Содержание
- Что такое хэш паролей и база данных SAM?
- Шаг 1. Первый шаг: установите системный раздел Windows
- Шаг 2: Сбросьте загрузочный ключ
- Шаг 3: Дама хэшей паролей
- IШаг 4: John the Ripper средство взлома пароля
Что такое хэш паролей и база данных SAM?
SAM предназначен для диспетчера учетных записей безопасности.
База данных SAM является частью Windows.
Операционная система состоит из имени пользователя и пароля в зашифрованном формате, называемом хэшем пароля.
Файл SAM существует в C:/Windows/System32/config в Windows 7/8 / 8.1 / 10.
Если пользователь хочет войти в компьютер, имя пользователя и пароль должны совпадать для аутентификации, введенной пользователем.
Если пользователь набрал неправильное имя пользователя и пароль, аутентификация не удалась.
Алгоритм шифрования при этом NTLM2.
Основная цель SAM – сохранить компьютер и данные перед неавторизованным человеком, например, хакерами.
Но это не полностью работает против профессионального хакера.
Здесь я расскажу вам, как хакер сбрасывает эти хэши паролей из базы данных и узнает пароль, взламывая эти хеши.
Шаг 1. Первый шаг: установите системный раздел Windows
Кликните на Places > Filesystem.
Когда вы щелкнете по файловой системе, раздел windows будет автоматически установлен в каталог /media.
Откройте терминал и введите следующую команду, чтобы достичь местоположении, где была сохранена база данных SAM.
# cd /media/Mounting Point value/Windows/System32/config
В приведенном выше монтировании значение будет изменено в соответствии с системой, вы можете увидеть это значение, выполнив следующую команду:
# ls /media
Шаг 2: Сбросьте загрузочный ключ
# bkhive SYSTEM /root/Desktop/system.txt
System.txt – это файл, в котором хранится ключ загрузки и / root / Desktop – это место для сохранения файла system.txt.
Шаг 3: Дама хэшей паролей
Хэши паролей извлекаются с комбинацией bootkey и базы данных SAM, этот процесс завершается с помощью утилиты samdump2, найденной в kali linux по умолчанию.
Команда дает следующее:
# samdump2 SAM /root/Desktop/system.txt > /root/Desktop/hashes.txt
В реализованной команде база данных SAM и файл system.txt были объединены и создали новый файл hashes.txt
Чтобы увидеть хэши паролей, сдампенные в файл hashes.txt, используйте указанную команду
# cat /root/Desktop/hashes.txt
Измените каталог на /root/Desktop, используя следующую команду:
# cd /root/Desktop
IШаг 4: John the Ripper средство взлома пароля
По достижении каталога для хэшей используйте выполните john с помощью данной команды
# john -format = nt2 -users = vijay hashes.txt
Забыли пароль? Нет проблем!
Теоретические основы
Понятие хэш-функции пароля
Взлом пароля
LM- и NT-хэши
Количество возможных паролей
Месторасположение SAM-файла
Практические примеры
Сброс пароля Windows
Подбор пароля
Рекомендации по защите паролей
Сначала мы хотели назвать данную статью иначе, например «Взлом паролей Windows» или что-то этом роде, поскольку такое название как нельзя лучше отражает ее суть. Однако слово «взлом» уж больно отдает чем-то криминальным, чем-то, за что в приличном обществе бьют по рукам (и не только по рукам), а в цивилизованных странах могут и в тюрьму посадить. А вот восстановление или обнуление забытого пароля — это уже сродни гуманитарной помощи, что может только приветствоваться. Правда, суть от этого не меняется. Взлом — он и в Африке взлом, как его ни называй. Процедура восстановления или обнуления забытого пароля и самый что ни на есть криминальный взлом системы отличаются разве что нравственными аспектами, но никак не последовательностью выполняемых действий.
Мы не будем вдаваться в подробности, зачем пользователю может понадобиться узнать пароль или обнулить его для получения доступа к системе. Оставляя за рамками повествования нравственную сторону вопроса, расскажем о том, каким образом можно обнулить или восстановить свой локальный пароль доступа к ПК, а также узнать сетевые пароли пользователей домена, если речь идет о локальной сети. Мы не станем изобретать велосипед и, поскольку тема эта отнюдь не нова, опишем лишь некоторые утилиты, с помощью которых можно легко обойти систему безопасности компьютера.
Для того чтобы понять, как взламываются пароли, читателям придется сначала усвоить, каким образом происходит аутентификация пользователей, где и в каком виде хранятся их пароли и как их можно узнать. В дальнейшем мы будем основываться на операционной системе Windows XP, хотя вскрытие паролей таких операционных систем, как Windows 2000/2003, от рассмотренного случая ничем не отличается, а в Windows 95/98/Mе те же действия выполнить еще проще.
Теоретические основы
Понятие хэш-функции пароля
Процесс локальной или сетевой аутентификации пользователя довольно прост: пользователь вводит пароль, соответствующий его учетной записи, и если пароль верен, то пользователь получает доступ в систему. Проверка пароля реализуется средствами операционной системы путем его сравнивания с паролем, хранящимся в компьютере. При этом разница между локальной и сетевой аутентификацией заключается лишь в том, что при локальной аутентифкации база учетных записей пользователей с их паролями хранится на самом компьютере, а при сетевой аутентификации — на специальном сервере, называемом контроллером домена.
Казалось бы, что может быть проще? Ведь нужно только знать, где именно хранится учетная база пользователей с их паролями, и подсмотреть нужную информацию. Но это слишком просто, чтобы оказаться правдой. Конечно же, все пароли сохраняются в зашифрованном виде. Зашифрованный пароль именуется хэшем (hash) или хэш-функцией пароля. Причем в данном случае речь идет о довольно хитром методе шифрования, особенность которого заключается в том, что зашифрованный таким образом пароль… принципиально невозможно расшифровать! Дело в том, что алгоритм шифрования (хэширования) является односторонним. Фактически любой алгоритм хэширования представляет собой подсчет контрольной суммы от исходного текста, при котором используются необратимые логические операции над исходным сообщением, такие как AND, OR и др.
Таким образом, по паролю можно вычислить его хэш-функцию, но, зная хэш-функцию, принципиально невозможно вычислить пароль, которому она соответствует. Сама хэш-функция представляет собой числовую последовательность длиной 16 байт.
Для справки: существует огромное количество различных алгоритмов вычисления хэш-функций, и соответственно хэш-функции могут быть разных типов. В дальнейшем мы будем говорить только о хэш-функциях паролей, создаваемых операционной системой Windows при локальной или сетевой аутентификации пользователей (LM- или NT-хэш).
Естественно, возникает вопрос: если знание хэш-функции не позволяет выяснить пароль пользователя, то как же в таком случае происходит процесс аутентификации? Дело в том, что при аутентификации сравниваются не сами пароли, а их хэш-функции. В процессе аутентификации пользователь вводит пароль в привычном для него виде, а операционная система рассчитывает его хэш-функцию и сравнивает с хэшем, хранящимся в компьютере. В случае их совпадения аутентификация считается успешной.
Взлом пароля
Процесс взлома, или подбора, пароля банален и представляет собой обычный перебор возможных паролей. Для этого нужно знать хэш-функцию пароля, хранимую в компьютере, и уметь вычислять хэш по паролю. Тогда, перебирая различные варианты паролей и сравнивая расчетные хэши с тем, что хранится в компьютере, можно подобрать правильный пароль.
Казалось бы, такой перебор никогда не закончится — вариантов паролей существует бесконечное множество. Однако не стоит торопиться с выводами. Во-первых, количество возможных паролей все-таки конечно, а во-вторых, современные компьютеры позволяют перебирать миллионы паролей в секунду. Кроме того, имеются различные методы атак на пароли (об этом речь пойдет далее), которые в большинстве случаев приводят к положительному результату в считаные минуты. Прежде чем от теории перейти к практике, рассмотрим смысл понятия «хэш» и выясним, сколько вариантов паролей реально существует.
LM- и NT-хэши
В операционных системах Windows NT/2000/2003/XP существует два типа хэш-функций паролей: LM-хэш (LanMan-хэш) и NT-хэш. Хэш LM достался нам в наследство от сетей Lan Manager и используется в операционных системах Windows 9x. Поэтому, несмотря на то, что все современные операционные системы поддерживают новый тип хэширования (NT-хэш), чтобы обеспечить совместимость с клиентами Windows 9x, операционная система вынуждена хранить вместе с новым NT-хэшем и старый LM-хэш.
При применении LM-хэширования длина пароля ограничена 14 символами. Самым большим недостатком алгоритма получения LM-хэша является разделение пароля на две части, каждая из которых состоит из семи символов. Если вводимый пользователем пароль менее 14 символов, то при преобразовании к нему добавляются нулевые символы, то есть символы с кодом 0, чтобы получить строку, состоящую из 14 символов. Если же пароль пользователя превышает 14 символов, то LM-хэш соответствует пустому паролю. Каждая из 7-символьных половин пароля шифруется независимо от другой по алгоритму DES (бывший федеральный стандарт США), причем поскольку процесс шифрования каждой из 7-символьных половин пароля независим, то и подбор этих половин можно производить независимо, что значительно упрощает и ускоряет процесс вскрытия пароля. Другой серьезный недостаток LM-хэша связан с тем, что в процессе шифрования все буквенные символы пароля переводятся в верхний регистр. А поскольку LM-хэш содержит информацию о пароле без учета регистра, то LM-хэши для паролей ALLADIN, alladin, Alladin и aLLadin будут совершенно одинаковыми. Это существенно ограничивает количество возможных комбинаций пароля и, как следствие, ускоряет процесс вскрытия.
