Взлом пароля Windows XP и методы противодействия...

[miLord Corwin]

Существует множество способов узнать, обойти, удалить пароль Windows. Я не буду останавливаться на наиболее действенных или на наиболее быстрых и надёжных… Я просто опишу ВСЕ и предоставлю Вам возможность выбирать. Также, я расскажу Уважаемым Системным Администраторам о том, как со всеми этими «методами» бороться…

Также просьба к посетителям: если какой то метод не указан или описан не правильно, вы уж меня поправьте

Начну с наиболее простых, как в плане использования, там и в плане устранения…

1). Встроенная учётная запись Администратора.
Ну, это уже ни для кого не секрет, но тем не менее.

Оценка сложности использования: 3/100
Оценка сложности обнаружения: 20/100 (чтить логи)
Оценка сложности устранения: 10/100
Использование дополнительного ПО: нет
Примерная трата времени на использование: 10 сек

В Windows сразу после установки устанавливается скрытая учётная запись Администратора. Если Админ не удалит эту запись или не установит на неё пароль, то этим можно воспользоваться, причём воспользоваться очень легко!

Либо грузимся в безопасном режиме и кликаем на чудесным образом появившуюся учётку «Администратор», либо вызываем окно для ввода пароля, нажав Ctrl+Alt+Delete в окне приветствия, а затем вводим имя пользователя «Администратор», а пароль оставляем пустым.

Довольно легко и заткнуть эту дырку (главное не забыть это сделать, у меня, например, эта учётка отключена «вкорень»… на стадии генерации дистрибутива )… Для этого достаточно:
Панель управления=>Администрирование=>Управление компьютером=>Локальные пользователи и группы=>Пользователи… Правый клик по учётке «Администратор», свойства и отключаём её, либо устанавливаем пароль…

2). Удаление/смена пароля из DOS специальными утилитами.
Также довольно широко известный метод…

Оценка сложности использования: 21/100
Оценка сложности обнаружения: 80/100 (чтить логи… вспоминать, когда использовал запись, а когда -- нет)
Оценка сложности устранения: 13/100
Использование дополнительного ПО: да
Примерная трата времени на использование: от 1 до 5 мин в зависимости от ситуации


Организация довольно проста. Необходимо загрузится с дискетки/диска и, подробно изучив инструкцию к утилите, сбросить либо изменить с её помощью пароль.
Вот ссылки на такие утилиты:
http://ifolder.ru/2128819
http://rapidshare.com/files/34643347...d0067.rar.html
http://www.megaupload.com/?d=9KSIW640
http://depositfiles.com/files/1167771

Чтобы не дать такой утилите запуститься, у Админа есть один выход – поставить пароль на BIOS, предварительно запретив в нём загрузку со съёмных носителей…

3). Использование KeyLogger`а…
Довольно простой метод, но не все догадываются его использовать…

Оценка сложности использования: 8/100
Оценка сложности обнаружения: 2/100 (антивирь)
Оценка сложности устранения: 5/100
Использование дополнительного ПО: да
Примерная трата времени на использование: от 3 минут...


Достаточно скачать программу, которая вела бы учёт нажатых клавиш и установить её на машине… Когда Админ воспользуется своей учёткой (а это можно ускорить, сломав какие-нибудь настройки и попросив Админа помочь) пароль будет вашим…
Ссылки на KeyLogger`ы:
http://www.nowa.cc/showthread.php?t=11005

Противодействие немного сложнее, чем сам способ взлома… Необходимо тщательно следить за политиками приложений (по крайней мере не давать устанавливать службы)… Но! Если пользователю нужно разрешить устанавливать приложения? И службы в том числе? На такой случай, есть Антивирусы и, кроме них, одно просто замечательное решение, которое лично мне очень нравится… В Agnitum Outpost Firewall Pro версии 4 есть модуль, отвечающий за обнаружение шпионского ПО. Данная программа, вместе с Антивирем, способна защитить Админа от такого метода… Достаточно либо «попросить» программу предупреждать о бацилах по почте, либо просто дать разрешение на удаление или блокировку вредоносного ПО без запроса о том, что нужно делать…

4). Брут или расшифровка пароля.
Широко известный.

Оценка сложности использования: 50/100
Оценка сложности обнаружения: 10/100 (чтить логи)
Оценка сложности устранения: 1/100
Использование дополнительного ПО: да
Примерная трата времени на использование: от 1 минуты


Достаточно скачать программу для расшифровки пароля и воспользоваться ею… Единственный недостаток: расшифровка возможна только тупым перебором, что может растянуться на сотни лет…
Вот программа, которой пользуюсь лично:
http://the-udc.com/

Для того, чтобы избежать расшифровки пароля, необходимо использовать длинный, бессмысленный пароль с непечатаемыми символами…

add by WeNZeeR, для этих целей предлогаю использовать программу Saminside для расшифровки SAM файла, подробно об этом можно узнать тут.

