого пароля.
Сначала мы хотели назвать данную статью иначе, например «Взлом паролей Windows» или что-то этом роде, поскольку такое название как нельзя лучше отражает ее суть. Однако слово «взлом» уж больно отдает чем-то криминальным, чем-то, за что в приличном обществе бьют по рукам (и не только по рукам), а в цивилизованных странах могут и в тюрьму посадить. А вот восстановление или обнуление забытого пароля - это уже сродни гуманитарной помощи, что может только приветствоваться. Правда, суть от этого не меняется. Взлом - он и в Африке взлом, как его ни называй. Процедура восстановления или обнуления забытого пароля и самый что ни на есть криминальный взлом системы отличаются разве что нравственными аспектами, но никак не последовательностью выполняемых действий.
Мы не будем вдаваться в подробности, зачем пользователю может понадобиться узнать пароль или обнулить его для получения доступа к системе. Оставляя за рамками повествования нравственную сторону вопроса, расскажем о том, каким образом можно обнулить или восстановить свой локальный пароль доступа к ПК, а также узнать сетевые пароли пользователей домена, если речь идет о локальной сети. Мы не станем изобретать велосипед и, поскольку тема эта отнюдь не нова, опишем лишь некоторые утилиты, с помощью которых можно легко обойти систему безопасности компьютера.
Для того чтобы понять, как взламываются пароли, читателям придется сначала усвоить, каким образом происходит аутентификация пользователей, где и в каком виде хранятся их пароли и как их можно узнать. В дальнейшем мы будем основываться на операционной системе Windows XP, хотя вскрытие паролей таких операционных систем, как Windows 2000/2003, от рассмотренного случая ничем не отличается, а в Windows 95/98/Mе те же действия выполнить еще проще.
Процесс локальной или сетевой аутентификации пользователя довольно прост: пользователь вводит пароль, соответствующий его учетной записи, и если пароль верен, то пользователь получает доступ в систему. Проверка пароля реализуется средствами операционной системы путем его сравнивания с паролем, хранящимся в компьютере. При этом разница между локальной и сетевой аутентификацией заключается лишь в том, что при локальной аутентифкации база учетных записей пользователей с их паролями хранится на самом компьютере, а при сетевой аутентификации - на специальном сервере, называемом контроллером домена.
Казалось бы, что может быть проще? Ведь нужно только знать, где именно хранится учетная база пользователей с их паролями, и подсмотреть нужную информацию. Но это слишком просто, чтобы оказаться правдой. Конечно же, все пароли сохраняются в зашифрованном виде. Зашифрованный пароль именуется хэшем (hash) или хэш-функцией пароля. Причем в данном случае речь идет о довольно хитром методе шифрования, особенность которого заключается в том, что зашифрованный таким образом пароль… принципиально невозможно расшифровать! Дело в том, что алгоритм шифрования (хэширования) является односторонним. Фактически любой алгоритм хэширования представляет собой подсчет контрольной суммы от исходного текста, при котором используются необратимые логические операции над исходным сообщением, такие как AND, OR и др.
Таким образом, по паролю можно вычислить его хэш-функцию, но, зная хэш-функцию, принципиально невозможно вычислить пароль, которому она соответствует. Сама хэш-функция представляет собой числовую последовательность длиной 16 байт.
Для справки: существует огромное количество различных алгоритмов вычисления хэш-функций, и соответственно хэш-функции могут быть разных типов. В дальнейшем мы будем говорить только о хэш-функциях паролей, создаваемых операционной системой Windows при локальной или сетевой аутентификации пользователей (LM- или NT-хэш).
Естественно, возникает вопрос: если знание хэш-функции не позволяет выяснить пароль пользователя, то как же в таком случае происходит процесс аутентификации? Дело в том, что при аутентификации сравниваются не сами пароли, а их хэш-функции. В процессе аутентификации пользователь вводит пароль в привычном для него виде, а операционная система рассчитывает его хэш-функцию и сравнивает с хэшем, хранящимся в компьютере. В случае их совпадения аутентификация считается успешной.
Процесс взлома, или подбора, пароля банален и представляет собой обычный перебор возможных паролей. Для этого нужно знать хэш-функцию пароля, хранимую в компьютере, и уметь вычислять хэш по паролю. Тогда, перебирая различные варианты паролей и сравнивая расчетные хэши с тем, что хранится в компьютере, можно подобрать правильный пароль.
Казалось бы, такой перебор никогда не закончится - вариантов паролей существует бесконечное множество. Однако не стоит торопиться с выводами. Во-первых, количество возможных паролей все-таки конечно, а во-вторых, современные компьютеры позволяют перебирать миллионы паролей в секунду. Кроме того, имеются различные методы атак на пароли (об этом речь пойдет далее), которые в большинстве случаев приводят к положительному результату в считаные минуты. Прежде чем от теории перейти к практике, рассмотрим смысл понятия «хэш» и выясним, сколько вариантов паролей реально существует.
В операционных системах Windows NT/2000/2003/XP существует два типа хэш-функций паролей: LM-хэш (LanMan-хэш) и NT-хэш. Хэш LM достался нам в наследство от сетей Lan Manager и используется в операционных системах Windows 9x. Поэтому, несмотря на то, что все современные операционные системы поддерживают новый тип хэширования (NT-хэш), чтобы обеспечить совместимость с клиентами Windows 9x, операционная система вынуждена хранить вместе с новым NT-хэшем и старый LM-хэш.
При применении LM-хэширования длина пароля ограничена 14 символами. Самым большим недостатком алгоритма получения LM-хэша является разделение пароля на две части, каждая из которых состоит из семи символов. Если вводимый пользователем пароль менее 14 символов, то при преобразовании к нему добавляются нулевые символы, то есть символы с кодом 0, чтобы получить строку, состоящую из 14 символов. Если же пароль пользователя превышает 14 символов, то LM-хэш соответствует пустому паролю. Каждая из 7-символьных половин пароля шифруется независимо от другой по алгоритму DES (бывший федеральный стандарт США), причем поскольку процесс шифрования каждой из 7-символьных половин пароля независим, то и подбор этих половин можно производить независимо, что значительно упрощает и ускоряет процесс вскрытия пароля. Другой серьезный недостаток LM-хэша связан с тем, что в процессе шифрования все буквенные символы пароля переводятся в верхний регистр. А поскольку LM-хэш содержит информацию о пароле без учета регистра, то LM-хэши для паролей ALLADIN, alladin, Alladin и aLLadin будут совершенно одинаковыми. Это существенно ограничивает количество возможных комбинаций пароля и, как следствие, ускоряет процесс вскрытия.
