Как восстановить sam в windows 10

Начнем с того, что реестр это один из важнейших компонентов системы и без крайней надобности и опыта редактировать его не следует. В том случае, если после изменений начались неприятности, можно попытаться восстановить файлы, в которых «лежат» ключи. Делается это как из работающей «винды», так и в среде восстановления. Далее мы рассмотрим все возможные варианты.

Способ 1: Восстановление из резервной копии

Этот способ подразумевает наличие файла, содержащего экспортированные данные всего реестра или отдельного раздела. Если вы не озаботились его созданием перед редактированием, переходите к следующему параграфу.

Весь процесс выглядит следующим образом:

1. Открываем редактор реестра.

   Подробнее: Способы открыть Редактор реестра в Windows 10

2. Выделяем корневой раздел «Компьютер», жмем ПКМ и выбираем пункт «Экспорт».
   
3. Даем имя файлу, выбираем место его расположения и нажимаем «Сохранить».

   

То же самое можно проделать с любой папкой в редакторе, в которой вы изменяете ключи. Восстановление производится двойным кликом по созданному файлу с подтверждением намерения.

Способ 2: Замена файлов реестра

Система сама может сделать резервные копии важных файлов перед какими-либо автоматическими операциями, например, обновлениями. Хранятся они по следующему адресу:

C:WindowsSystem32configRegBack

Действующие файлы «лежат» в папке уровнем выше, то есть

C:WindowsSystem32config

Для того чтобы выполнить восстановление, необходимо скопировать бэкапы из первой директории во вторую. Не спешите радоваться, так как обычным способом этого сделать нельзя, потому как все эти документы заблокированы выполняющимися программами и системными процессами. Здесь поможет только «Командная строка», причем запущенная в среде восстановления (RE). Далее опишем два варианта: если «винда» загружается и если войти в учетную запись не представляется возможным.

Система стартует

1. Открываем меню «Пуск» и кликаем по шестеренке («Параметры»).
   
2. Идем в раздел «Обновление и безопасность».

   

3. На вкладке «Восстановление» ищем «Особые варианты загрузки» и жмем «Перезагрузить сейчас».

   

   Если «Параметры» не открываются из меню «Пуск» (такое бывает при повреждении реестра), вызвать их можно сочетанием клавиш Windows+I. Перезагрузку с нужными параметрами также можно выполнить, нажав соответствующую кнопку с зажатой клавишей SHIFT.

   

   

4. После перезагрузки идем в раздел поиска и устранения неисправностей.

   
5. Переходим к дополнительным параметрам.

   

6. Вызываем «Командную строку».

   

7. Система еще раз перезагрузится, после чего предложит выбрать учетную запись. Ищем свою (лучше ту, которая имеет права администратора).

   

8. Вводим пароль для входа и нажимаем «Продолжить».

   

9. Далее нам нужно скопировать файлы из одной директории в другую. Сначала проверяем, на диске с какой буквой находится папка «Windows». Обычно в среде восстановления системный раздел имеет букву «D». Проверить это можно командой

   dir d:
   

   Если папки нет, то пробуем другие буквы, например, «dir c:» и так далее.

10. Вводим следующую команду.

    copy d:windowssystem32configregbackdefault d:windowssystem32config

    Нажимаем ENTER. Подтверждаем копирование, введя на клавиатуре «Y» и снова нажав ENTER.

    

    Этим действием мы скопировали файл с названием «default» в папку «config». Тем же способом нужно перенести еще четыре документа

    sam
software
security
system

    Совет: чтобы каждый раз не вводить команду вручную, можно просто два раза нажать стрелку «Вверх» на клавиатуре (пока не появится нужная строка) и просто заменить название файла.

    

11. Закрываем «Командную строку», как обычное окно и выключаем компьютер. Естественно, потом включаем снова.

    

Система не стартует

Если Виндовс запустить невозможно, добраться до среды восстановления проще: при сбое загрузки она откроется автоматически. Нужно только нажать «Дополнительные параметры» на первом экране, а затем произвести действия, начиная с пункта 4 предыдущего варианта.

Бывают ситуации, когда среда RE недоступна. В этом случае придется воспользоваться установочным (загрузочным) носителем с Windows 10 на борту.

Подробнее:
Руководство по созданию загрузочной флешки с Windows 10
Настраиваем BIOS для загрузки с флешки

При запуске с носителя после выбора языка вместо установки выбираем восстановление.

Что делать дальше, вы уже знаете.

Способ 3: Восстановление системы

Если по каким-то причинам восстановить непосредственно реестр не получается, придется прибегнуть к еще одному средству – откату системы. Сделать это можно разными способами и с разными результатами. Первый вариант – воспользоваться точками восстановления, второй – привести Виндовс в исходное состояние, а третий – вернуть заводские настройки.

Подробнее:
Откат к точке восстановления в Windows 10
Восстанавливаем ОС Windows 10 к исходному состоянию
Возвращаем Windows 10 к заводскому состоянию

Заключение

Приведенные выше способы сработают только тогда, когда на ваших дисках присутствуют соответствующие файлы – резервные копии и (или) точки. Если таковых не имеется, придется переустанавливать «винду».