NT-хэш лишен недостатков, присущих LM-хэшу. Во-первых, при NT-хэшировании используется алгоритм шифрования MD4, при котором пароль не разбивается на две 7-символьные части. Во-вторых, при NT-хэшировании нет ограничения по длине пароля в 14 символов. В-третьих, NT-хэш является регистрозависимым, то есть NT-хэши для паролей ALLADIN и alladin будут совершенно разными.
Как мы уже отмечали, размер хэш-функций (и LM, и NT) независимо от длины вводимого пароля составляет 16 байт. Если длина пароля менее 14 символов, то для каждого пароля имеются и LM-, и NT-хэши. Если же длина пароля превышает 14-символов, то существует только NT-хэш.
Подобрать правильный пароль к известному NT-хэшу значительно сложнее, чем к LM-хэшу. Если известны и LM-, и NT-хэши, то сначала осуществляется подбор пароля по LM-хэшу, а после нахождения LM-пароля (все буквы верхнего регистра) используется NT-хэш для определения NT-пароля с учетом регистра. Правда, в данном случае есть одна тонкость: для пароля не всегда существует LM-хэш, для которого нужно, чтобы длина пароля была меньше или равной 14 символам. Но даже в случае, если длина пароля меньше 14 символов, LM-хэш можно удалить из базы. О том, как это сделать, мы еще расскажем, а пока приведем практические примеры LM- и NT-хэшей различных паролей.
Рассмотрим для начала 7-символьный пароль alladin, которому соответствует 16-байтный LM-хэш a01fad819c6d001aaad3b435b51404ee, записанный в шестнадцатеричной системе счисления. Далее рассмотрим 14-символьный пароль alladinalladin, для которого LM-хэш будет таким: a01fad819c6d001aa01fad819c6d001a. Обратите внимание, что первая половина (8 байт: a01fad819c6d001a) этого хэша полностью совпадает со второй. Кроме того, первая половина данного хэша совпадает с первой половиной LM-хэша пароля alladin. Такое совпадение отнюдь не случайно, если вспомнить, что каждые семь символов пароля кодируются независимо и определяют 8 байт итогового LM-хэша.
Интересно также отметить, что вторая половина LM-хэша пароля (aad3b435b51404ee) должна соответствовать символам с кодом 0, поскольку в том случае, если пароль меньше 14 символов, к нему добавляются пустые символы. То есть ad3b435b51404ee — это шифрование семи пустых символов. Поэтому можно предположить, что для любого другого 7-символьного пароля вторая половина LM-хэша окажется точно такой же. Действительно, для пароля tornado хэш LM равен 1e1e25e2f871d8dfaad3b435b51404ee, и, как нетрудно заметить, вторая половина этого хэша точно такая же, как и для пароля alladin. Для пароля ALLADIN значение LM-хэша точно такое же, как и для пароля alladin. Учитывая, что при LM-кодировании все буквы переводятся в верхний регистр, слово ALLADIN называют LM-паролем.
Если же рассмотреть NT-хэши для различных вариантов паролей (alladin, alladinalladin, tornado), то никакой закономерности не обнаружится (табл. 1). Кроме того, как уже отмечалось, NT-хэш является регистрозависимым, а сам NT-пароль соответствует истинному паролю.
Таблица 1. Пароли и соответствующие им хэш-функции
Количество возможных паролей
Итак, мы разобрались с алгоритмом, который используется для взлома пароля. Единственный способ, реализованный во всех программах, которые предназначены для подбора пароля, — это перебор всех возможных комбинаций. Естественно, возникает вопрос, а сколько вообще возможно комбинаций и так ли легко подобрать пароль методом перебора?
Что ж, давайте попробуем сосчитать. В операционных системах Windows 2000, 2003 и XP длина пароля может достигать 127 символов. При этом в качестве парольного символа можно использовать любой из 256 кодов ASCII. В таком случае при длине пароля в n символов количество возможных комбинаций будет равно 256n. Общее количество возможных паролей при этом составит 2561 + 2562 + … + 256127~~21024 = 1,8·10308. Это число астрономически огромно, и ни один современный компьютер не сможет перебрать все возможные комбинации за разумное время. Предположим, что имеется компьютер, который способен реализовать алгоритм перебора со скоростью 10 млн паролей в секунду. Для перебора всех паролей ему потребуется порядка 10293 лет! Для справки укажем, что возраст планеты Земля оценивается всего-навсего в 4,5 млрд лет (4,5·109). Практически это означает, что взломать пароль методом перебора невозможно! Что ж, «броня крепка, и танки наши быстры», однако не стоит делать поспешных выводов.
Прежде всего, приведенные нами выкладки не совсем корректны. Дело в том, что хотя количество всех возможных паролей и составляет 21024, но число возможных хэш-функций существенно меньше. Действительно, как мы уже отмечали, независимо от длины пароля длина хэш-функции составляет 16 байт, или 128 бит. Соответственно количество возможных вариантов хэш-функций равно 2128. Ну а поскольку для аутентификации применяются не сами пароли, а их хэш-функции, то и ориентироваться нужно именно на это количество возможных комбинаций. Фактически это означает, что одна и та же хэш-функция может соответствовать огромному количеству различных паролей и для успешной аутентификации можно использовать любой из них. Отсюда следует важный вывод: какой бы уникальный пароль вы ни придумали, существует огромное количество других комбинаций символов, которые можно применить в качестве правильного пароля.
Второй важный вывод заключается в том, что не имеет смысла использовать пароли длиннее 16 символов. Действительно, при длине пароля в 16 символов мы имеем 2128 возможных комбинаций, то есть ровно столько же, сколько и возможных комбинаций хэш-функций, а дальнейшее увеличение длины пароля не приведет к увеличению числа хэш-функций.
Теперь давайте попробуем сосчитать, сколько же времени потребуется для последовательного перебора всех наших 2128 хэш-функций. Учитывая, что скорость перебора составляет 107 паролей в секунду, получим, что для перебора всех комбинаций потребуется 1024 лет! Казалось бы, можно спать спокойно, но опять-таки не будем спешить с выводами.
Как мы уже отмечали, основную угрозу представляют не NT-, а LM-хэши. Количество доступных символов в данном случае уже не 256, а всего 197, поскольку все буквенные символы в пароле приводятся к верхнему регистру, следовательно, 26 символов строчных букв латинского алфавита и 33 символа строчных букв русского алфавита надо исключить из 256 вариантов ASCII-символов. Поэтому при длине пароля в 14 символов количество возможных вариантов составляет всего 19714=1,3·1032. Однако и эта цифра явно завышена. Вспомним, что при LM-кодировании пароль разбивается на две 7-символьные части, каждая из которых кодируется независимо. Поэтому в действительности количество возможных комбинаций определяется всего семью символами и составляет 1977=11,5·1016. При скорости перебора 107 паролей в секунду для перебора всех возможных комбинаций потребуется 37 лет. Конечно, и эта цифра достаточно велика и заставляет усомниться в том, что кто-то захочет заниматься подбором пароля. Однако здесь есть одно «но» — так называемый человеческий фактор. Попробуйте найти такого пользователя, который при наборе пароля переключает раскладку клавиатуры! А это значит, что реальное количество символов не 197, а 64. В этом случае число возможных вариантов уменьшается уже до значения 647 (рассматриваются LM-хэши), а для перебора всех паролей потребуется всего 5 дней!
К тому же в подавляющем большинстве случаев пароли представляют собой осмысленные слова или фразы, причем не очень большой длины. Ну а с учетом того, что количество слов исчисляется всего-навсего сотнями тысяч, то перебор по словарю окажется не слишком длительным.
Отсюда следует очень важный вывод: чаще всего подобрать пользовательский пароль не составляет труда — это вопрос времени. Далее на конкретном примере мы покажем вам, как можно быстро подобрать пароли по известным хэш-функциям, а пока рассмотрим, где хранятся хэш-функции и каким образом их можно заполучить.
Месторасположение SAM-файла
До сих пор мы рассматривали процесс восстановления паролей по известным хэш-функциям, но не ответили на самый главный вопрос: где эти хэш-функции паролей хранятся и каким образом можно получить доступ к базе учетных записей пользователей? Все учетные записи пользователей вместе с соответствующими им хэш-функциями паролей хранятся в так называемой базе SAM (Security Accounts Manager). Она представляет собой одноименный файл, который не имеет расширения. SAM-файл является составной частью реестра и хранится в каталоге %systemroot%system32config (под %systemroot% понимается каталог с операционной системой — по умолчанию соответствует каталогу C:WINDOWS). Кроме того, резервная копия этого файла имеется на диске аварийного восстановления системы, а также в каталоге %systemroot%repair. Однако при использовании резервной копии SAM-файла необходимо иметь в виду, что пароли могли измениться с момента последнего сеанса создания резервной копии. Кроме того, недавно заведенных учетных записей пользователей в резервной копии может и не оказаться.
Практические примеры
Говоря о паролях и получении доступа к ПК, необходимо рассмотреть два принципиально разных сценария: первый — это получение доступа к отдельному ПК, который не входит в локальную сеть, а второй — получение доступа к ПК в составе локальной сети, то есть получение сетевого доступа. При этом под локальной сетью мы будем в дальнейшем понимать полноценную сеть с выделенным контроллером домена.
С программной точки зрения способы получения доступа к локальному и сетевому ПК ничем не отличаются друг от друга. Разница заключается лишь в способе получения SAM-файла, который в первом случае хранится на локальном ПК, а во втором — на контроллере домена сети.
Кроме того, доступ к ПК можно реализовать за счет как сброса пароля, так и его подбора. Причем порядок действий различен, поэтому мы детально рассмотрим оба способа сброса.