NT-хэш лишен недостатков, присущих LM-хэшу. Во-первых, при NT-хэшировании используется алгоритм шифрования MD4, при котором пароль не разбивается на две 7-символьные части. Во-вторых, при NT-хэшировании нет ограничения по длине пароля в 14 символов. В-третьих, NT-хэш является регистрозависимым, то есть NT-хэши для паролей ALLADIN и alladin будут совершенно разными.
Как мы уже отмечали, размер хэш-функций (и LM, и NT) независимо от длины вводимого пароля составляет 16 байт. Если длина пароля менее 14 символов, то для каждого пароля имеются и LM-, и NT-хэши. Если же длина пароля превышает 14-символов, то существует только NT-хэш.
Подобрать правильный пароль к известному NT-хэшу значительно сложнее, чем к LM-хэшу. Если известны и LM-, и NT-хэши, то сначала осуществляется подбор пароля по LM-хэшу, а после нахождения LM-пароля (все буквы верхнего регистра) используется NT-хэш для определения NT-пароля с учетом регистра. Правда, в данном случае есть одна тонкость: для пароля не всегда существует LM-хэш, для которого нужно, чтобы длина пароля была меньше или равной 14 символам. Но даже в случае, если длина пароля меньше 14 символов, LM-хэш можно удалить из базы. О том, как это сделать, мы еще расскажем, а пока приведем практические примеры LM- и NT-хэшей различных паролей.
Рассмотрим для начала 7-символьный пароль alladin, которому соответствует 16-байтный LM-хэш, записанный в шестнадцатеричной системе счисления. Далее рассмотрим 14-символьный пароль alladinalladin, для которого LM-хэш будет таким:. Обратите внимание, что первая половина (8 байт: a01fad819c6d001a) этого хэша полностью совпадает со второй. Кроме того, первая половина данного хэша совпадает с первой половиной LM-хэша пароля alladin. Такое совпадение отнюдь не случайно, если вспомнить, что каждые семь символов пароля кодируются независимо и определяют 8 байт итогового LM-хэша.
Интересно также отметить, что вторая половина LM-хэша пароля (aad3b435b51404ee) должна соответствовать символам с кодом 0, поскольку в том случае, если пароль меньше 14 символов, к нему добавляются пустые символы. То есть ad3b435b51404ee - это шифрование семи пустых символов. Поэтому можно предположить, что для любого другого 7-символьного пароля вторая половина LM-хэша окажется точно такой же. Действительно, для пароля tornado хэш LM равен, и, как нетрудно заметить, вторая половина этого хэша точно такая же, как и для пароля alladin. Для пароля ALLADIN значение LM-хэша точно такое же, как и для пароля alladin. Учитывая, что при LM-кодировании все буквы переводятся в верхний регистр, слово ALLADIN называют LM-паролем.
Если же рассмотреть NT-хэши для различных вариантов паролей (alladin, alladinalladin, tornado), то никакой закономерности не обнаружится (табл. 1). Кроме того, как уже отмечалось, NT-хэш является регистрозависимым, а сам NT-пароль соответствует истинному паролю.
Таблица 1. Пароли и соответствующие им хэш-функции
Итак, мы разобрались с алгоритмом, который используется для взлома пароля. Единственный способ, реализованный во всех программах, которые предназначены для подбора пароля, - это перебор всех возможных комбинаций. Естественно, возникает вопрос, а сколько вообще возможно комбинаций и так ли легко подобрать пароль методом перебора?
Что ж, давайте попробуем сосчитать. В операционных системах Windows 2000, 2003 и XP длина пароля может достигать 127 символов. При этом в качестве парольного символа можно использовать любой из 256 кодов ASCII. В таком случае при длине пароля в n символов количество возможных комбинаций будет равно 256n. Общее количество возможных паролей при этом составит 2561 + 2562 + ... + 256127~~21024 = 1,8·10308. Это число астрономически огромно, и ни один современный компьютер не сможет перебрать все возможные комбинации за разумное время. Предположим, что имеется компьютер, который способен реализовать алгоритм перебора со скоростью 10 млн паролей в секунду. Для перебора всех паролей ему потребуется порядка 10293 лет! Для справки укажем, что возраст планеты Земля оценивается всего-навсего в 4,5 млрд лет (4,5·109). Практически это означает, что взломать пароль методом перебора невозможно! Что ж, «броня крепка, и танки наши быстры», однако не стоит делать поспешных выводов.
Прежде всего, приведенные нами выкладки не совсем корректны. Дело в том, что хотя количество всех возможных паролей и составляет 21024, но число возможных хэш-функций существенно меньше. Действительно, как мы уже отмечали, независимо от длины пароля длина хэш-функции составляет 16 байт, или 128 бит. Соответственно количество возможных вариантов хэш-функций равно 2128. Ну а поскольку для аутентификации применяются не сами пароли, а их хэш-функции, то и ориентироваться нужно именно на это количество возможных комбинаций. Фактически это означает, что одна и та же хэш-функция может соответствовать огромному количеству различных паролей и для успешной аутентификации можно использовать любой из них. Отсюда следует важный вывод: какой бы уникальный пароль вы ни придумали, существует огромное количество других комбинаций символов, которые можно применить в качестве правильного пароля.
Второй важный вывод заключается в том, что не имеет смысла использовать пароли длиннее 16 символов. Действительно, при длине пароля в 16 символов мы имеем 2128 возможных комбинаций, то есть ровно столько же, сколько и возможных комбинаций хэш-функций, а дальнейшее увеличение длины пароля не приведет к увеличению числа хэш-функций.
Теперь давайте попробуем сосчитать, сколько же времени потребуется для последовательного перебора всех наших 2128 хэш-функций. Учитывая, что скорость перебора составляет 107 паролей в секунду, получим, что для перебора всех комбинаций потребуется 1024 лет! Казалось бы, можно спать спокойно, но опять-таки не будем спешить с выводами.