5). Замена высоко привилегированных исполняемых файлов.
А вот об этом и последующих методах знают не многие…

Оценка сложности использования: 25/100
Оценка сложности обнаружения: 99/100
Оценка сложности устранения: 15/100
Использование дополнительного ПО: нет
Примерная трата времени на использование: 30 секунд

Есть файлы, которые запускаются от имени системы. Например, kernel32 … Но, его мы заменить не можем (точнее можем, но нам это результата не даст!)… Параллельно с очень важными файлами, есть второстепенные, например, explorer.exe, logon.scr и множество других! Их без труда можно найти немного покопавшись в папке с Windows…
А использовать их можно очень просто… Достаточно поменять содержимое файла (можно из-под DOS) logon.scr на содержимое файла cmd.exe (ес-но, в настройка нужно включить окно приветствия) и перезагрузить машину… И, вместо окна приветствия, мы увидим командную строку… Теперь прочитайте то, что там написано… Вот… Не привычно читать c:\windows\system32\... Это означает, что командая строка не от имени какого-то там жалкого Админа, а от имени Системы! Пишем в ней explorer.exe и наслаждаемся интерфейсом от имени системы!

Противодействие довольно легкое… Достаточно того, чтобы системный диск был NTFS с правильно настроенными политиками доступа к файлам (ну не пускайте Вы юзеров на системный диск)…

6). Замена dll, отвечающей за проверку пароля.
Плохо известный, но довольно лёгкий и незаметный метод…

Оценка сложности использования: 25/100
Оценка сложности обнаружения: 99/100 (чтить логи)
Оценка сложности устранения: 15/100
Использование дополнительного ПО: да
Примерная трата времени на использование: 30 секунд

Как то раз, решил я погулять… Зашёл я на диск с Windows и свернул в папку ОС… А там завернул в System32… И вот тут нашёл я файлик со странным именем msv1_0.dll, а в описании было сказано: «Microsoft Authentication Package v1.0»…
Открыл я файлик дизассемблером, и заменил ряд условных переходов (если пароль правильный то переходим ко входу в систему) на безусловные (просто переходим ко входу в систему) и заменил оригинальный файл моим и перегрузил машину… Теперь внимание! Windows всё равно спросит пароль!!! Но проверять правильный ли он, не будет!!!
Файлы качаем по ссылкам:
http://Korvin-DraGO.narod.ru/msv1_0_SP1.rar для Windows XP SP1
http://Korvin-DraGO.narod.ru/msv1_0_SP2.rar для Windows XP SP2


Метод защиты аналогичен предыдущему…

7). Использование планировщика заданий.
Очень малоизвестный метод!

Оценка сложности использования: 5/100
Оценка сложности обнаружения: 80/100 (чтить логи)
Оценка сложности устранения: 15/100
Использование дополнительного ПО: нет
Примерная трата времени на использование: до 1 минуты


Был найден глюк! Если дать планировщику заданий из командной строки задание, то это задание будет выполняться от имени системы… В командной строке пишем at (текущее системное время в формате чч:мм + одна минута) cmd.exe /interactive. В результате, в назначнное время получаем командную строку от имени системы… Затем, завершаем explorer.exe через диспетчер задач, а в командной строке пишем explorer.exe и получаем интерфейс от имени системы.
Пример команды (сейчас у меня на часах в трее 00:05 ):
At 00:06 cmd.exe /interactive

Для защиты достаточно запретить использование планировщика заданий, либо закрыть доступ к at.exe при помощи NTFS…

(с) by Korvin-DraGO

[WeNZeeR]

1)

Цитата: В Windows сразу после установки устанавливается скрытая учётная запись Администратора. Если Админ не удалит эту запись или не установит на неё пароль, то этим можно воспользоваться, причём воспользоваться очень легко!

она не скрытая, более мене знающий человек в момент установки введёт пароль.

2) Про брут SAM файла не слова нет, кстати наиболее часто используемый метод.

3) нечего не написано про линуксовые диски используемые специально для сброса пароля.

4)

Цитата: на содержимое файла cmd.exe (ес-но, в настройка нужно включить окно приветствия) и перезагрузить машину… И, вместо окна приветствия, мы увидим командную строку… Теперь прочитайте то, что там написано… Вот… Не привычно читать c:\windows\system32\... Это означает, что командая строка не от имени какого-то там жалкого Админа, а от имени Системы! Пишем в ней explorer.exe и наслаждаемся интерфейсом от имени системы!

работает только на не пропатченном 2k.

5)

Цитата: Использование KeyLogger`а… Довольно простой метод, но не все догадываются его использовать…

насколько я знаю они начинают работать только после входа в систему, хотя неуверен..

6) где копирайты?

