Пятница, 2024-11-08, 1:36 PM
 
Начало Форум Регистрация Вход
Вы вошли как Гость
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: denix  
Восстановление забытых паролей
denixДата: Пятница, 2006-06-09, 2:23 AM | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 531
Репутация: 0
Статус: Offline
Задача восстановления забытых паролей может возникнуть в самых разных случаях - это и "девичья" память самих пользователей, и нерадивость системного администратора, не удосужившегося позаботиться о создании резервных копий всех паролей, и слишком частая смена паролей по требованию системы, из-за чего пароли могут потеряться. Если известен пароль администратора для входа в систему, проблема решается легко - можно просто изменить все эти пользовательские пароли. Но зачастую даже этот пароль неизвестен, и в систему невозможно войти ни под какой учетной записью. Многие пользователи, махнув рукой, переустанавливают Windows или обращаются за помощью к различным сомнительным личностям, отдавая им в руки всю свою секретную информацию. А ведь для восстановления своих утраченных паролей существуют специальные программы. С одной из них - SAMInside, - имеющей значительные преимущества над другими аналогами, мы сейчас и познакомим читателя.

Назначение программы
Программа SAMInside выполняет следующие функции:

Получение информации о пользователях из SAM-файлов Windows NT/2000/XP/2003.

Восстановление паролей пользователей из SAM-файлов операционной системы Windows NT.

Восстановление паролей пользователей из SAM-файлов операционных систем Windows 2000/XP/2003, зашифрованных системным ключом SYSKEY.

Многие пользователи знают, что информация о паролях Windows названных версий хранится именно в этом SAM-файле и как раз и служит для аутентификации в системе. Но для тех, кто впервые слышит об этом загадочном файле, сделаем краткие пояснения. База данных учетных записей пользователей (Security Account Management Database, сокращенно SAM) является обязательной составляющей системы безопасности Windows NT/2000/XP и поэтому имеется на любом компьютере с такой системой. Хранится эта база в одноименном файле SAM, который можно найти в системной папке Windows System32Config. Однако получить доступ к этому файлу во время работы Windows не может ни один пользователь, даже администратор (этот файл нельзя просто взять и скопировать на дискету). Как именно "вытащить" этот SAM-файл - предмет отдельного разговора, и различные методы его получения подробно описаны в справке к программе SAMInside.

Но полученный на руки SAM-файл - еще не решение проблемы. Пароли в нем зашифрованы и захэшированы. К тому же, для повышения защищенности этих паролей часть файла SAM шифруется системной утилитой SYSKEY. Данные, необходимые для расшифровки информации после SYSKEY, хранятся в файле system в той же папке. Вот почему до недавнего времени считалось невозможным восстановление паролей из SAM-файлов Windows NT/2000/XP/2003. Но теперь эта задача решается с помощью программы SAMInside. Чтобы читатели могли понять грандиозность решенной проблемы, приводим некоторые факты из истории создания программы.

Немного истории
История программы начинается с 2002 года. Тогда мной в соавторстве с Ocean'ом была написана программа PWLInside, предназначенная для восстановления паролей пользователей Windows 95/98. Эта программа была написана полностью на Ассемблере и в результате тщательной оптимизации кода стала на тот момент самой быстрой программой в мире по скорости работы (хотя о ней мало кто и знал). Конечно же, этот успех "окрылил", и было решено попробовать силы в другом аналогичном направлении - восстановлении паролей пользователей Windows NT/2000. Тогда и была выпущена первая версия программы SAMInside, которая также была написана целиком на Ассемблере. Но практика ее использования показала, что она вряд ли получит широкое распространение из-за того, что пароли в Windows 2000 и в Windows NT, начиная с 3-го ServicePack'a, имеют дополнительное шифрование системной утилитой SYSKEY. Поэтому область применения SAMInside ограничивалась лишь компьютерами с ОС Windows NT до 3-го пакета обновлений. И решено было изучить данный алгоритм, чтобы программа могла восстанавливать пароли пользователей и к Windows 2000.