Как мы уже отмечали, основную угрозу представляют не NT-, а LM-хэши. Количество доступных символов в данном случае уже не 256, а всего 197, поскольку все буквенные символы в пароле приводятся к верхнему регистру, следовательно, 26 символов строчных букв латинского алфавита и 33 символа строчных букв русского алфавита надо исключить из 256 вариантов ASCII-символов. Поэтому при длине пароля в 14 символов количество возможных вариантов составляет всего 19714=1,3·1032. Однако и эта цифра явно завышена. Вспомним, что при LM-кодировании пароль разбивается на две 7-символьные части, каждая из которых кодируется независимо. Поэтому в действительности количество возможных комбинаций определяется всего семью символами и составляет 1977=11,5·1016. При скорости перебора 107 паролей в секунду для перебора всех возможных комбинаций потребуется 37 лет. Конечно, и эта цифра достаточно велика и заставляет усомниться в том, что кто-то захочет заниматься подбором пароля. Однако здесь есть одно «но» - так называемый человеческий фактор. Попробуйте найти такого пользователя, который при наборе пароля переключает раскладку клавиатуры! А это значит, что реальное количество символов не 197, а 64. В этом случае число возможных вариантов уменьшается уже до значения 647 (рассматриваются LM-хэши), а для перебора всех паролей потребуется всего 5 дней!
К тому же в подавляющем большинстве случаев пароли представляют собой осмысленные слова или фразы, причем не очень большой длины. Ну а с учетом того, что количество слов исчисляется всего-навсего сотнями тысяч, то перебор по словарю окажется не слишком длительным.
Отсюда следует очень важный вывод: чаще всего подобрать пользовательский пароль не составляет труда - это вопрос времени. Далее на конкретном примере мы покажем вам, как можно быстро подобрать пароли по известным хэш-функциям, а пока рассмотрим, где хранятся хэш-функции и каким образом их можно заполучить.
До сих пор мы рассматривали процесс восстановления паролей по известным хэш-функциям, но не ответили на самый главный вопрос: где эти хэш-функции паролей хранятся и каким образом можно получить доступ к базе учетных записей пользователей? Все учетные записи пользователей вместе с соответствующими им хэш-функциями паролей хранятся в так называемой базе SAM (Security Accounts Manager). Она представляет собой одноименный файл, который не имеет расширения. SAM-файл является составной частью реестра и хранится в каталоге %systemroot%\system32\config (под %systemroot% понимается каталог с операционной системой - по умолчанию соответствует каталогу C:\WINDOWS). Кроме того, резервная копия этого файла имеется на диске аварийного восстановления системы, а также в каталоге %systemroot%\repair. Однако при использовании резервной копии SAM-файла необходимо иметь в виду, что пароли могли измениться с момента последнего сеанса создания резервной копии. Кроме того, недавно заведенных учетных записей пользователей в резервной копии может и не оказаться.
Говоря о паролях и получении доступа к ПК, необходимо рассмотреть два принципиально разных сценария: первый - это получение доступа к отдельному ПК, который не входит в локальную сеть, а второй - получение доступа к ПК в составе локальной сети, то есть получение сетевого доступа. При этом под локальной сетью мы будем в дальнейшем понимать полноценную сеть с выделенным контроллером домена.
С программной точки зрения способы получения доступа к локальному и сетевому ПК ничем не отличаются друг от друга. Разница заключается лишь в способе получения SAM-файла, который в первом случае хранится на локальном ПК, а во втором - на контроллере домена сети.
Кроме того, доступ к ПК можно реализовать за счет как сброса пароля, так и его подбора. Причем порядок действий различен, поэтому мы детально рассмотрим оба способа сброса.
Как уже отмечалось в первой части статьи, существует два типа паролей: локальные и сетевые. Хэш-функции локальных паролей хранятся на самом ПК, а хэш-функции сетевых паролей - на контроллере домена. Поскольку процедура сброса пароля подразумевает редактирование SAM-файла, что принципиально невозможно реализовать удаленно (то есть по сети), и требует перезагрузки ПК, то сброс пароля используется преимущественно для получения доступа к локальному ПК. Если же требуется сбросить именно сетевой пароль пользователя, а администраторский сетевой пароль утерян, то ту же самую процедуру придется проделать для сетевого контроллера домена, но нужно понимать, что для этого необходимо иметь физический доступ к серверу и процедура его остановки и перезагрузки не останется незамеченной.
Для сброса пароля необходимо внести изменения в SAM-файл, который хранится в директории %systemroot%\system32\config. Однако при загруженной операционной системе доступ к этому файлу заблокирован, то есть его невозможно ни скопировать, ни просмотреть, ни подменить. Поэтому для получения доступа к SAM-файлу прежде всего необходимо загрузить компьютер не с жесткого диска, а с дискеты, компакт-диска или с флэш-памяти с использованием другой операционной системы.
При этом если на жестком диске компьютера установлена файловая система NTFS, то необходимо, чтобы загрузочная операционная система понимала ее. К примеру, можно подготовить системную дискету DOS и разместить на ней драйвер NTFS, называемый NTFSDOS. C помощью этого драйвера все разделы NTFS будут смонтированы в качестве логических дисков DOS, после чего доступ к ним станет возможным.
Кроме того, нам понадобится утилита, позволяющая производить изменения в SAM-файле. Сегодня наиболее популярными из подобных утилит являются две: Active Password Changer 3.0 и Offline NT/2K/XP Password Changer & Registry Editor.
Утилита Active Password Changer 3.0
Данную программу можно скачать с сайта www.password-changer.com/download.htm . Существует несколько вариантов ее загрузки: c установкой на компьютере (Windows Installer) в виде исполняемого файла под DOS (DOS Executable), загрузочная дискета с интегрированным приложением (Bootable Floppy Creator) и ISO-образ для создания загрузочного CD-диска с интегрированным приложением.
Вариант утилиты с установкой на компьютер подразумевает установку исполняемого файла под DOS, установку мастера создания загрузочной дискеты или флэш-диска USB с интегрированным приложением (рис. 1) и утилиту для записи ISO-образа загрузочного диска с интегрированным приложением.
Рис. 1. Мастер создания загрузочной дискеты или флэш-диска USB
с интегрированным приложением Active Password Changer 3.0
Пользоваться данной утилитой независимо от того, применяется ли для загрузки CD-диск, флэш-диск USB или дискета, очень просто. Для этого потребуется лишь минимальное знание английского языка.