Сброс пароля Windows
Как уже отмечалось в первой части статьи, существует два типа паролей: локальные и сетевые. Хэш-функции локальных паролей хранятся на самом ПК, а хэш-функции сетевых паролей — на контроллере домена. Поскольку процедура сброса пароля подразумевает редактирование SAM-файла, что принципиально невозможно реализовать удаленно (то есть по сети), и требует перезагрузки ПК, то сброс пароля используется преимущественно для получения доступа к локальному ПК. Если же требуется сбросить именно сетевой пароль пользователя, а администраторский сетевой пароль утерян, то ту же самую процедуру придется проделать для сетевого контроллера домена, но нужно понимать, что для этого необходимо иметь физический доступ к серверу и процедура его остановки и перезагрузки не останется незамеченной.
Для сброса пароля необходимо внести изменения в SAM-файл, который хранится в директории %systemroot%system32config. Однако при загруженной операционной системе доступ к этому файлу заблокирован, то есть его невозможно ни скопировать, ни просмотреть, ни подменить. Поэтому для получения доступа к SAM-файлу прежде всего необходимо загрузить компьютер не с жесткого диска, а с дискеты, компакт-диска или с флэш-памяти с использованием другой операционной системы.
При этом если на жестком диске компьютера установлена файловая система NTFS, то необходимо, чтобы загрузочная операционная система понимала ее. К примеру, можно подготовить системную дискету DOS и разместить на ней драйвер NTFS, называемый NTFSDOS. C помощью этого драйвера все разделы NTFS будут смонтированы в качестве логических дисков DOS, после чего доступ к ним станет возможным.
Кроме того, нам понадобится утилита, позволяющая производить изменения в SAM-файле. Сегодня наиболее популярными из подобных утилит являются две: Active Password Changer 3.0 и Offline NT/2K/XP Password Changer & Registry Editor.
Утилита Active Password Changer 3.0
Данную программу можно скачать с сайта www.password-changer.com/download.htm. Существует несколько вариантов ее загрузки: c установкой на компьютере (Windows Installer) в виде исполняемого файла под DOS (DOS Executable), загрузочная дискета с интегрированным приложением (Bootable Floppy Creator) и ISO-образ для создания загрузочного CD-диска с интегрированным приложением.
Вариант утилиты с установкой на компьютер подразумевает установку исполняемого файла под DOS, установку мастера создания загрузочной дискеты или флэш-диска USB с интегрированным приложением (рис. 1) и утилиту для записи ISO-образа загрузочного диска с интегрированным приложением.
Рис. 1. Мастер создания загрузочной дискеты или флэш-диска USB
с интегрированным приложением Active Password Changer 3.0
Пользоваться данной утилитой независимо от того, применяется ли для загрузки CD-диск, флэш-диск USB или дискета, очень просто. Для этого потребуется лишь минимальное знание английского языка.
Какой именно вариант предпочесть — создание загрузочной дискеты, флэш-диска USB или CD-диска — зависит от конкретной ситуации. К примеру, если на компьютере нет флопповода, что встречается довольно часто, то вариант с загрузочной дискетой отпадает. Использование загрузочного CD-диска тоже не всегда подходит, к примеру на новых материнских платах PATA-контроллер, к которому прицеплен оптический привод, может быть реализован посредством контроллера типа JMicron и в этом случае воcпользоваться загрузочным CD-диском с интегрированной утилитой Active Password Changer 3.0 не удастся по причине отсутствия драйверов контроллера. То есть загрузиться с такого диска можно, но приложение работать не будет.
Вариант с флэш-диском USB практически всегда срабатывает, но только в том случае, если материнская плата поддерживает на уровне BIOS возможность загрузки с флэш-диска. У всех новых моделей материнских плат данная функция предусмотрена, но бывают и исключения. Так, некоторые модели материнских плат (особенно на чипсетах NVIDIA) хотя и позволяют реализовать загрузку системы с флэш-диска USB, но не дают возможности запустить саму утилиту.
Поэтому целесообразно обеспечить возможность использования всех трех способов применения утилиты Active Password Changer 3.0.
Как мы уже отмечали, работа с самой утилитой не вызывает проблем. На первом этапе необходимо выбрать логический диск, на котором размещена операционная система. Далее программа находит SAM-файл на данном логическом диске и выводит учетные записи пользователей, которые можно редактировать.
Редактированию подлежат те же пункты, что и при редактировании из операционной системы Windows пользователем, имеющим статус администратора. Таким образом, используя утилиту Active Password Changer 3.0, можно сбросить пароль любого пользователя (Clear this User’s Password), блокировать (Account is disabled) или разблокировать (Account is locked out) учетную запись, указать необходимость смены пароля при следующей загрузке пользователя (User must change password at next logon) или задать опцию бессрочного пароля (Password never expires). Кроме того, с ее помощью можно задать расписание (по дням недели и часам), когда данному пользователю разрешен вход в систему.
Вообще, редактирование учетных записей пользователя с применением утилиты Active Password Changer 3.0 занимает буквально считаные секунды. Огорчает лишь одно — на официальном сайте www.password-changer.com/download.htm бесплатно можно скачать лишь демо-версию программы, которая имеет существенные ограничения по функциональности и, по сути, абсолютно бесполезна. Поэтому имеет смысл найти ее «правильный» вариант — Active Password Changer 3.0 Professional. К примеру, полнофункциональная версия этой утилиты входит в состав довольно известного загрузочного диска Hiren‘s Boot CD (текущая версия 8.6), который можно легко найти в Интернете. Правда, в данном случае подразумевается загрузка именно с CD-диска.
Offline NT/2K/XP Password Changer & Registry Editor
Утилиту Offline NT/2K/XP Password Changer & Registry Editor можно абсолютно бесплатно скачать с сайта http://home.eunet.no/pnordahl/ntpasswd. Имеются два ее варианта: ISO-образ для создания загрузочного CD-диска и утилита для создания загрузочной дискеты.
Использование данной утилиты вкупе с загрузочным флэш-диском USB в принципе возможно, но создавать такую дискету и интегрировать в нее утилиту придется самостоятельно.
Применение Offline NT/2K/XP Password Changer & Registry Editor не вызывает сложностей. На первом этапе выбираем логический диск с инсталлированной операционной системой. Далее необходимо указать местоположение файла SAM (по умолчанию предлагается windows/system32/config) и выбрать функцию редактирования SAM-файла. Если операционная система устанавливалась по умолчанию, то можно даже не вчитываться в вопросы, которые появляются в каждом новом диалоговом окне, а все время нажимать Enter.
После выбора конкретной учетной записи можно сбросить пароль, задать новый пароль, заблокировать или разблокировать учетную запись пользователя, задать опцию бессрочного пароля и т.д.
В заключение отметим, что утилита Offline NT/2K/XP Password Changer & Registry Editor также входит в состав диска Hiren‘s Boot CD.
Другие варианты
Кроме рассмотренных утилит Active Password Changer 3.0 и Offline NT/2K/XP Password Changer & Registry Editor существуют подобные утилиты для сброса пароля, которые обычно включаются в загрузочные диски Live CD, то есть в диски, с помощью которых можно загрузить операционную систему без ее инсталляции на жесткий диск компьютера. Различных дисков Live CD предлагается достаточно много, но, как правило, все они построены на основе различных клонов Linux-систем. Если же говорить о дисках Live CD на основе Windows XP с интегрированным инструментом для смены пароля, то их мало. Можно назвать диск iNFR@ CD PE 6.3, представляющий собой урезанную копию Windows XP, для работы которой не требуется инсталляция на жесткий диск. В комплект также входит множество утилит и пакетов, в том числе пакет ERD Commander, который позволяет сбрасывать пароль и создавать нового пользователя. Загрузочный диск Live CD урезанной версии Windows XP с использованием хорошо известного пакета PE Builder можно изготовить и самостоятельно, а затем интегрировать в него утилиту для смены пароля (ERD Commander). Однако если такие диски предполагается применять исключительно для смены пароля, то это не самый лучший вариант. Куда практичнее использовать описанные выше методы. Дело в том, что диски Live CD на основе урезанной версии OC Windows XP обладают одним серьезным недостатком: время загрузки компьютера с такого диска составляет более 5 минут, что, конечно же, крайне неудобно.
Подбор пароля
Подбор пароля — задача отнюдь не тривиальная. Основная проблема заключается в том, каким образом получить SAM-файл. Кроме того, одного SAM-файла для этого недостаточно. Дело в том, что для усиления безопасности компания Microsoft в свое время добавила в операционную систему утилиту SYSKEY, которая первоначально входила в Service Pack 3 для Windows NT 4.0. Данная утилита позволяет дополнительно зашифровывать хэши паролей учетных записей пользователей с применением 128-битного ключа, что делает невозможным процесс извлечения хэшей из SAM-файла некоторыми программами, например программой SAMDump. В операционных системах Windows 2000/2003/XP утилита SYSKEY активирована по умолчанию, а дополнительное шифрование не может быть заблокировано.
При активированном режиме SYSKEY ключ шифрования паролей, который кодируется с помощью системного ключа, может храниться как локально (при этом возможна его дополнительная защита паролем), так и отдельно — на дискете, что встречается крайне редко.
Впервые способ преодоления защиты SYSKEY был предложен Тоддом Сабином (Todd Sabin) в его программе pwdump2. Данный способ может быть реализован только на локальной машине, и для создания дампа паролей методом pwdump2 необходимо иметь права администратора. Работа утилиты pwdump2 основана на внедрении библиотеки samdump.dll, посредством которой она записывает свой код в пространство другого процесса (lsass.exe), обладающего более высоким уровнем привилегий. Загрузив библиотеку samdump.dll в процесс lsass (системная служба Local Security Authority Subsystem, LSASS), программа использует те же самые внутренние функции интерфейса API, чтобы обратиться к хэшам паролей. Это означает, что утилита получает доступ к зашифрованным паролям без их расшифровки.
