Восстановление забытых паролей

Автор: Aport Среда, Ноябрь 19th, 2014 Нет комментариев

Рубрика: Software

О программеЗадача восстановления забытых паролей может возникнуть в самых разных случаях — это и «девичья» память самих пользователей, и нерадивость системного администратора, не удосужившегося позаботиться о создании резервных копий всех паролей, и слишком частая смена паролей по требованию системы, из-за чего пароли могут потеряться. Если известен пароль администратора для входа в систему, проблема решается легко — можно просто изменить все эти пользовательские пароли. Но зачастую даже этот пароль неизвестен, и в систему невозможно войти ни под какой учетной записью. Многие пользователи, махнув рукой, переустанавливают Windows или обращаются за помощью к различным сомнительным личностям, отдавая им в руки всю свою секретную информацию. А ведь для восстановления своих утраченных паролей существуют специальные программы. С одной из них — SAMInside, — имеющей значительные преимущества над другими аналогами, мы сейчас и познакомим читателя.

Назначение программы


Программа SAMInside выполняет следующие функции:

  • Получение информации о пользователях из SAM-файлов Windows NT/2000/XP/2003.
  • Восстановление паролей пользователей из SAM-файлов операционной системы Windows NT.
  • Восстановление паролей пользователей из SAM-файлов операционных систем Windows 2000/XP/2003, зашифрованных системным ключом SYSKEY.

    SAMInside
    Многие пользователи знают, что информация о паролях Windows названных версий хранится именно в этом SAM-файле и как раз и служит для аутентификации в системе. Но для тех, кто впервые слышит об этом загадочном файле, сделаем краткие пояснения. База данных учетных записей пользователей (Security Account Management Database, сокращенно SAM) является обязательной составляющей системы безопасности Windows NT/2000/XP и поэтому имеется на любом компьютере с такой системой. Хранится эта база в одноименном файле SAM, который можно найти в системной папке Windows System32Config. Однако получить доступ к этому файлу во время работы Windows не может ни один пользователь, даже администратор (этот файл нельзя просто взять и скопировать на дискету). Как именно «вытащить» этот SAM-файл — предмет отдельного разговора, и различные методы его получения подробно описаны в справке к программе SAMInside.

    Попытка копирования
    Но полученный на руки SAM-файл — еще не решение проблемы. Пароли в нем зашифрованы и захэшированы. К тому же, для повышения защищенности этих паролей часть файла SAM шифруется системной утилитой SYSKEY. Данные, необходимые для расшифровки информации после SYSKEY, хранятся в файле system в той же папке. Вот почему до недавнего времени считалось невозможным восстановление паролей из SAM-файлов Windows NT/2000/XP/2003. Но теперь эта задача решается с помощью программы SAMInside. Чтобы читатели могли понять грандиозность решенной проблемы, приводим некоторые факты из истории создания программы.Немного истории


    История программы начинается с 2002 года. Тогда мной в соавторстве с Ocean’ом была написана программа PWLInside, предназначенная для восстановления паролей пользователей Windows 95/98. Эта программа была написана полностью на Ассемблере и в результате тщательной оптимизации кода стала на тот момент самой быстрой программой в мире по скорости работы (хотя о ней мало кто и знал). Конечно же, этот успех «окрылил», и было решено попробовать силы в другом аналогичном направлении — восстановлении паролей пользователей Windows NT/2000. Тогда и была выпущена первая версия программы SAMInside, которая также была написана целиком на Ассемблере. Но практика ее использования показала, что она вряд ли получит широкое распространение из-за того, что пароли в Windows 2000 и в Windows NT, начиная с 3-го ServicePack’a, имеют дополнительное шифрование системной утилитой SYSKEY. Поэтому область применения SAMInside ограничивалась лишь компьютерами с ОС Windows NT до 3-го пакета обновлений. И решено было изучить данный алгоритм, чтобы программа могла восстанавливать пароли пользователей и к Windows 2000.

    Информации об этом алгоритме нигде не было — на нескольких импортных сайтах хакерской тематики нашлись лишь краткие упоминания о нем. Тогда не оставалось ничего иного, кроме как самим начать анализировать этот алгоритм. На его «расшифровку» ушло более двух месяцев. За это время утилитой SoftICE трассировался и анализировался вход в Windows. Также за это время было дизассемблировано и разобрано «по кирпичикам» несколько системных DLL-ок, чтобы наконец-то определить — КАК работает SYSKEY? И механизм был «взломан»! Это было наглядно продемонстрировано в версии 2.0 программы. Она вышла в феврале 2003 года и стала первой программой в мире, которая работала с паролями пользователей, зашифрованными этим системным ключом. Любопытно, что программа LC4 (от @stake), также предназначенная для восстановления паролей Windows NT/2000, при попытке загрузить SAM-файл (где и хранятся зашифрованные пароли пользователей), сообщает следующее: «If you retrieved the SAM file from a Windows 2000 or XP machine, it is very likely that it is SYSKEY encrypted! SYSKEY hashes are strongly encrypted and will NOT be found using a password cracker!»

