MoD
( off
)
(
06:30 08-08-2011
)
Однако, получить как данные из этого файла, так и доступ к нему, все-таки можно.
Информацию из него можно извлечь даже в работающей системе, но только из-под учетной записи Администратора. Здесь есть два метода получения данных - метод программы PWDUMP (который используется в программах PWDUMP, LC4, LC+4 и др.) и метод с использованием планировщика задач (используется в программе SAMInside).
MoD
( off
)
(
06:30 08-08-2011
)
Метод PWDUMP вкратце работает так - программа подключается к системному процессу LSASS и с его правами (и его же методами) извлекает хэши из ветки SAM реестра, т.е. фактически из SAM-файла.
MoD
( off
)
(
06:31 08-08-2011
)
Метод же планировщика работает так - по умолчанию в Windows 2000/XP системная утилита Scheduler имеет права пользователя SYSTEM, т.е. полный доступ к системе. Поэтому, если назначить Планировщику задание сохранить определенную ветку реестра в файл, к примеру, то он в назначенное время сохранит ее на диск. После чего из этого файла извлекаются хэши всех пользователей этого компьютера.
MoD
( off
)
(
06:31 08-08-2011
)
А что делать, если пароля Администратора нет и, соответственно, его прав тоже?
MoD
( off
)
(
06:32 08-08-2011
)
Тогда остается делать следующее - если на компьютере установлено несколько операционных систем, то загружаясь в любую из них (даже в Linux) можно получить доступ к системному диску Windows 2000/XP и скопировать SAM-файл в другой каталог, чтобы потом "в спокойной обстановке" загрузить его в нужную программу для восстановления из него паролей.
MoD
( off
)
(
06:32 08-08-2011
)
Более того, существуют программы, способные изменять информацию прямо в SAM-файле, меняя и добавляя пользователей, а также их пароли (например, программа Offline NT Password & Registry Editor). Правда, для этого также необходимо загружаться в другую ОС и иметь полный доступ к системному диску Windows 2000/XP.
MoD
( off
)
(
06:33 08-08-2011
)
Даже если системный диск Windows имеет файловую систему NTFS, то все равно можно получить к нему доступ, используя загрузочную дискету, созданную в программе NTFSDos Pro. Затем, после загрузки с нее, примонтировать нужный NTFS-раздел и скопировать с него нужные файлы.
MoD
( off
)
(
06:33 08-08-2011
)
Как говорилось выше, в современных NT-системах применяется дополнительное шифрование хэшей алгоритмом syskey. До недавнего времени хэши из SAM-файла, скопированного из этих ОС, расшифровке не поддавались, т.к. этот алгоритм достаточно сложен, нигде не публиковался и практически не анализировался. Но теперь можно извлекать хэши, даже из зашифрованных этим алгоритмом SAM-файлов, используя программу SAMInside.
MoD
( off
)
(
06:34 08-08-2011
)
Правда, для декодирования хэшей этой программе необходим еще и файл SYSTEM, расположенный там же, где и SAM, т.к. в нем хранятся некоторые ключи реестра. необходимые для дешифрования хэшей алгоритмом syskey. Этот файл также открыт только для системы, но, как мы выяснили выше, если можно получить доступ к SAM-файлу, то и файл SYSTEM копируется теми же способами.
LordOfChaos
( off
)
(
21:18 14-11-2011
)
Ахренеть. А не проще вручную убрать этот пароль через "Сервис" а потом общий доступ и безопасность?
)