Кроме метода внедрения библиотеки, существуют и другие способы обойти ограничения защиты SYSKEY. К примеру, если имеется доступ к самому ключу, который может храниться на локальной машине, то ничто не мешает расшифровать данные SAM-файла. Ключ является составной частью реестра, и информация о нем может быть извлечена из файла SYSTEM, который сохраняется в той же директории, что и файл SAM. При загруженной операционной системе Windows файл SYSTEM, так же как и файл SAM, является заблокированным, то есть его нельзя ни скопировать, ни переименовать, ни подменить.
Далее мы расскажем о наиболее популярных утилитах, позволяющих подобрать пароль методом перебора по его хэш-функциям, но прежде рассмотрим основные способы получения SAM-файла и системного ключа шифрования.
Получение SAM-файла и системного ключа шифрования
Для локального ПК
Если речь идет о локальном ПК, то при использовании утилит подбора паролей по их хэш-функциям необходимо прежде всего получить SAM-файл и файл SYSTEM. В принципе, некоторые утилиты (в частности, SAMinside), если они установлены на том самом ПК, где хранится учетная запись пользователей, позволяют сделать это и при загруженной операционной системе. Однако в данном случае есть одно серьезное ограничение: эта операция возможна только при условии, что компьютер загружен под учетной записью пользователя, имеющего права администратора. Но тогда возникает резонный вопрос: если компьютер загружен под учетной записью пользователя с правами администратора, зачем вообще подбирать пароль? Поэтому наиболее типичной является ситуация, когда учетная запись с правами администратора неизвестна и нужно как раз подобрать пароль администратора или любого пользователя данного ПК с правами администратора.
В этом случае необходимо предварительно скопировать два файла: SAM и SYSTEM, которые, как уже отмечалось, расположены в директории %systemroot%system32config (по умолчанию это директория СWindowssystem32config).
Для осуществления данной процедуры требуется загрузить компьютер с помощью альтернативной операционной системы, то есть не с жесткого диска. Самый простой вариант — создать загрузочный диск Live CD или даже флэш-диск USB (если компьютер поддерживает загрузку с USB-носителя) с урезанной версией Windows XP. Это легко сделать посредством утилиты PE Builder (более подробно о создании таких дисков можно прочитать в отдельной статье в этом номере журнала). Кроме того, если для загрузки используется CD-диск, то перед загрузкой в компьютер необходимо также вставить флэш-диск USB, чтобы иметь возможность скопировать на него нужные файлы (если флэш-диск вставить после загрузки ОС, то он не инициализируется).
Итак, после загрузки компьютера с помощью альтернативной операционной системы нужно скопировать на флэш-диск или на дискету два файла: SAM и SYSTEM. Далее можно приступать к подбору пароля с применением утилиты LCP 5.04 или SAMinside. Естественно, данная процедура производится уже на другом компьютере.
Рассмотренный способ получения файлов SAM и SYSTEM применяется в тех случаях, когда имеется локальный доступ к компьютеру и необходимо получить учетную базу пользователей вместе с хэш-функциями паролей, хранящимися на самом компьютере. Если же речь идет о получении сетевого пароля, то используется несколько иная процедура.
Для сетевого компьютера
В случае локальной сети файлы SAM и SYSTEM хранятся на контроллере домена и получить доступ к ним не так-то просто. В принципе, можно использовать тот же самый способ, что и для локального ПК, но с сервером, выполняющим роль контроллера домена, правда такая процедура не останется незамеченной. Кроме того, некоторые утилиты (например, LCP 5.04) поддерживают возможность удаленного (то есть по сети) получения SAM-файла с контроллера домена. Однако для реализации такого способа нужно обладать правами доступа администратора сети или контроллера домена. Кроме того, на контроллере домена можно легко заблокировать возможность удаленного доступа к реестру — в этом случае все попытки извлечь SAM-файл по сети будут заблокированы.
Утилита LCP 5.04
Итак, настало время перейти к практическим примерам и рассмотреть программы, которые позволяют эффективно восстанавливать пароли пользователей по известным хэш-функциям. Начнем с утилиты LCP 5.04 (www.lcpsoft.com; рис. 2), которая является очень мощным средством восстановления паролей по LM- и NT-хэшам. Эта утилита бесплатна и имеет русскоязычный интерфейс.
Рис. 2. Главное окно утилиты LCP 5.04
Для того чтобы начать работу с данной утилитой, прежде всего требуется импортировать в нее учетную базу пользователей. Программа LCP 5.04 поддерживает импорт учетных записей пользователей с локального и удаленного компьютеров, импорт SAM-файла, импорт Sniff-файлов, а также импорт файлов, созданных другими утилитами (в частности, файлов LC, LCS и PwDump).
Импорт учетных записей пользователей с локального компьютера подразумевает два варианта операционной системы: Windows NT/2000/2003/XP без Active Directory и то же самое, но с Active Directory (рис. 3).
Рис. 3. Окно импорта учетных записей пользователей
с локального компьютера
Однако, как показывает практика, если применяется операционная система Windows XP SP2, то импорт с локального компьютера невозможен. При выборе любого из вариантов срабатывает защита операционной системы и компьютер, предварительно уведомив об этом пользователя, перезагружается.
Импорт учетной базы пользователей с удаленного ПК позволяет выбрать компьютер в составе локальной сети, указать тип импорта (импорт из реестра или из памяти) и, в случае необходимости, ввести имя пользователя и пароль при подключении к удаленному ПК (рис. 4). Понятно, что при использовании удаленного подключения пользователь должен иметь права администратора.
Рис. 4. Окно настройки импорта учетных записей
пользователей с удаленного ПК
При импорте SAM-файла необходимо указать путь к нему, а также к файлу SYSTEM (рис. 5). При этом предполагается, что файлы SAM и SYSTEM предварительно скопированы описанным выше способом.
Рис. 5. Окно настройки импорта SAM-файла
После того как в программу LCP 5.04 произведен импорт учетных записей пользователей, содержащих имя пользователя, LM- и NT-хэши, можно приступать к процедуре восстановления паролей (рис. 6). Утилита поддерживает подбор как по LM-, так и по NT-хэшу. Понятно, что при наличии LM-хэша атака будет направлена именно на него.
Рис. 6. Главное окно утилиты LCP 5.04 с импортированными
данными учетных записей пользователей
В утилите LCP 5.04 реализовано три типа атак для подбора паролей по их хэшам: атака по словарю, гибридная атака по словарю и атака методом последовательного перебора.
При атаке по словарю последовательно вычисляются хэши для каждого слова из словаря или для его модификации и сравниваются с хэшами паролей пользователей. Если хэши совпадают, то пароль найден. Преимуществом данного метода является его высокая скорость, а недостатком — большая вероятность отсутствия пароля в словаре. Для увеличения эффективности атаки по словарю утилита позволяет производить дополнительные настройки (рис. 7). В частности, к словарю можно добавлять имена пользователей, учитывать возможность использования соседних клавиш (типа последовательностей qwert и др.), повтора слова (например, useruser), обратного порядка символов в словах (например, resu), конкатенации с обратным порядком символов (в частности, userresu), применения усеченных слов, слов без гласных, транслитерации (типа parol). Кроме того, можно проверять изменение раскладки на латинскую (слово «пароль» в латинской раскладке будет выглядеть как «gfhjkm») или на локализованную (слово «password» в русской раскладке превратится в «зфыыцщкв»). Кроме того, для атаки по словарю можно подключать разные словари, даже сразу несколько. В утилите LCP 5.04 есть собственные словари, но мы рекомендуем использовать более емкие словари, которые можно найти в Интернете, например отличная подборка находится на сайте www.insidepro.com.
Рис. 7. Настройка атаки по словарю в утилите LCP 5.04
При восстановлении паролей методом гибридной атаки по словарю к каждому слову либо к его модификации справа и/или слева добавляются символы. Для каждой получившейся комбинации вычисляется хэш, который сравнивается с хэшами паролей пользователей. В программе LCP 5.04 можно задать количество символов, добавляемых слева или справа от слова (его модификации) (рис. 8).
Рис. 8. Настройка гибридной атаки в утилите LCP 5.04
При атаке методом последовательного перебора (brute force) из указанного набора символов составляются случайные слова, а потом для них (точнее, для последовательностей символов) вычисляются хэш-функции. При использовании данного метода пароль будет определен, если символы, содержащиеся в пароле, есть в указанном наборе символов. Однако этот метод отнимает очень много времени, и чем больше символов в выбранном наборе, тем дольше будет продолжаться перебор комбинаций. При использовании данного метода можно указывать набор символов, применяемых для подбора, из нескольких предопределенных наборов (рис. 9), задавать набор символов вручную. Кроме того, можно указывать длину пароля и ограничивать минимальную и максимальную длину. Если известны некоторые символы пароля или хотя бы регистр символов, то можно дополнительно указывать, какие символы должны присутствовать в пароле (и их местоположение) (рис. 10), а также определять для каждого неизвестного символа его регистр (верхний, нижний, неизвестно). Разумеется, задавать длину пароля более семи символов имеет смысл только в том случае, когда производится атака на NT-хэш. Это касается и маски регистров символов — использовать ее целесообразно только при подборе NT-хэша. Естественно, маска символов и регистров применяется только в том случае, когда требуется подобрать пароль для конкретной учетной записи, а не множество паролей для всех учетных записей.