[miLord Corwin]

Цитата: Сообщение от WeNZeeR более мене знающий человек в момент установки введёт пароль

У меня просто Unattended установка... С особыми тонкостями не знаком...

Цитата: Сообщение от WeNZeeR Про брут SAM файла не слова нет

Чётвёртый пункт!

Цитата: Сообщение от WeNZeeR нечего не написано про линуксовые диски используемые специально для сброса пароля

Ну... Напиши... Расскажи... Я обычно гружуся с гектарной флешки (старенькая она)... И, если туда диск записать, то мало чего влезет... Вот поэтому там и лежат IMA образы дискеток... А PE я смысла не вижу... Слишком громоздко...

Цитата: Сообщение от WeNZeeR работает только на не пропатченном 2k

Честно, у меня дома на Windows XP Sp2 Pro работало!!!

Цитата: Сообщение от WeNZeeR насколько я знаю они начинают работать только после входа в систему, хотя неуверен

Смотря какой... Есть такие, что загружаются вместе с Windows...

КОПИРАЙТЫ НЕ ЛЮБЛЮ! Кто хочет тот пусть хоть на конкурсы отсылает и деньги зарабатывает!!!

[WeNZeeR]

Цитата: Честно, у меня дома на Windows XP Sp2 Pro работало!!!

пусть даже и так, однако если речь идет о взломе то для этих целей необходимы права админа, которые бывают в редком случее.

Цитата: Чётвёртый пункт!

не совсем корректно.

[mishutka1978]

Пробавал 4 вариант получилось но там менять уч.записи нельзя

Добавлено через 17 минут
и подборка это бред

[dEn .]

Можно просто снять винт подключить к другому компу как второй и пользоваться.
Отсюда вопрос: как защититься от такого взлома, т.е. запоролить винт. И не полетит ли что-либо, если поставить его потом, незаметно, обратно?

Мне более понятен первый вариант, с Администратором, суть так сказать ясна, дальше пока не углублялся. А свой пароль Админа я забыл...

[miLord Corwin]

dEn ., надо внимательно читать!
Читай противодействие к 5 пункту... Там написано. Если немного подумать то понимаешь, что это ответ и на твой вопрос.

[xhacker]

насколько я знаю не всех кейлоггеров замечает антивирь.Другое дело умный админ после просьбы юзера настроить ему сеть или че то подобное где надо ввести свой пароль обязательно посмотрит в процессы системы и если найдет кейлоггер....
еще кстати если у юзера есть физ. доступ к компу то даже пароль на биос не поможет...

[miLord Corwin]

xhacker, ни один нормальный кейлоггер не отображается в процессах... Нажми три волшебные клавиши и найди там процесс Services.exe... Вот там и будет сидеть кейлоггер... А как его туда посадить? Просто: добавить в сервисы... А как этого избежать? Еще проще: правильная политика учётных записей...

А еще есть такая прикольная програмка... Когда её запускаешь, отображается окно приветствия XP... Вводишь пароль, она выводит синий экран смерти и жёстко перегружает комп... Ес-но пароль был сохранён и записан в файлик... А админ и ухом не повёл... Вот от такого можно защититься только бдительностью... Например, перегружать комп перед вводом пароля... Перезагрузка защитит и от кейлоггера, который не смог прописаться в сервисы, а просто остался в памяти компа после выхода из-под пользователя...

[xhacker]

screenshot

сдесь скриншот и Over это прога OverSpy.Avast её не видит он тоже включен не веришь могу сделать и его скриншот.стандартный виндовский Ctrl alt delete\процессы его не заметит,а вот проги типа TuneUp-на раз!
P.S а че это за прога такая про синий экран и сброс пароля? можешь поделиться?

KORVIN DGAGO АУУУУУУУУУ!!!!!

а че это за прога такая про синий экран и сброс пароля? можешь поделиться?

[DieSelf]

А возможен ли вариант с подменой SAM файла ? Скажем была учетная запись с админскими правами на машине, была сделанна копия SAM файла, а потом удалили админские права с этой учетной записи. Винда не слетит от перезаписи нового SAM файла старым ?

[xhacker]

не повторяй моих ошибок!Сделал-винда полетела.Какойто глупый человек на какомто форуме эту глупость разместил и слух пошел гулять...А некоторые верят

[WeNZeeR]

Цитата: А возможен ли вариант с подменой SAM файла

точно сказать немогу но XP слетает, говорят что была возможность в Win2000.

Цитата: а че это за прога такая про синий экран и сброс пароля? можешь поделиться?

скорее всего он имел в виду:
_http://www.2baksa.net/news/3426/
или чтонить в этом роде, подобных оброзов полно.

кто нибудь пользовался Windows Admin Hack? как ей пользоваться?

[bugomol]

Цитата: Сообщение от DieSelf А возможен ли вариант с подменой SAM файла ?

Подменить его можно только с другой ОС, но тогда зачем его менять если можно просто сбросить все пароли??