    А дальше SAMInside стала распространяться и потихоньку «теснить» своих конкурентов, как за счет того, что работала с SYSKEY’ными файлами, так и за счет более быстрого перебора паролей. Стали выходить новые версии, программа (кроме кода перебора) была переписана на C++ и так далее.

    Преимущества программы SAMInside


    Конечно же, у SAMInside имеются программы-аналоги, и ниже приведен перечень преимуществ SAMInside перед ними (сразу же стоит оговориться, что, конечно же, в других программах присутствуют и некоторые возможности, которых в SAMInside пока нет).

    Особенности SAMInside: 

  • ее «крохотный» (по современным меркам) размер исполняемого файла — около 50 кб, тогда как программы-аналоги «весят» сотни килобайт и даже мегабайты;
  • более высокая скорость перебора (а в программах по восстановлению паролей это один из самых важных показателей);
  • очень удобная и простая работа с SAM-файлами;
  • атака полным перебором (даже только по латинским буквам) вкупе с атакой по словарю (по которой ограничений нет) позволяет восстанавливать до 80% «среднестатистических» паролей пользователей;
  • и, конечно же, работа с SAM-файлами не только от Windows 2000, но и от Windows XP/2003 (так как компания Microsoft оставила принципы аутентификации пользователей в этих ОС такими же и даже не изменила алгоритм SYSKEY).

    Настройки полного перебора
    Сравнение с программами-конкурентами 

  • LC4 от @stake, Shareware:
    - стоимость полной лицензии существенно выше, чем у SAMIsnide;
    - скорость перебора ниже;
    - не поддерживает хэши, зашифрованные утилитой SYSKEY;
    - не имеет русского интерфейса;
    - пароли в национальных кодировках восстанавливает неверно.
  • LC+4 от NH, Freeware:
    - скорость перебора ниже, особенно по NTHash;
    - не поддерживает хэши, зашифрованные утилитой SYSKEY;
  • Advanced NT Explorer от Elcomsoft, Shareware:
    - стоимость полной лицензии существенно выше, чем у SAMIsnide;
    - скорость перебора ниже;
    - не поддерживает хэши, зашифрованные утилитой SYSKEY;
  • Proactive Windows Security Explorer от Elcomsoft, Shareware:
    - стоимость полной лицензии существенно выше, чем у SAMIsnide;
    - скорость перебора ниже (но так же, как и SAMInside, эта программа поддерживает хэши, зашифрованные утилитой SYSKEY).
  • Cain & Abel 2.5, Freeware:
    - скорость перебора ниже;
    - не поддерживает хэши, зашифрованные утилитой SYSKEY;
    - не имеет русского интерфейса;
    - пароли в национальных кодировках не восстанавливает.

    Настройки атаки по маске
    Хотя в Интернете уже появились работы с подробным описанием ключа SYSKEY (то есть SAMInside — уже не единственная программа в своем роде, но она навсегда останется первой в мире), и растет количество программ по восстановлению паролей Windows, InsidePro не собирается останавливаться и планируется развивать программу и дальше. Конечно же, в первую очередь, будет увеличиваться скорость перебора. Уже есть теоретические наработки, позволяющие увеличить скорость перебора по NTHash на 20 и более процентов; также будет увеличиваться и функциональность программы.Стоит акцентировать внимание читателей на том, что программа предназначена для восстановления СВОИХ забытых паролей. Об этом сказано и в описании программы, и на ее сайте. Разработчик программы оказывает техническую поддержку только пользователям, использующим ее по назначению. SAMInside — только инструмент, а его применение с целью получения чужих паролей целиком лежит на совести пользователей.

    Ограничения демоверсии. В незарегистрированной версии программы отсутствует перебор по маске, а в полном переборе можно устанавливать только латинские заглавные символы для перебора. Других ограничений нет. Работает программа под всеми версиями Windows — от 95 до 2003

 

Источник: winzone.ru

Оставить комментарий

Чтобы оставлять комментарии Вы должны быть авторизованы.

Похожие посты