Рис. 9. Окно настройки атаки методом последовательного
перебора в утилите LCP 5.04
Еще одной интересной особенностью утилиты LCP 5.04 является возможность разбиения атаки последовательным перебором на части (с их последующим объединением). Каждая часть задачи может независимо от других частей выполняться на отдельном компьютере. Соответственно чем больше задействуется компьютеров для перебора, тем выше скорость выполнения задачи.
Рис. 10. Настройка маски известных символов пароля
Утилита LCP 5.04 поддерживает экспорт результатов (найденных паролей) в текстовый файл и добавление паролей в словарь, что в дальнейшем позволяет более эффективно подбирать пароли пользователей.
Утилита SAMinside
Утилита SAMinside (www.insidepro.com) тоже предназначена для подбора паролей по хэш-функциям, однако по функциональности она несколько отличается от утилиты LCP 5.04. Текущая версия утилиты SAMinside — 2.5.8.0, на официальном сайте можно скачать лишь ее демо-версию, которая имеет некоторые функциональные ограничения. Так, в демо-версии программы не поддерживается настройка маски при подборе пароля. Но, думается, наши читатели знают, как поступать в этом случае.
Утилита SAMinside поддерживает несколько языков, в частности интерфейс утилиты можно настроить на русский язык (рис. 11).
Рис. 11. Главное окно утилиты SAMinside
Перед началом работы с данной утилитой необходимо импортировать в нее учетную базу пользователей. Программа SAMinside обеспечивает импорт файлов реестров SAM и SYSTEM, импорт файла реестра SAM и файла с ключом SYSKEY, импорт учетных записей пользователей с локального компьютера с применением процедур LSASS и Sheduler. Кроме того, предусмотрен импорт базы учетных записей пользователей из других программ (в частности, файлов LCP, LCS, LC, LST и PwDump).
Сравнивая возможности утилит SAMinside и LCP 5.04, нужно отметить, что утилита SAMinside не поддерживает импорт учетной базы пользователей с удаленного ПК, но в то же время может импортировать ее с локального компьютера с использованием процедур LSASS и Sheduler, чего не способна делать утилита SAMinside. Естественно, для этого нужно иметь права администратора на локальном ПК.
При импорте SAM-файла необходимо указать путь к нему, а также к файлу SYSTEM. При этом предполагается, что оба файла предварительно скопированы с нужного компьютера.
После того как произведен импорт учетных записей пользователей в программу SAMinside, можно приступать к процедуре восстановления паролей. Утилита поддерживает подбор как по LM-, так и по NT-хэшу. Но, как мы уже неоднократно отмечали, если пароль имеет LM-хэш, то подбирать нужно именно его.
В утилите SAMinside реализовано несколько типов атак для подбора паролей по их хэшам: атака по словарю, гибридная атака по словарю, атака по маске, атака методом последовательного перебора и атака по Rainbow-таблицам.
При атаке по словарю предусмотрены гибкие возможности по настройке. Так, к словарю можно добавлять имена пользователей, проверять дважды записанные слова, слова, записанные в обратном порядке, последовательности соседних клавиш и повторы одинаковых символов (рис. 12). Однако в настройках атаки по словарю не предусмотрена возможность проверять замену раскладки на латинскую или на локализованную.
Рис. 12. Настройка атаки по словарю в утилите SAMinside
Кроме того, при атаке по словарю можно подключать различные словари, даже несколько сразу (рис. 13). Подборку словарей можно найти на официальном сайте программы www.insidepro.com.
Рис. 13. Подключение словарей в утилите SAMinside
При восстановлении паролей методом гибридной атаки по словарю к каждому слову словаря либо к его модификации справа и/или слева добавляются символы. С помощью настроек программы можно указать количество таких символов (рис. 14).
Рис. 14. Настройка гибридной атаки в утилите SAMinside
При атаке методом последовательного перебора (рис. 15) возможно указывать набор символов, используемых для подбора, из нескольких предопределенных наборов или задавать набор символов вручную. Кроме того, можно указывать длину пароля и ограничивать минимальную и максимальную длину.
Рис. 15. Окно настройки атаки методом перебора в утилите SAMinside
К тому же имеется возможность выполнять подбор методом последовательного перебора на нескольких компьютерах.
Атака по маске применяется при наличии определенной информации о пароле. К примеру, может быть известно, что пароль начинается с комбинации символов «123» или что первые три символа пароля цифровые, а остальные — латинские буквы.
При настройке атаки по маске (рис. 16) можно задать максимальную длину пароля и для каждого символа настроить маску. Если точно известен символ в пароле и его позиция, то можно указать данный символ. Кроме того, для каждого символа в качестве маски можно использовать предопределенный набор символов.
Рис. 16. Окно настройки атаки по маске в утилите SAMinside
Еще одна возможность атаки, реализованная в программе SAMinside, — это атака по Rainbow-таблицам (применяется только для LM-хэшей). Программа поддерживает таблицы, сгенерированные утилитой rainbowcrack версии 1.2 (www.antsight.com/zsl/rainbowcrack). Для генерации таблиц используется файл rtgen.exe. В утилите rainbowcrack имеется подробный учебник, освоив который можно научиться создавать Rainbow-таблицы.
Идея Rainbow-таблиц заключается в следующем: атака методом последовательного перебора занимает чрезвычайно много времени, для ускорения процесса можно воспользоваться предварительно сформированными таблицами, в которых сохранялись бы сгенерированные наборы символов и соответствующие им LM-хэши.
Отметим, что процесс генерации Rainbow-таблиц может занять от нескольких дней до нескольких лет в зависимости от применяемых настроек. Однако если такие таблицы созданы, то их использование существенно повышает скорость подбора паролей, который в этом случае занимает несколько минут. Пожалуй, сегодня Rainbow-таблицы являются наиболее эффективным и быстрым средством для восстановления паролей.
Утилита Proactive Password Auditor
Еще одна популярная утилита, позволяющая восстанавливать пароли по их хэш-функциям, — это Proactive Password Auditor от компании Elcomsoft (http://www.elcomsoft.com). Правда, в отличие от LCP 5.04, она стоит немалых денег, а на сайте компании можно скачать лишь ее 60-дневную демо-версию с ограниченным числом поддерживаемых учетных записей пользователей, пароли которых необходимо подобрать.
Текущая версия программы Proactive Password Auditor — 1.7, однако, как выяснилось в ходе тестирования, она оказалась нестабильной и постоянно приводила к ошибке, после чего просто закрывалась. Поэтому мы перешли на проверенную и стабильную в работе версию 1.5.
Программа Proactive Password Auditor (рис. 17) поддерживает русскоязычный интерфейс и очень проста в эксплуатации.
Рис. 17. Главное окно программы Proactive Password Auditor
Перед началом работы с данной утилитой необходимо импортировать в нее учетную базу пользователей. Утилита Proactive Password Auditor поддерживает импорт учетной базы пользователей как с локального, так и с удаленного ПК. При этом независимо от того, идет ли речь о локальном или удаленном ПК, импорт учетных записей пользователей может быть реализован через доступ к файлам реестра (SAM, SYSTEM), которые нужно скопировать из соответствующей директории вышеописанными способами. Кроме того, поддерживается импорт учетных записей пользователей из файла PwDump.
Импорт учетных записей пользователей с локального ПК может быть реализован за счет доступа к памяти локального компьютера или реестра.
Импорт учетных записей пользователей с удаленного компьютера осуществляется только за счет доступа к памяти удаленного компьютера. При этом предварительно нужно выбрать сетевой компьютер (рис. 18), к которому необходимо подключиться для доступа к памяти. Естественно, подобная процедура возможна только при наличии администраторских привилегий.
Рис. 18. Получение учетной базы пользователей с удаленного ПК
После того как произведен импорт учетных записей пользователей, можно приступать непосредственно к процедуре восстановления паролей. Утилита поддерживает подбор как по LM-, так и по NT-хэшу. Но, как мы уже неоднократно отмечали, если пароль имеет LM-хэш, то подбирать нужно именно его.
В утилите Proactive Password Auditor реализовано несколько типов атак для подбора паролей по их хэшам: атака по словарю, атака по маске, атака методом последовательного перебора и атака по Rainbow-таблицам.
При атаке по словарю каких-либо настроек не предусматривается. Возможно лишь одновременное подключение множества словарей.
При атаке методом последовательного перебора можно указывать набор символов, применяемых для подбора из нескольких предопределенных наборов, или задавать набор символов вручную. Кроме того, можно указывать длину пароля и ограничивать минимальную и максимальную длину.
При настройке атаки по маске можно задать максимальную длину пароля и, если точно известен символ в пароле и его позиция, указать данный символ в маске. Кроме того, при атаке по маске, как и в случае атаки методом перебора, имеется возможность указывать набор символов, используемых для подбора, из нескольких предопределенных наборов или задавать набор символов вручную.
Рис. 19. Настройка режима генерации Rainbow-таблиц
в программе Proactive Password Auditor
Как и в случае утилиты SAMinside, программа Proactive Password Auditor поддерживает атаку по Rainbow-таблицам (как для LM-, так и для NT-хэшей). Причем уникальной особенностью данной программы является генерация Rainbow-таблиц с гибкими возможностями по настройке (рис. 19 и 20).
Рис. 20. Генерация Rainbow-таблиц в программе
Proactive Password Auditor
Сравнение утилит SAMinside, LCP 5.04 и Proactive Password Auditor
В заключение отметим, что утилиты SAMinside, LCP 5.04 и Proactive Password Auditor представляют собой весьма эффективные инструменты для подбора паролей. У каждой из них есть свои преимущества, поэтому для практического применения лучше иметь все утилиты. Основные их характеристики приведены в табл. 2.