Информации об этом алгоритме нигде не было - на нескольких импортных сайтах хакерской тематики нашлись лишь краткие упоминания о нем. Тогда не оставалось ничего иного, кроме как самим начать анализировать этот алгоритм. На его "расшифровку" ушло более двух месяцев. За это время утилитой SoftICE трассировался и анализировался вход в Windows. Также за это время было дизассемблировано и разобрано "по кирпичикам" несколько системных DLL-ок, чтобы наконец-то определить - КАК работает SYSKEY? И механизм был "взломан"! Это было наглядно продемонстрировано в версии 2.0 программы. Она вышла в феврале 2003 года и стала первой программой в мире, которая работала с паролями пользователей, зашифрованными этим системным ключом. Любопытно, что программа LC4 (от @stake), также предназначенная для восстановления паролей Windows NT/2000, при попытке загрузить SAM-файл (где и хранятся зашифрованные пароли пользователей), сообщает следующее: "If you retrieved the SAM file from a Windows 2000 or XP machine, it is very likely that it is SYSKEY encrypted! SYSKEY hashes are strongly encrypted and will NOT be found using a password cracker!"

А дальше SAMInside стала распространяться и потихоньку "теснить" своих конкурентов, как за счет того, что работала с SYSKEY'ными файлами, так и за счет более быстрого перебора паролей. Стали выходить новые версии, программа (кроме кода перебора) была переписана на C++ и так далее.

Преимущества программы SAMInside
Конечно же, у SAMInside имеются программы-аналоги, и ниже приведен перечень преимуществ SAMInside перед ними (сразу же стоит оговориться, что, конечно же, в других программах присутствуют и некоторые возможности, которых в SAMInside пока нет).

Особенности SAMInside:

ее "крохотный" (по современным меркам) размер исполняемого файла - около 50 кб, тогда как программы-аналоги "весят" сотни килобайт и даже мегабайты;

более высокая скорость перебора (а в программах по восстановлению паролей это один из самых важных показателей);

очень удобная и простая работа с SAM-файлами;

атака полным перебором (даже только по латинским буквам) вкупе с атакой по словарю (по которой ограничений нет) позволяет восстанавливать до 80% "среднестатистических" паролей пользователей;

и, конечно же, работа с SAM-файлами не только от Windows 2000, но и от Windows XP/2003 (так как компания Microsoft оставила принципы аутентификации пользователей в этих ОС такими же и даже не изменила алгоритм SYSKEY).

Сравнение с программами-конкурентами

LC4 от @stake, Shareware:
- стоимость полной лицензии существенно выше, чем у SAMIsnide;
- скорость перебора ниже;
- не поддерживает хэши, зашифрованные утилитой SYSKEY;
- не имеет русского интерфейса;
- пароли в национальных кодировках восстанавливает неверно.

LC+4 от NH, Freeware:
- скорость перебора ниже, особенно по NTHash;
- не поддерживает хэши, зашифрованные утилитой SYSKEY;

Advanced NT Explorer от Elcomsoft, Shareware:
- стоимость полной лицензии существенно выше, чем у SAMIsnide;
- скорость перебора ниже;
- не поддерживает хэши, зашифрованные утилитой SYSKEY;

Proactive Windows Security Explorer от Elcomsoft, Shareware:
- стоимость полной лицензии существенно выше, чем у SAMIsnide;
- скорость перебора ниже (но так же, как и SAMInside, эта программа поддерживает хэши, зашифрованные утилитой SYSKEY).

Cain & Abel 2.5, Freeware:
- скорость перебора ниже;
- не поддерживает хэши, зашифрованные утилитой SYSKEY;
- не имеет русского интерфейса;
- пароли в национальных кодировках не восстанавливает.

Хотя в Интернете уже появились работы с подробным описанием ключа SYSKEY (то есть SAMInside - уже не единственная программа в своем роде, но она навсегда останется первой в мире), и растет количество программ по восстановлению паролей Windows, InsidePro не собирается останавливаться и планируется развивать программу и дальше. Конечно же, в первую очередь, будет увеличиваться скорость перебора. Уже есть теоретические наработки, позволяющие увеличить скорость перебора по NTHash на 20 и более процентов; также будет увеличиваться и функциональность программы.

Стоит акцентировать внимание читателей на том, что программа предназначена для восстановления СВОИХ забытых паролей. Об этом сказано и в описании программы, и на ее сайте. Разработчик программы оказывает техническую поддержку только пользователям, использующим ее по назначению. SAMInside - только инструмент, а его применение с целью получения чужих паролей целиком лежит на совести пользователей.

Ограничения демоверсии. В незарегистрированной версии программы отсутствует перебор по маске, а в полном переборе можно устанавливать только латинские заглавные символы для перебора. Других ограничений нет. Работает программа под всеми версиями Windows - от 95 до 2003

Источник: http://www.winzone.ru

 
  • Страница 1 из 1
  • 1
Поиск:


Бесплатный хостинг uCoz