Какой именно вариант предпочесть - создание загрузочной дискеты, флэш-диска USB или CD-диска - зависит от конкретной ситуации. К примеру, если на компьютере нет флопповода, что встречается довольно часто, то вариант с загрузочной дискетой отпадает. Использование загрузочного CD-диска тоже не всегда подходит, к примеру на новых материнских платах PATA-контроллер, к которому прицеплен оптический привод, может быть реализован посредством контроллера типа JMicron и в этом случае воcпользоваться загрузочным CD-диском с интегрированной утилитой Active Password Changer 3.0 не удастся по причине отсутствия драйверов контроллера. То есть загрузиться с такого диска можно, но приложение работать не будет.
Вариант с флэш-диском USB практически всегда срабатывает, но только в том случае, если материнская плата поддерживает на уровне BIOS возможность загрузки с флэш-диска. У всех новых моделей материнских плат данная функция предусмотрена, но бывают и исключения. Так, некоторые модели материнских плат (особенно на чипсетах NVIDIA) хотя и позволяют реализовать загрузку системы с флэш-диска USB, но не дают возможности запустить саму утилиту.
Поэтому целесообразно обеспечить возможность использования всех трех способов применения утилиты Active Password Changer 3.0.
Как мы уже отмечали, работа с самой утилитой не вызывает проблем. На первом этапе необходимо выбрать логический диск, на котором размещена операционная система. Далее программа находит SAM-файл на данном логическом диске и выводит учетные записи пользователей, которые можно редактировать.
Редактированию подлежат те же пункты, что и при редактировании из операционной системы Windows пользователем, имеющим статус администратора. Таким образом, используя утилиту Active Password Changer 3.0, можно сбросить пароль любого пользователя (Clear this User’s Password), блокировать (Account is disabled) или разблокировать (Account is locked out) учетную запись, указать необходимость смены пароля при следующей загрузке пользователя (User must change password at next logon) или задать опцию бессрочного пароля (Password never expires). Кроме того, с ее помощью можно задать расписание (по дням недели и часам), когда данному пользователю разрешен вход в систему.
Вообще, редактирование учетных записей пользователя с применением утилиты Active Password Changer 3.0 занимает буквально считаные секунды. Огорчает лишь одно - на официальном сайте www.password-changer.com/download.htm бесплатно можно скачать лишь демо-версию программы, которая имеет существенные ограничения по функциональности и, по сути, абсолютно бесполезна. Поэтому имеет смысл найти ее «правильный» вариант - Active Password Changer 3.0 Professional. К примеру, полнофункциональная версия этой утилиты входит в состав довольно известного загрузочного диска Hiren‘s Boot CD (текущая версия 8.6), который можно легко найти в Интернете. Правда, в данном случае подразумевается загрузка именно с CD-диска.
Offline NT/2K/XP Password Changer & Registry Editor
Утилиту Offline NT/2K/XP Password Changer & Registry Editor можно абсолютно бесплатно скачать с сайта http://home.eunet.no/pnordahl/ntpasswd . Имеются два ее варианта: ISO-образ для создания загрузочного CD-диска и утилита для создания загрузочной дискеты.
Использование данной утилиты вкупе с загрузочным флэш-диском USB в принципе возможно, но создавать такую дискету и интегрировать в нее утилиту придется самостоятельно.
Применение Offline NT/2K/XP Password Changer & Registry Editor не вызывает сложностей. На первом этапе выбираем логический диск с инсталлированной операционной системой. Далее необходимо указать местоположение файла SAM (по умолчанию предлагается windows/system32/config) и выбрать функцию редактирования SAM-файла. Если операционная система устанавливалась по умолчанию, то можно даже не вчитываться в вопросы, которые появляются в каждом новом диалоговом окне, а все время нажимать Enter.
После выбора конкретной учетной записи можно сбросить пароль, задать новый пароль, заблокировать или разблокировать учетную запись пользователя, задать опцию бессрочного пароля и т.д.
В заключение отметим, что утилита Offline NT/2K/XP Password Changer & Registry Editor также входит в состав диска Hiren‘s Boot CD.
Другие варианты
Кроме рассмотренных утилит Active Password Changer 3.0 и Offline NT/2K/XP Password Changer & Registry Editor существуют подобные утилиты для сброса пароля, которые обычно включаются в загрузочные диски Live CD, то есть в диски, с помощью которых можно загрузить операционную систему без ее инсталляции на жесткий диск компьютера. Различных дисков Live CD предлагается достаточно много, но, как правило, все они построены на основе различных клонов Linux-систем. Если же говорить о дисках Live CD на основе Windows XP с интегрированным инструментом для смены пароля, то их мало. Можно назвать диск iNFR@ CD PE 6.3, представляющий собой урезанную копию Windows XP, для работы которой не требуется инсталляция на жесткий диск. В комплект также входит множество утилит и пакетов, в том числе пакет ERD Commander, который позволяет сбрасывать пароль и создавать нового пользователя. Загрузочный диск Live CD урезанной версии Windows XP с использованием хорошо известного пакета PE Builder можно изготовить и самостоятельно, а затем интегрировать в него утилиту для смены пароля (ERD Commander). Однако если такие диски предполагается применять исключительно для смены пароля, то это не самый лучший вариант. Куда практичнее использовать описанные выше методы. Дело в том, что диски Live CD на основе урезанной версии OC Windows XP обладают одним серьезным недостатком: время загрузки компьютера с такого диска составляет более 5 минут, что, конечно же, крайне неудобно.
Подбор пароля - задача отнюдь не тривиальная. Основная проблема заключается в том, каким образом получить SAM-файл. Кроме того, одного SAM-файла для этого недостаточно. Дело в том, что для усиления безопасности компания Microsoft в свое время добавила в операционную систему утилиту SYSKEY, которая первоначально входила в Service Pack 3 для Windows NT 4.0. Данная утилита позволяет дополнительно зашифровывать хэши паролей учетных записей пользователей с применением 128-битного ключа, что делает невозможным процесс извлечения хэшей из SAM-файла некоторыми программами, например программой SAMDump. В операционных системах Windows 2000/2003/XP утилита SYSKEY активирована по умолчанию, а дополнительное шифрование не может быть заблокировано.
При активированном режиме SYSKEY ключ шифрования паролей, который кодируется с помощью системного ключа, может храниться как локально (при этом возможна его дополнительная защита паролем), так и отдельно - на дискете, что встречается крайне редко.