Таблица 2. Основные характеристики утилит SAMinside, LCP 5.04
и Proactive Password Auditor
Рекомендации по защите паролей
Как показывает практика, уязвимость паролей обычно обусловлена беспечностью пользователей. Операционные системы Windows NT/2000/2003/XP предоставляют в распоряжение пользователей достаточно средств для построения мощной системы безопасности — нужно только не пренебрегать этими возможностями.
Для предотвращения получения учетных записей пользователей с локального компьютера рекомендуется запретить в настройках BIOS возможность загрузки с дискеты и с других носителей, кроме жесткого диска, и защитить BIOS паролем.
Если речь идет о контроллере домена, то дополнительно рекомендуется выполнить следующие настройки:
- запретить удаленное управление реестром, остановив соответствующую службу;
- запретить использовать право отладки программ, для чего в оснастке безопасности нужно выбрать элемент Computer ConfigurationSecurity SettingsLocal PoliciesUser Right Assignment, а в свойствах политики Debug programs удалить из списка всех пользователей и все группы;
- отменить возможность применения специальных общих папок ADMIN$, C$ и т.д., предназначенных для нужд операционной системы, но также позволяющих пользователю с административными правами подключаться к ним через сеть. Для блокирования данных разделяемых ресурсов необходимо в разделе реестра HKEY_LOCAL_MACHINE SYSTEMCurrent-ControlSetServices LanmanServerParame-ters добавить параметр AutoShareWks (для версий Windows NT, 2000 Professional и XP) или AutoShareServer (для серверных версий) типа DWORD и установить его значение равным 0;
- заблокировать анонимный сетевой доступ, позволяющий получать информацию о пользователях, о политике безопасности и об общих ресурсах. С этой целью нужно добавить в раздел реестра HKEY_LOCAL_MACHINESYSTEM Current-ControlSetControlLsa параметр Restrict-Anonymous типа DWORD, установив его равным 2;
- запретить сетевой доступ нежелательных пользователей к вашему ПК. Для этого в оснастке безопасности в разделе Computer ConfigurationSecurity SettingsLocal PoliciesUser Right Assignment в свойствах политики Access this computer from the network откорректируйте список пользователей, которым разрешен сетевой доступ к компьютеру. Дополнительно в политике Deny Access to this Computer from the network можно указать список пользователей, которым запрещен удаленный доступ к данному компьютеру.
- Чтобы усложнить процесс восстановления паролей по их хэш-функциям, рекомендуется:
- запретить хранение уязвимых LM-хэшей, для чего в раздел реестра HKEY_LOCAL_MACHINESYSTEMCurrent-ControlSetControlLsa следует добавить параметр NoLMHash типа DWORD. При его значении, равном 1, LM-хэши не хранятся. Именно данный способ является наиболее эффективным средством для защиты паролей, поскольку их подбор по NT-хэшам — задача безнадежная;
- выбирать пароли с минимальной длиной в 10 символов;
- не применять для паролей исключительно цифровые символы. Целесообразно выбирать символы из возможно большего символьного набора. Как показывает практика, плохо поддаются подбору русские слова и предложения, которые набираются при латинской раскладке клавиатуры. Еще более эффективным средством является использование пароля, одна часть которого набирается при английской раскладке клавиатуры, а другая — при русской. Как правило, такие пароли подобрать невозможно.
КомпьютерПресс 3’2007
Загрузить PDF
Загрузить PDF
Мы расскажем вам, как взламывать Windows с помощью SAM-файла. Эта процедура может занять некоторое время, но она эффективна.
Шаги
-
1
Ну, прежде всего, вы должны иметь представление о том, как хранятся все пароли. Во-первых, при вводе пароля он стает зашифрованным и очень длинным, до неузнаваемости. Пароль хранится в файле под названием «SAM».
-
2
Где вы можете найти этот SAM-файл? Ну, если по простому, то он здесь: Windows/system32/config/SAM. Но, вы пока не переходите туда! Он стает заблокированным для всех учетных записей во время запуска компьютера. Также файл можно найти в реестре в разделе HKEY_LOCAL_MACHINE -> SAM.
-
3
Если файл заблокирован, то как его можно открыть? Самый простой способ, это перейти на другую операционную систему, например Linux и скопировать файл. Это легко. Вы также можете использовать программу под названием «pwdump2», которая поможет вам получить файл.
-
4
Теперь у вас есть файл, но пароль зашифрован! Мы переходим к самому интересному, взлома пароля. Существуют многочисленные программы, которые это делают, одна из лучших программ называется Cain и может быть загружена с www(dot)oxid(dot)it/cain(dot)html.
-
5
Программа выдаст вам пароль и все готово!
-
6
Еще одна уловка, которую можно использовать для ввода паролей непосредственно в SAM-файл.
-
7
Самый простой способ получить доступ к паролю является использование инструмента под названием «chntpw», чтобы изменить пароль в SAM-файле, после создания резервной копии, используя Linux.
-
8
Готово! Теперь вы знаете, как взломать пароли.
Реклама
Советы
Предупреждения
- Кстати, если вас поймают, это незаконно.
Реклама
Об этой статье
Эту страницу просматривали 47 883 раза.
Была ли эта статья полезной?
Содержание
- 1 Работа с SAM-файлом
- 2 Работа с паролями из Active Directory
- 3 Атака на пароли средствами программы
Здарова. Вот задачка интересная прилетела, нужно информацию по паролям, пользователям собрать. Задачу решил и теперь возникло желание сохранить результаты своих трудов, на будущее.
Итак, работать будем с программой Windows Password Recovery [Yandex.Disk, пароль – адрес сайта без протокола].
Работа с SAM-файлом
SAM – Security Account Manager. Файлы лежат в каталоге “WindowsSystem32config” оттуда нужно скопировать файлы SAM и SYSTEM. Просто так, на живой системе их скопировать не получится, нужно воспользоваться либо загрузкой с LiveCD, либо описанным мной способом по выдёргиванию файлов из цепких лап системы.
Итак, файлы мы свиснули. Запускаем программу и в разделе “Utils” запускаем SAM Explorer.
В появившемся окне выбираем пункт “SAM database of an external PC”, что означает, что мы будем брать внешние файлы SAM и SYSTEM, а не использовать с текущей (запущенной) системы.
Соответственно, укажем расположение файлов. Достаточно указать первый – программа увидев, что в том же каталоге лежит файл с другим именем – заботливо предложит автоматически путь к нему.
Отобразится краткая информация о пользователях из файла SAM. Здесь мы можем увидеть:
- Имена и RID пользователей;
- Входят ли они так или иначе в группу Администраторов;
- Установлен ли пароль.
Если выбрать пользователя и нажать кнопку “Далее”, то отобразится дополнительная информация, такая как время последнего входа в систему, последнего выхода, время изменения пароля, срок действия аккаунта, последний ввод неверного пароля и много чего ещё.
К слову, даты представлены в виде 64-битной структуры FILETIME, которую ещё нужно конвертировать в “человеческий вид”. Покажу 2 способа. Либо кликаем правой кнопкой мыши на HEX-строке и выбираем “Copy Data as Hex”
Затем вставляем в WinHEX, подводим курсор на первый байт последовательности и в окне интерпретатора данных смотрим тип FILETIME.
Либо там же кликаем на пункт меню “Copy Data as Date String” и в журнале работы получаем упоминание “{May 25 2020 – 21:51:44} was copied to clipboard”
Внимательный читатель скажет “Па-а-аагадите-ка. Почему время разное?”
Время в файлах в файловой системе NTFS едва ли не всегда пишется в формате UTC (смещение +00:00 GMT). А представляется в различных окнах уже в зависимости от выбранного часового пояса. WinHEX учитывает эту особенность и заботливо подставляет ваш системный часовой пояс (в настройках указывается) в качестве смещения. Скажем так, два человека, один в Хабаровске, один в Москве увидят различное время в WinHEX исследуя один и тот же файл. Поэтому надо такой факт учитывать и не “влететь”.
Кому интересно – могут почитать мою статью про временные метки в Windows (и вторая часть).
Как узнать какой часовой пояс был установлен в системе?
Фуф. Закрыли тему.
Работа с паролями из Active Directory
Теперь воспользуемся аналогичным инструментом для Active Directory (домен Windows).
Всё с точностью, только стянуть нужно будет файл NTDS.dit из “WindowsNTDS” на контроллере домена. Ну и файл SYSTEM реестра, как обычно, лежит там же, где и у рабочей станции. Файл SYSTEM вообще всегда нужен, похоже, т.к. содержит в себе ключи для расшифровки (как я понимаю).
Решил для эксперимента проверить “на себе” и нашёл забавную аномалию:
Атака на пароли средствами программы
Данная программа позволяет также запустить атаку методом перебора на учётки:
Попробуем побрутить слитый файл NTDS.dit. Укажем пути к файлам и жмём “Import”
Тут же начинается атака методом перебора по словарю с мутациями и, надо сказать, какой-то процент учёток раскололись.
Типы атак на пароли:
В программе есть богатый функционал по генерации радужных таблиц, словарей, мутаций, генератор хешей, расшифровку DPAPI (как-то мне попался в одном кейсе), LSA, кешированных учёток, хранилища Windows и т.д. Одним словом, такой “швейцарский нож” для Windows-паролей.
В данной статье речь пойдет об устойчивости паролей к взлому методами подбора по словарю и brute force («грубой силы», перебором)
Основным рубежом аутентификации сегодня является система парольной защиты, которая имеется во всех современных программных продуктах. В соответствии с установившейся практикой, перед началом работы с операционной системой пользователь обязан зарегистрироваться, сообщив ей свое имя и пароль. Имя требуется для идентификации пользователя, а пароль подтверждает правильность произведенной идентификации. Информация, введенная пользователем в диалоговом режиме, сравнивается с той, что имеется в распоряжении операционной системы. Если проверка дает положительный результат, то пользователю становятся доступны все ресурсы операционной системы, связанные с его учетной записью.
. Предположим, вам на исследование попал чужой компьютер, работающий под Windows. Вам нужно извлечь пароли данного пользователя. Как быть? Можно вначале сделать посекторную копию жесткого диска (чтобы не испортить что-то на оригинале). Теперь давайте посмотрим, что же представляет собой программное обеспечение для восстановления (взлома) парольной защиты.
Что такое парольный взломщик?
Наиболее эффективным является метод взлома парольной защиты операционной системы, при котором атаке подвергается системный файл, содержащий информацию о легальных пользователях и их паролях. Однако любая современная операционная система стремится надежно защитить пользовательские пароли, которые хранятся в этом файле, при помощи хеширования. Хеширование в криптографии — необратимый процесс, то есть, имея хеш, вычисленный на основе некоторых данных, злоумышленник не может восстановить исходные данные никаким другим способом, кроме атаки методом полного перебора. Кроме того, доступ к таким файлам, как правило, по умолчанию запрещен даже для системных администраторов, не говоря уже о рядовых пользователях операционной системы. Тем не менее в ряде случаев злоумышленнику удается путем различных ухищрений получить в свое распоряжение файл с именами пользователей и их зашифрованными паролями. И тогда на помощь приходят так называемые парольные взломщики — специализированные программы, служащие для взлома паролей операционных систем.
Как работает парольный взломщик?
Криптографические алгоритмы, применяемые для хеширования паролей пользователей в современных операционных системах, являются слишком стойкими, чтобы можно было надеяться отыскать методы обратного преобразования их хеш-функций (так называемый поиск прообраза для хеш-функции), которые окажутся более эффективными, чем тривиальный перебор возможных вариантов. Поэтому парольные взломщики иногда просто хешируют все пароли с использованием того же самого криптографического алгоритма, который применяется для их засекречивания в атакуемой операционной системе. Для Windows такие способы существуют — например Rainbow Tables (http://winprot.ru/publ/10–1-0–40). «Радужная таблица» (Rainbow Table) — специальный вариант таблиц поиска, который использует механизм уменьшения времени поиска за счет увеличения занимаемой памяти (time-memory tradeoff). Такие таблицы используются для вскрытия паролей, преобразованных при помощи необратимой хеш-функции.
Радужная таблица создается путем построения цепочек возможных паролей. Каждая цепочка начинается со случайного возможного пароля, затем подвергается действию хеш-функции и функции редукции. Данная функция преобразует результат хеш-функции в некоторый возможный пароль. Промежуточные пароли в цепочке отбрасываются, и в таблицу записывается только первый и последний элементы цепочек. Создание таблиц требует времени и памяти (вплоть до сотен гигабайтов), но они позволяют очень быстро (по сравнению с обычными методами) восстановить исходный пароль.
Для восстановления пароля данное значение хеш-функции подвергается функции редукции и ищется в таблице. Если совпадение не обнаружено, то снова применяется хеш-функция и функция редукции. Данная операция продолжается, пока не будет найдено совпадение. Когда совпадение найдено, цепочка, содержащая его, восстанавливается для нахождения отброшенного значения, которое и будет искомым паролем. В итоге получается таблица, которая может с высокой вероятностью восстановить пароль за короткое время.
Таблицы могут взламывать только ту хеш-функцию, для которой они создавались, то есть таблицы для MD5 могут взломать исключительно хеш MD5. Теория данной технологии была разработана Philippe Oechslin как быстрый вариант методики time-memory tradeoff. Впервые эта технология использовалась в программе Ophcrack для взлома хешей LanMan, применяемых в Microsoft Windows. Позже была разработана другая программа, RainbowCrack, которая может работать с большим количеством хешей, например LanMan, MD5 и SHA1.
Результаты хеширования сравниваются с тем, что записано в системном файле, где находятся хеши паролей пользователей данной системы. При этом в качестве вариантов паролей парольные взломщики используют символьные последовательности, автоматически генерируемые из некоторого набора символов. Данный способ позволяет взломать все пароли, если известно их представление в хешированном виде и они содержат только символы из данного набора.
За счет очень большого числа перебираемых комбинаций такие атаки парольной защиты могут отнимать слишком много времени. Сложность пароля = (количество символов в наборе)^ (длина), то есть пароль длиной 8 символов, состоящий из больших и маленьких букв английского алфавита и цифр от 0 до 9, имеет сложность 628 = 218340105584896 комбинации. Однако известно, что большинство пользователей операционных систем не утруждают себя выбором стойких паролей, то есть таких, которые трудно взломать. Поэтому для более эффективного подбора паролей взломщики обычно используют специальные словари, которые представляют собой заранее сформированный список слов, часто используемых на практике в качестве паролей. Большой набор словарей можно найти на сайте http://passwords.ru. К каждому слову из словаря парольный взломщик применяет одно или несколько правил, в соответствии с которыми оно видоизменяется и порождает дополнительное множество паролей, например:
- производится попеременное изменение буквенного регистра, в котором набрано слово;
- порядок следования букв в слове меняется на обратный;
- в начало и конец каждого слова приписывается цифра 1;
- некоторые буквы изменяются на близкие по начертанию цифры.
В результате, например, из слова password получается pa55w0rd. Это повышает вероятность нахождения пароля, поскольку в современных операционных системах, как правило, различаются пароли, набранные заглавными и строчными буквами, а пользователям этих систем настоятельно рекомендуется выбирать такие, в которых буквы чередуются с цифрами. Одни парольные взломщики поочередно проверяют каждое слово из специального словаря, применяя к нему определенный набор правил для генерации дополнительного множества паролей. Другие предварительно обрабатывают весь словарь при помощи этих же правил, получая новый словарь большего размера, из которого затем берут проверяемые пароли. Учитывая, что обычные словари естественных человеческих языков состоят всего из нескольких сотен тысяч слов, а скорость шифрования паролей достаточно высока, парольные взломщики, осуществляющие поиск по словарю, работают очень быстро.
Первый пароль, который вы будете получать, — пароль учетной записи пользователя. Для этого существует масса инструментов. Меня могут спросить — а зачем нам пароль пользователя? Ведь жесткий диск уже у нас, так что мы имеем доступ ко всей хранящейся там информации. Безусловно. Однако не стоит забывать, что зачастую пользователи довольно беспечны, а следовательно, есть вероятность того, что данный пароль будет применяться этим пользователем неоднократно, в том числе к почте и другим приложениям. Кроме того, стоит помнить, что пользователь мог применить EFS-шифрование, а значит, восстановить пароль пользователя гораздо эффективнее на первом шаге. Для этого вначале вспомним, где же хранятся искомые пароли.
База данных учетных записей пользователей
Одним из основных компонентов системы безопасности Windows XP/Vista/Windows 7 является диспетчер учетных записей пользователей. Он обеспечивает взаимодействие других компонентов системы безопасности, приложений и служб этих версий Windows с базой данных учетных записей пользователей Security Account Management Database (SAM). Эта база обязательно имеется на каждом компьютере с Windows. В ней хранится вся информация, используемая для аутентификации пользователей при интерактивной регистрации в системе и при удаленном доступе к ней по компьютерной сети. База данных SAM представляет собой один из разделов системного реестра Windows. Этот раздел принадлежит ветви HKEY_LOCAL_MACHINE, он называется SAM и располагается в каталогеwinnt_rootSystem32Config (winnt_root в данном случае — условное обозначение каталога с системными файлами Windows) в отдельном файле, который тоже называется SAM. Основная часть информации в базе данных SAM хранится в двоичном виде. Доступ к ней обычно осуществляется с помощью диспетчера учетных записей. Изменять записи, хранящиеся в базе данных SAM, при помощи программ, которые напрямую редактируют реестр Windows NT/2000/ХР (REGEDT или REGEDT32), не рекомендуется. По умолчанию этого сделать нельзя, так как доступ к базе данных SAM запрещен для всех без исключения категорий пользователей Windows XP/Vista/7.
Именно в учетных записях базы данных SAM находится информация о пользовательских именах и паролях, которая необходима для идентификации и аутентификации пользователей при интерактивном входе в систему. Как и в любой другой современной многопользовательской операционной системе, эта информация хранится в зашифрованном виде. В базе данных SAM каждый пароль пользователя обычно бывает представлен в виде двух 16-байтовых последовательностей, полученных разными методами (LM и NTLM).
Возможные атаки на базу данных SAM
Обычно основным объектом атаки являются административные учетные записи. Их пароли можно получить, узнав в хешированном или символьном виде пароль администратора системы, который хранится в базе данных SAM. Поэтому именно на базу данных SAM бывает направлен главный удар взломщика парольной защиты.
По умолчанию в Windows доступ к файлу winnt_rootSystem32ConfigSAM заблокирован для всех пользователей без исключения. Тем не менее с помощью программы NTBACKUP любой обладатель права резервного копирования файлов и каталогов Windows может перенести этот файл с жесткого диска на магнитную ленту. Резервную копию реестра можно также создать утилитой REGBAK из состава Windows NT Resource Kit. Кроме того, несомненный интерес для любого взломщика представляют резервная копия файла SAM (SAM.SAV) в каталоге winnt_rootSystem32Config и сжатая архивная копия SAM (файл SAM._) в каталоге winnt_rootRepair.