Впервые способ преодоления защиты SYSKEY был предложен Тоддом Сабином (Todd Sabin) в его программе pwdump2. Данный способ может быть реализован только на локальной машине, и для создания дампа паролей методом pwdump2 необходимо иметь права администратора. Работа утилиты pwdump2 основана на внедрении библиотеки samdump.dll, посредством которой она записывает свой код в пространство другого процесса (lsass.exe), обладающего более высоким уровнем привилегий. Загрузив библиотеку samdump.dll в процесс lsass (системная служба Local Security Authority Subsystem, LSASS), программа использует те же самые внутренние функции интерфейса API, чтобы обратиться к хэшам паролей. Это означает, что утилита получает доступ к зашифрованным паролям без их расшифровки.
Кроме метода внедрения библиотеки, существуют и другие способы обойти ограничения защиты SYSKEY. К примеру, если имеется доступ к самому ключу, который может храниться на локальной машине, то ничто не мешает расшифровать данные SAM-файла. Ключ является составной частью реестра, и информация о нем может быть извлечена из файла SYSTEM, который сохраняется в той же директории, что и файл SAM. При загруженной операционной системе Windows файл SYSTEM, так же как и файл SAM, является заблокированным, то есть его нельзя ни скопировать, ни переименовать, ни подменить.
Далее мы расскажем о наиболее популярных утилитах, позволяющих подобрать пароль методом перебора по его хэш-функциям, но прежде рассмотрим основные способы получения SAM-файла и системного ключа шифрования.
Получение SAM-файла и системного ключа шифрования
Для локального ПК
Если речь идет о локальном ПК, то при использовании утилит подбора паролей по их хэш-функциям необходимо прежде всего получить SAM-файл и файл SYSTEM. В принципе, некоторые утилиты (в частности, SAMinside), если они установлены на том самом ПК, где хранится учетная запись пользователей, позволяют сделать это и при загруженной операционной системе. Однако в данном случае есть одно серьезное ограничение: эта операция возможна только при условии, что компьютер загружен под учетной записью пользователя, имеющего права администратора. Но тогда возникает резонный вопрос: если компьютер загружен под учетной записью пользователя с правами администратора, зачем вообще подбирать пароль? Поэтому наиболее типичной является ситуация, когда учетная запись с правами администратора неизвестна и нужно как раз подобрать пароль администратора или любого пользователя данного ПК с правами администратора.
В этом случае необходимо предварительно скопировать два файла: SAM и SYSTEM, которые, как уже отмечалось, расположены в директории %systemroot%\system32\config (по умолчанию это директория С\Windows\system32\config).
Для осуществления данной процедуры требуется загрузить компьютер с помощью альтернативной операционной системы, то есть не с жесткого диска. Самый простой вариант - создать загрузочный диск Live CD или даже флэш-диск USB (если компьютер поддерживает загрузку с USB-носителя) с урезанной версией Windows XP. Это легко сделать посредством утилиты PE Builder (более подробно о создании таких дисков можно прочитать в отдельной статье в этом номере журнала). Кроме того, если для загрузки используется CD-диск, то перед загрузкой в компьютер необходимо также вставить флэш-диск USB, чтобы иметь возможность скопировать на него нужные файлы (если флэш-диск вставить после загрузки ОС, то он не инициализируется).
Итак, после загрузки компьютера с помощью альтернативной операционной системы нужно скопировать на флэш-диск или на дискету два файла: SAM и SYSTEM. Далее можно приступать к подбору пароля с применением утилиты LCP 5.04 или SAMinside. Естественно, данная процедура производится уже на другом компьютере.
Рассмотренный способ получения файлов SAM и SYSTEM применяется в тех случаях, когда имеется локальный доступ к компьютеру и необходимо получить учетную базу пользователей вместе с хэш-функциями паролей, хранящимися на самом компьютере. Если же речь идет о получении сетевого пароля, то используется несколько иная процедура.
Для сетевого компьютера
В случае локальной сети файлы SAM и SYSTEM хранятся на контроллере домена и получить доступ к ним не так-то просто. В принципе, можно использовать тот же самый способ, что и для локального ПК, но с сервером, выполняющим роль контроллера домена, правда такая процедура не останется незамеченной. Кроме того, некоторые утилиты (например, LCP 5.04) поддерживают возможность удаленного (то есть по сети) получения SAM-файла с контроллера домена. Однако для реализации такого способа нужно обладать правами доступа администратора сети или контроллера домена. Кроме того, на контроллере домена можно легко заблокировать возможность удаленного доступа к реестру - в этом случае все попытки извлечь SAM-файл по сети будут заблокированы.
Утилита LCP 5.04
Итак, настало время перейти к практическим примерам и рассмотреть программы, которые позволяют эффективно восстанавливать пароли пользователей по известным хэш-функциям. Начнем с утилиты LCP 5.04 (www.lcpsoft.com ; рис. 2), которая является очень мощным средством восстановления паролей по LM- и NT-хэшам. Эта утилита бесплатна и имеет русскоязычный интерфейс.
Рис. 2. Главное окно утилиты LCP 5.04
Для того чтобы начать работу с данной утилитой, прежде всего требуется импортировать в нее учетную базу пользователей. Программа LCP 5.04 поддерживает импорт учетных записей пользователей с локального и удаленного компьютеров, импорт SAM-файла, импорт Sniff-файлов, а также импорт файлов, созданных другими утилитами (в частности, файлов LC, LCS и PwDump).
Импорт учетных записей пользователей с локального компьютера подразумевает два варианта операционной системы: Windows NT/2000/2003/XP без Active Directory и то же самое, но с Active Directory (рис. 3).
Рис. 3. Окно импорта учетных записей пользователей
с локального компьютера
Однако, как показывает практика, если применяется операционная система Windows XP SP2, то импорт с локального компьютера невозможен. При выборе любого из вариантов срабатывает защита операционной системы и компьютер, предварительно уведомив об этом пользователя, перезагружается.
Импорт учетной базы пользователей с удаленного ПК позволяет выбрать компьютер в составе локальной сети, указать тип импорта (импорт из реестра или из памяти) и, в случае необходимости, ввести имя пользователя и пароль при подключении к удаленному ПК (рис. 4). Понятно, что при использовании удаленного подключения пользователь должен иметь права администратора.
Рис. 4. Окно настройки импорта учетных записей
пользователей с удаленного ПК
При импорте SAM-файла необходимо указать путь к нему, а также к файлу SYSTEM (рис. 5). При этом предполагается, что файлы SAM и SYSTEM предварительно скопированы описанным выше способом.