Также указанный файл можно получить, загрузившись с внешнего носителя. В случае наличия загрузки двух операционных систем процесс копирования файла SAM существенно упрощается. При наличии физической копии файла SAM извлечь хранящуюся в нем информацию не составляет большого труда. Загрузив файл SAM в реестр любого другого компьютера с Windows (например, с помощью команды Load Hive программы REGEDT32), можно детально изучить учетные записи пользователей, чтобы определить их значения PID и шифрованные варианты хешированных паролей. Зная PID пользователя и имея зашифрованную версию его хешированного пароля, компьютерный взломщик может попытаться расшифровать этот пароль, чтобы использовать его для получения сетевого доступа к другому компьютеру. Однако для интерактивной регистрации в системе одного лишь знания хешированного пароля недостаточно. Необходимо получить его символьное представление. Для восстановления пользовательских паролей Windows в символьном виде существуют специальные парольные взломщики. Они выполняют как прямой подбор паролей, так и поиск по словарю, а также применяют комбинированный метод взлома парольной защиты, когда в качестве словаря используется файл с заранее вычисленными хешированными паролями, соответствующими символьным последовательностям, которые часто применяются в качестве паролей пользователей операционных систем.
Для получения хешей паролей учетных записей, используемых на исследуемом компьютере можно воспользоваться программой ElcomSoft System Recovery. При этом вы загрузитесь с предлагаемого компакт-диска и, кроме всего прочего, сможете получить хеши паролей. Сами пароли при этом можно восстановить с помощью утилиты Proactive System Password Recovery (экран 1).
Экран 1. Окно Proactive System Password Recovery |
На самом деле данная программа предоставляет гораздо больше возможностей, чем обычное восстановление пароля к учетной записи пользователя (как доменного, так и локального).
В частности, мгновенному восстановлению подлежат следующие типы паролей:
- пароли для регистрации в Windows 95/98/ME (пользователь должен быть авторизован в системе);
- пароли для регистрации в Windows NT4/2000 (пользователь должен быть авторизован в системе с правами администратора);
- пароли для автоматической регистрации Windows 95/98/ME/NT4/2000/XP/2003;
- пароли .NET Passport;
- ключи шифрования и пароли для беспроводных сетей (WEP и WPA-PSK), хранимые с WZC;
- хранимые пароли пользователей Windows XP (множественные учетные данные);
- пароли на экранную заставку;
- пароли RAS и пароли доступа к интернет-провайдерам (dial-up);
- пароли на соединения VPN (Virtual Private Network);
- пароли и права доступа к разделяемым (shared) ресурсам;
- пароли, скрытые под звездочками;
- пароли, хранимые на диске сброса паролей;
- пароли к Remote Desktop Connections.
Быстрому восстановлению подлежат следующие типы паролей:
- пароли к учетным записям пользователей Windows NT/2000/XP/2003/Vista/2008/Windows 7;
- пароли на этапе загрузки (SYSKEY);
- пароли, сохраненные в Domain Cached Credentials;
- пароли WPA-PSK;
- пароли к удаленному помощнику Windows;
- пароли Windows 9x из файлов PWL.
Кроме того, с помощью данной программы можно проводить определенные манипуляции с пользовательскими настройками и файлами реестра.
- Запуск любой программы с привилегиями другого пользователя.
- Отображение хешей предыдущих паролей.
- Чтение и расшифровка хешей паролей непосредственно из файлов реестра (SAM и SYSTEM).
- Сохранение резервной копии файлов реестра и базы данных Active Directory с локального или удаленного компьютера.
- Расшифровка сценариев Windows, защищенных при помощи Script Encoder.
- Отображение списка пользователей, их групп и привилегий.
- Расшифровка и просмотр защищенного хранилища (Windows Protected Storage), в котором хранятся пароли и строки для автоматического заполнения форм для Internet Explorer, Outlook и Outlook Express.
- Просмотр записей ‘LSA Secrets’.
- Отображение ключей установки к продуктам Microsoft (Product ID и CD Key для установленных на компьютере экземпляров Windows и Microsoft Office).
- Полная поддержка Windows 7 (включая пароль HomeGroup, кэшированный пароль для регистрации и кэши предыдущих паролей, использовавшихся в системе).
- Извлечение сохраненных паролей из Apple Safari (и их использование в движке Intelligent Password Recovery).
Восстановление паролей к веб-сайтам
В случае если пользователь для получения почты задействовал браузер, нам потребуется программа Elcomsoft Internet Password Breaker компании Elcomsoft (экран 2).
Экран 2. Окно Elcomsoft Internet Password Breaker |
С помощью данной программы мы можем восстановить пароли, сохраненные для входа на различные сайты или веб-почту.
Если допускается сохранение паролей, то пароль будет сохранен (зашифрован) в реестре Windows (для более старых версий Internet Explorer) или зашифрован в специальных файлах на жестком диске (для IE7 и IE8). Так что в следующий раз, когда вы будете обращаться к той же самой странице, вход в систему будет произведен автоматически, но пароль будет скрыт под звездочками.
Для восстановления паролей достаточно выбрать — Web Passwords — IE Passwords. В итоговой таблице вы увидите адрес сайта, логин и пароль. Кроме того, пароли можно увидеть, используя пункт меню Web Passwords — IE AutoComplete. Если эта функция была включена в браузере, то вы также сможете увидеть имена пользователей и их пароли. В случае если на компьютере работали сторонние браузеры, такие как Opera, Firefox, Google Chrome, Safari, пароли оттуда также можно восстановить.
Обратите внимание, что если необходимо вернуть пароли, которые пользователь сохранил в Mozila Firefox, вы должны установить Firefox. Кроме того, эти пароли не должны быть защищены с помощью мастер-пароля; если мастер-пароль установлен, вы должны вначале удалить его в параметрах настройки Firefox (или, если мастер-пароль не известен, можете пробовать восстановить его с помощью Elcomsoft Distributed Password Recover http://www.elcomsoft.com/edpr.html).
Восстановление паролей к почте и новостям
Elcomsoft Internet Password Breaker отображает пароли почтовых ящиков, учетных записей POP3, IMAP, SMTP и NNTP. Поддерживаются все версии Microsoft Outlook, Outlook Express, Windows Mail и Windows Live Mail, включая пароли Microsoft Passport в Windows Live Mail. Для всех версий Microsoft Outlook, включая 2010, Elcomsoft Internet Password Breaker обнаруживает пароли к файлам PST (экран 3).
Экран 3. Восстановление паролей к почте |
Восстановление паролей к документам Microsoft Office
Следующей важной задачей может стать восстановление паролей к документам Microsoft Office. В этом случае необходимо воспользоваться программным обеспечением Advanced Office Password Recovery (экран 4). Атака на пароль осуществляется с помощью словаря, по маске, а также прямым перебором.
Экран 4. Атака прямым перебором |
При попытке восстановления паролей на открытие документа Office 2007 и Office 2010 стоит учесть, что в данном случае для шифрования документов применяется алгоритм AES с длиной ключа 128 разрядов, а также хеширование по алгоритму SHA-1 (пароли к Word, Excel, PowerPoint, Access). Только простые и короткие пароли могут быть обнаружены простым перебором. Кроме того, при восстановлении паролей Office 2010 процесс восстановления будет медленнее, чем при восстановлении паролей Office 2007. Для ускорения процесса восстановления паролей рекомендуется применять современные графические карты от nVidia и AMD/ATI (экран 5).
Экран 5. Восстановление пароля к документу Office 2007 с использованием видеокарты |
Однако гораздо чаще нам нужен не сам пароль к тому или иному документу, а содержимое документа. Для удаления пароля с документов Office предназначено программное обеспечение Advanced Office Password Breaker.
Восстановление доступа к зашифрованным документам Microsoft Office
Удаление парольной защиты возможно с файлов, которые сохранены в формате .doc и .xls. То есть форматы файлов Word 2007–2010 и Excel 2007–2010 не поддерживаются. Главное окно Advanced Office Password Breaker показано на экране 6.
Экран 6. Удаление пароля документа Word 2000 |
Защита документов Microsoft Word и Microsoft Excel далеко не всегда позволяет быстро найти забытый пароль. Используя атаку по словарю, прямой перебор паролей и другие методы, восстановить пароль можно, однако этот процесс может занять много времени. Вместе с тем, в случае если защита документа совместима с форматом Microsoft Office 97, существует решение, позволяющее гарантированно открыть документ в течение небольшого промежутка времени. Данный формат защиты уязвим, так как в нем используется ключ шифрования длиной всего 40 разрядов.
Перебор 40-разрядных ключей можно осуществить за заранее известный промежуток времени, зависящий от мощности процессора и количества ядер. Время нахождения ключа составляет около 5 дней для одноядерного процессора. В случае использования процессоров Core 2 Duo и Core 2 Quad время поиска ключа уменьшается пропорционально количеству ядер. Продукт Advanced Office Password Breaker Professional поддерживает до 4 процессоров или ядер, позволяя ускорить процесс перебора ключей в 4 раза. Корпоративная версия поддерживает до 32 процессоров.
Для ускорения процесса перебора ключей шифрования фирма Elcomsoft разработала технологию использования заранее вычисленных таблиц (Thunder Tables). Используя эти таблицы, вы можете найти ключ шифрования для документа Word версий 97–2000 всего за несколько минут. Если вам необходим пароль к Microsoft Excel 97–2000, используются классические радужные таблицы. Вероятность расшифровки документа за несколько минут составляет 97%.
В одной статье невозможно рассмотреть все продукты и все случаи, когда нам потребуется восстановить пароли, поэтому о других вариантах восстановления пароля я расскажу в следующей части.
Владимир Безмалый (vladb@windowslive.com) — специалист по обеспечению безопасности, MVP Consumer Security, Microsoft Security Trusted Advisоr