Рис. 5. Окно настройки импорта SAM-файла
После того как в программу LCP 5.04 произведен импорт учетных записей пользователей, содержащих имя пользователя, LM- и NT-хэши, можно приступать к процедуре восстановления паролей (рис. 6). Утилита поддерживает подбор как по LM-, так и по NT-хэшу. Понятно, что при наличии LM-хэша атака будет направлена именно на него.
Рис. 6. Главное окно утилиты LCP 5.04 с импортированными
данными учетных записей пользователей
В утилите LCP 5.04 реализовано три типа атак для подбора паролей по их хэшам: атака по словарю, гибридная атака по словарю и атака методом последовательного перебора.
При атаке по словарю последовательно вычисляются хэши для каждого слова из словаря или для его модификации и сравниваются с хэшами паролей пользователей. Если хэши совпадают, то пароль найден. Преимуществом данного метода является его высокая скорость, а недостатком - большая вероятность отсутствия пароля в словаре. Для увеличения эффективности атаки по словарю утилита позволяет производить дополнительные настройки (рис. 7). В частности, к словарю можно добавлять имена пользователей, учитывать возможность использования соседних клавиш (типа последовательностей qwert и др.), повтора слова (например, useruser), обратного порядка символов в словах (например, resu), конкатенации с обратным порядком символов (в частности, userresu), применения усеченных слов, слов без гласных, транслитерации (типа parol). Кроме того, можно проверять изменение раскладки на латинскую (слово «пароль» в латинской раскладке будет выглядеть как «gfhjkm») или на локализованную (слово «password» в русской раскладке превратится в «зфыыцщкв»). Кроме того, для атаки по словарю можно подключать разные словари, даже сразу несколько. В утилите LCP 5.04 есть собственные словари, но мы рекомендуем использовать более емкие словари, которые можно найти в Интернете, например отличная подборка находится на сайте www.insidepro.com .
Рис. 7. Настройка атаки по словарю в утилите LCP 5.04
При восстановлении паролей методом гибридной атаки по словарю к каждому слову либо к его модификации справа и/или слева добавляются символы. Для каждой получившейся комбинации вычисляется хэш, который сравнивается с хэшами паролей пользователей. В программе LCP 5.04 можно задать количество символов, добавляемых слева или справа от слова (его модификации) (рис. 8).
Рис. 8. Настройка гибридной атаки в утилите LCP 5.04
При атаке методом последовательного перебора (brute force) из указанного набора символов составляются случайные слова, а потом для них (точнее, для последовательностей символов) вычисляются хэш-функции. При использовании данного метода пароль будет определен, если символы, содержащиеся в пароле, есть в указанном наборе символов. Однако этот метод отнимает очень много времени, и чем больше символов в выбранном наборе, тем дольше будет продолжаться перебор комбинаций. При использовании данного метода можно указывать набор символов, применяемых для подбора, из нескольких предопределенных наборов (рис. 9), задавать набор символов вручную. Кроме того, можно указывать длину пароля и ограничивать минимальную и максимальную длину. Если известны некоторые символы пароля или хотя бы регистр символов, то можно дополнительно указывать, какие символы должны присутствовать в пароле (и их местоположение) (рис. 10), а также определять для каждого неизвестного символа его регистр (верхний, нижний, неизвестно). Разумеется, задавать длину пароля более семи символов имеет смысл только в том случае, когда производится атака на NT-хэш. Это касается и маски регистров символов - использовать ее целесообразно только при подборе NT-хэша. Естественно, маска символов и регистров применяется только в том случае, когда требуется подобрать пароль для конкретной учетной записи, а не множество паролей для всех учетных записей.
Рис. 9. Окно настройки атаки методом последовательного
перебора в утилите LCP 5.04
Еще одной интересной особенностью утилиты LCP 5.04 является возможность разбиения атаки последовательным перебором на части (с их последующим объединением). Каждая часть задачи может независимо от других частей выполняться на отдельном компьютере. Соответственно чем больше задействуется компьютеров для перебора, тем выше скорость выполнения задачи.
Рис. 10. Настройка маски известных символов пароля
Утилита LCP 5.04 поддерживает экспорт результатов (найденных паролей) в текстовый файл и добавление паролей в словарь, что в дальнейшем позволяет более эффективно подбирать пароли пользователей.
Утилита SAMinside
Рис. 13. Подключение словарей в утилите SAMinside
При восстановлении паролей методом гибридной атаки по словарю к каждому слову словаря либо к его модификации справа и/или слева добавляются символы. С помощью настроек программы можно указать количество таких символов (рис. 14).
Рис. 14. Настройка гибридной атаки в утилите SAMinside
При атаке методом последовательного перебора (рис. 15) возможно указывать набор символов, используемых для подбора, из нескольких предопределенных наборов или задавать набор символов вручную. Кроме того, можно указывать длину пароля и ограничивать минимальную и максимальную длину.
Рис. 15. Окно настройки атаки методом перебора в утилите SAMinside
К тому же имеется возможность выполнять подбор методом последовательного перебора на нескольких компьютерах.
Атака по маске применяется при наличии определенной информации о пароле. К примеру, может быть известно, что пароль начинается с комбинации символов «123» или что первые три символа пароля цифровые, а остальные - латинские буквы.
При настройке атаки по маске (рис. 16) можно задать максимальную длину пароля и для каждого символа настроить маску. Если точно известен символ в пароле и его позиция, то можно указать данный символ. Кроме того, для каждого символа в качестве маски можно использовать предопределенный набор символов.
Рис. 16. Окно настройки атаки по маске в утилите SAMinside
Еще одна возможность атаки, реализованная в программе SAMinside, - это атака по Rainbow-таблицам (применяется только для LM-хэшей). Программа поддерживает таблицы, сгенерированные утилитой rainbowcrack версии 1.2 (www.antsight.com/zsl/rainbowcrack). Для генерации таблиц используется файл rtgen.exe. В утилите rainbowcrack имеется подробный учебник, освоив который можно научиться создавать Rainbow-таблицы.
Идея Rainbow-таблиц заключается в следующем: атака методом последовательного перебора занимает чрезвычайно много времени, для ускорения процесса можно воспользоваться предварительно сформированными таблицами, в которых сохранялись бы сгенерированные наборы символов и соответствующие им LM-хэши.
Отметим, что процесс генерации Rainbow-таблиц может занять от нескольких дней до нескольких лет в зависимости от применяемых настроек. Однако если такие таблицы созданы, то их использование существенно повышает скорость подбора паролей, который в этом случае занимает несколько минут. Пожалуй, сегодня Rainbow-таблицы являются наиболее эффективным и быстрым средством для восстановления паролей.
Утилита Proactive Password Auditor
Еще одна популярная утилита, позволяющая восстанавливать пароли по их хэш-функциям, - это Proactive Password Auditor от компании Elcomsoft (http://www.elcomsoft.com). Правда, в отличие от LCP 5.04, она стоит немалых денег, а на сайте компании можно скачать лишь ее 60-дневную демо-версию с ограниченным числом поддерживаемых учетных записей пользователей, пароли которых необходимо подобрать.
Текущая версия программы Proactive Password Auditor - 1.7, однако, как выяснилось в ходе тестирования, она оказалась нестабильной и постоянно приводила к ошибке, после чего просто закрывалась. Поэтому мы перешли на проверенную и стабильную в работе версию 1.5.
Программа Proactive Password Auditor (рис. 17) поддерживает русскоязычный интерфейс и очень проста в эксплуатации.
Рис. 17. Главное окно программы Proactive Password Auditor
Перед началом работы с данной утилитой необходимо импортировать в нее учетную базу пользователей. Утилита Proactive Password Auditor поддерживает импорт учетной базы пользователей как с локального, так и с удаленного ПК. При этом независимо от того, идет ли речь о локальном или удаленном ПК, импорт учетных записей пользователей может быть реализован через доступ к файлам реестра (SAM, SYSTEM), которые нужно скопировать из соответствующей директории вышеописанными способами. Кроме того, поддерживается импорт учетных записей пользователей из файла PwDump.
Импорт учетных записей пользователей с локального ПК может быть реализован за счет доступа к памяти локального компьютера или реестра.
Импорт учетных записей пользователей с удаленного компьютера осуществляется только за счет доступа к памяти удаленного компьютера. При этом предварительно нужно выбрать сетевой компьютер (рис. 18), к которому необходимо подключиться для доступа к памяти. Естественно, подобная процедура возможна только при наличии администраторских привилегий.
Рис. 18. Получение учетной базы пользователей с удаленного ПК
После того как произведен импорт учетных записей пользователей, можно приступать непосредственно к процедуре восстановления паролей. Утилита поддерживает подбор как по LM-, так и по NT-хэшу. Но, как мы уже неоднократно отмечали, если пароль имеет LM-хэш, то подбирать нужно именно его.
В утилите Proactive Password Auditor реализовано несколько типов атак для подбора паролей по их хэшам: атака по словарю, атака по маске, атака методом последовательного перебора и атака по Rainbow-таблицам.
При атаке по словарю каких-либо настроек не предусматривается. Возможно лишь одновременное подключение множества словарей.
При атаке методом последовательного перебора можно указывать набор символов, применяемых для подбора из нескольких предопределенных наборов, или задавать набор символов вручную. Кроме того, можно указывать длину пароля и ограничивать минимальную и максимальную длину.
При настройке атаки по маске можно задать максимальную длину пароля и, если точно известен символ в пароле и его позиция, указать данный символ в маске. Кроме того, при атаке по маске, как и в случае атаки методом перебора, имеется возможность указывать набор символов, используемых для подбора, из нескольких предопределенных наборов или задавать набор символов вручную.
Рис. 19. Настройка режима генерации Rainbow-таблиц
в программе Proactive Password Auditor
Как и в случае утилиты SAMinside, программа Proactive Password Auditor поддерживает атаку по Rainbow-таблицам (как для LM-, так и для NT-хэшей). Причем уникальной особенностью данной программы является генерация Rainbow-таблиц с гибкими возможностями по настройке (рис. 19 и 20).
Рис. 20. Генерация Rainbow-таблиц в программе
Proactive Password Auditor
Сравнение утилит SAMinside, LCP 5.04 и Proactive Password Auditor
В заключение отметим, что утилиты SAMinside, LCP 5.04 и Proactive Password Auditor представляют собой весьма эффективные инструменты для подбора паролей. У каждой из них есть свои преимущества, поэтому для практического применения лучше иметь все утилиты. Основные их характеристики приведены в табл. 2.
Таблица 2. Основные характеристики утилит SAMinside, LCP 5.04
и Proactive Password Auditor
Как показывает практика, уязвимость паролей обычно обусловлена беспечностью пользователей. Операционные системы Windows NT/2000/2003/XP предоставляют в распоряжение пользователей достаточно средств для построения мощной системы безопасности - нужно только не пренебрегать этими возможностями.
Для предотвращения получения учетных записей пользователей с локального компьютера рекомендуется запретить в настройках BIOS возможность загрузки с дискеты и с других носителей, кроме жесткого диска, и защитить BIOS паролем.
Если речь идет о контроллере домена, то дополнительно рекомендуется выполнить следующие настройки:
Сейчас появилось так много программ, что уже не разберешься в каждой из них. Хорошо, что Интернет наполняется ежедневно полезными советами и инструкциями для подобных ситуаций. Так, уже не трудно найти ответ на вопрос о том, как пользоваться SAMInside, что это за программа, и для чего она предназначена.
Если вы забыли пароль, не проблема его восстановить. В этом случае можно применять разного рода программы, в том числе и ту, о которой мы поговорим. Но для начала попробуем понять, какие у неё цели и задачи.
В Интернете часто встречаются заголовки типа «взлом пароля», что в целом, хотя и передает основное задание утилиты, все же звучит резко. Ведь взлом - это нечто криминальное, а мы ищем легальные способы восстановить пароли Windows. Хотя на деле вы все равно поучаствуете в «шпионской операции» по взлому и обману системы.
Знания о том, как пользоваться SAMInside, могут понадобиться кому угодно. Даже обычный неопытный пользователь, столкнувшись с проблемой, может восстановить доступ по инструкции. Причин того, по какой причине вам понадобилось взломать пароль, может быть много. Чаще это банальная забывчивость, которая настигает некоторых пользователей.
SAMInside - это профессиональная утилита, помогающая восстановить пароли к Windows версии от NT до «семерки». Это оперативный способ перебрать пароли. Поддерживает программа 10 способов импорта хэшей и некоторые виды атак.
Утилита не нуждается в установке, может восстановить пароль с разной кодировкой использованием символов и регистров. Некоторые составляющие программы получают доступ к реестру системы и могут работать с ним, чтобы извлечь хэши.
Прежде чем узнать, как пользоваться программой SAMInside, нужно ознакомиться с некоторыми основными понятиями, которые помогут вам лучше понять алгоритм работы подобных утилит. Итак, как происходит идентификация пользователя?
Вы вводите логин и пароль, который относится к учетной записи. Если он правильный, тогда система «дает добро». Проверка осуществляется через сопоставление введенного пароля с тем, который находится в системе. Если говорим о локальной аутентификации, тогда его место на ПК, если о сетевой - тогда упоминают специальный сервер.
Конечно, на первый взгляд кажется, что достаточно найти место на компьютере или сервере, где хранится код, и достать его оттуда. На деле же ситуация несколько сложнее. Естественно, что все пароли зашифрованы. Такой вариант пароля называется хэшем или хэш-функцией.
Загвоздка в том, что метод хранения шифров априори невозможно раскодировать. Алгоритм здесь односторонний, и хотя по нему реально обозначить хэш-функцию, сам пароль узнать нельзя. Хэш всегда представлен числовой последовательностью, длиной 16 байт. Это все дает сделать вывод, что система не расшифровывает пароль, а сравнивает хэши двух введенных значений. Если функции совпадают, значит аутентификация успешна.
Это страшное слово многих пугает, а кого-то делает великим хакером. Так или иначе, это синоним к слову «подбор», а поэтому не всегда несет нечто криминальное, а лишь описывает процесс. Так вот, чтобы перебирать пароли, необходимо знать, по какой хэш-функции они зашифрованы. Самостоятельно человек делать этого не может, для этого он пытается разобраться с тем, как пользоваться SAMInside 2.7.0.0.
На деле становится понятно, что перебирать пароли можно бесконечно, ведь существует их огромное количество. Радует, что количество паролей не бесконечно, а современные программы могут за секунду сверить миллионы комбинаций.
Как уже говорилось ранее, SAMInside работает и с десятком способов атак. Эти методы подборов паролей тоже помогают быстрее получить желаемый результат.
За долгое время было выпущено много версий программы. Как пользоваться SAMInside 2.7.0.1? Никакой разницы с предыдущими модификациями нет, поэтому рассмотрим универсальную инструкцию. Загрузить утилиту можно с официального сайта. Тут же есть форум по обсуждению программы и возможным проблемам, которые возникают у пользователей.
Есть возможность скачать приложение и с других сторонних сайтов. В целом разницы никакой, и пользователь получает одну и ту же программу. Поддерживает SAMInside несколько языков. В том числе и русский, что естественно значительно облегчает работу.
Прежде чем приступить к работе с программой, нужно перенести в неё все учетные записи. Утилита легко идентифицирует файлы SAM и SYSTEM в реестре, импортирует их и варианты с ключом. Работает и с процедурами LSASS и Sheduler, импортируя базы со сторонних программ.
Есть и некие ограничения у приложения. К примеру, она не занимается импортом базы с удаленного персонального компьютера. Хотя может переносить данные с локального ПК через вышеуказанные процедуры. Единственное, что не стоит забывать про права администратора, без которых весь процесс невозможен.
Когда вы производите импорт, нужно указать «дорогу» к файлам. Когда все данные будут перенесены в приложение, можно начинать работу с ним. Утилита работает с двумя типами хэшей: LM и NT. Хотя если вы точно определили, что пароль зашифрован по первому варианту, то по нему и нужно искать кодировку.
Как уже упоминалось ранее, утилита работает с несколькими способами атаки. Есть вариант обычной и гибридной атаки по словарю, по маске, последовательным перебором, таблицами. Настройка здесь довольна гибкая. К примеру, к атаке по словарю можно применять дополнительные опции поиска: слова, записанные два раза, с обратным порядком букв, исключить определенные символы или указать размер пароля.
Также можно дополнительно проверить имя пользователя, раннее найденные пароли, комбинации и одинаковые символы. Единственное, чего не хватает в этом способе - это проверить была ли замена раскладки на латинскую или локализованную. Словарей можно применять сразу несколько, найти подборку легко на сайте утилиты.
Если используется гибридная атака, в настройках добавляются символы слева или справа к словам. Если вы не знаете, как пользоваться SAMInside и всеми имеющимися опциями, лучше хорошенько изучить всю терминологию, чтобы эффективно расшифровать пароль.
Если используем метод последовательного перебора, тогда в настройках указываем комплекс символов для подбора. Можно указать длину шифра или диапазон. Тут же есть возможность работать с последовательным перебором на разных системах.
Если использовать атаку по маске, тогда нужно вводить параметр по коду. Метод используется в случае, если вы ориентировочно помните свой код. К примеру, что он состоит только из цифр либо латинских символов и т. д. Тут же можно указать максимальную длину шифра и под каждый символ надстраивать маску. Это в том случае, если вы запомнили местоположение определенного символа.
Если вы так и не поняли, как пользоваться SAMInside 2.7.0 rus, тогда последний метод точно не для вас. Атака по таблицам нужна в случае, если пароль зашифрован по LM-хэшу. Чтобы сгенерировать таблицу, нужно использовать специальный файл. Для этого придется ознакомиться с утилитой rainbowcrack, предварительно изучив ее.
Поскольку атака предварительного перебора длится долго, чтобы уже полученные данные сохранялись, а не искались заново, их можно сохранить в Rainbow-таблице. Несмотря на то, что этот метод непростой в понимании для неопытных пользователей, считается наиболее эффективным и быстрым.
Понять, как пользоваться SAMInside 2.6.3.0, непросто. Несмотря на то, что некоторые специалисты скажут вам, что это под силу даже неопытным пользователям, верить в это нельзя. У всех людей разный уровень знаний. И если мы называем неопытными пользователями тех, кто хотя бы знает, из чего состоит ПК - тогда это утверждение справедливо.
Но если идет речь о тех, кто с трудом может найти файл, расположенный в системе, или не слышал ни разу о том, что такое реестр, то для них вопрос о том, как пользоваться SAMInside, может стать сверхтрудным.
В целом же утилита и вправду не слишком сложная. Перед началом работы нужно понять, какой метод взлома для вас наиболее подходящий и какие для этого стоит выбрать параметры. Время подбора пароля может варьироваться от минуты до нескольких дней - все зависит от шифрования.