Подробнее: Как установить Виндовс 10 с флешки или с диска

Напоследок дадим пару советов. Всегда, перед тем, как редактировать ключи (или удалять, или создавать новые), экспортируйте копию ветки или всего системного реестра, а также создайте точку восстановления (нужно сделать и то и другое). И еще: если не уверены в своих действиях, лучше совсем не открывайте редактор.

В этой публикации, друзья, поговорим с вами о способах восстановления целостности системных файлов Windows 7, 8.1, 10 и 11 на тот случай, если эти системы не загружаются. Такое восстановление – это системная операция Windows, которая заключается в подмене системой своих повреждённых и отсутствующих файлов их целостными эталонными образцами. А повреждаться или уничтожаться системные файлы могут из-за действий вирусов, некорректной работы стороннего ПО, да даже некорректной работы самой Windows. В результате чего мы имеем тормоза, глюки и сбойно работающие или не работающие вовсе системный функционал и сторонние программы. Повреждение и уничтожение важных системных файлов Windows может привести к тому, что операционная система не сможет загрузиться. Это худший сценарий развития событий, но если в среде упавшей Windows у вас много чего нужно перенастраивать и переустанавливать, перед тем, как прибегнуть к крайнему случаю – переустановке, можно попытаться реанимировать систему методом восстановления целостности её файлов. А поможет нам в этом WinPE 10-8 Sergei Strelec.

Итак, друзья, восстановление целостности системных файлов Windows. Это системная функция, присутствующая в любой из современных версий операционной системы – Windows 7, 8.1, 10 и 11. Являет собой консольную утилиту SFC.exe и работает из-под командной строки или PowerShell. В них же работает операция консольной утилиты DISM, которая может потребоваться для восстановления самого хранилища, где берутся целостные образцы системных файлов для замены ими повреждённых или отсутствующих. К консольным утилитам мы можем получить доступ, используя элементарно командную строку в установочном процессе любой из Windows, загрузив компьютер с установочного носителя. О таком способе восстановления целостности файлов незагружающейся Windows мы писали ранее. Сейчас же, друзья, мы рассмотрим альтернативу этому способу, более удобную, ибо восстанавливать целостность файлов Windows мы будем в среде WinPE с мощным инструментарием, где, в частности, нам будут доступны юзабильные средства с графическим интерфейсом. И в качестве такого WinPE мы возьмём небезызвестный WinPE 10-8 Sergei Strelec. Качаем образ этого WinPE и записываем на флешку. И загружаем с такой флешки компьютер.

Первый способ, к которому можно прибегнуть в среде WinPE 10-8 Sergei Strelec для решения поставленной задачи – функция проверки системных файлов в составе интегрированного в этот WinPE другого WinPE – MSDaRT (Microsoft Diagnostics and Recovery Toolset), детища самой компании Microsoft, созданного для корпоративных системщиков. В меню WinPE 10-8 Sergei Strelec запускаем MSDaRT Tools.

В меню MSDaRT кликаем «Средство проверки системных файлов». Друзья, по сути, это та же консольная утилита восстановления целостности файлов Windows SFC.exe, присутствующая в штате операционной системы, но только в графической оболочке.

Жмём «Далее».

Выбираем «Сканировать и исправлять автоматически», жмём «Далее».

Ожидаем завершения проверки. Если она найдёт проблемные файлы и восстановит их, в итоге увидим отчёт с перечнем восстановленных файлов. Жмём «Далее»

И – «Готово».

Но, друзья, даже если проверка не обнаружит проблем и выдаст уведомление «Повреждённые системные файлы не обнаружены», всё равно попытайтесь загрузить Windows. Средство MSDaRT может восстановить файлы, но не указать на это. Но средство может и не решить нашу проблему — не выявить повреждённых или отсутствующих файлов или не справиться с их восстановлением. Тогда действуем иными методами.

Если MSDaRT не выявил никаких проблем, возможно, их выявит консольная утилита SFC.exe. Для её запуска нам потребуется выявить, под какой буквой у нас в среде WinPE 10-8 Sergei Strelec значится системный раздел нашей упавшей Windows. Запускаем управление дисками (Windows Disk Management) на рабочем столе WinPE.

Смотрим букву раздела Windows, в нашем случае это С.

Запускаем командную строку с помощью ярлыка на панели задач WinPE.

Вводим команду типа:

sfc /scannow /offbootdir=C: /offwindir=C:Windows

Где каждый вместо буквы C подставляет свою букву, под которой у него значится раздел с Windows в управлении дисками WinPE.

По итогу работы SFC.exe в идеале получим уведомление:

Это значит, что нецелостные системные файлы заменены их целостными образцами. Но можем получить и уведомление такого плана:

В этом случае, друзья, пересмотрите причины, из-за чего у вас Windows не загружается. Может быть, у вас слетел загрузчик, и с помощью WinPE 10-8 Sergei Strelec вы можете его восстановить, смотрим мануалы для EFI-загрузчика и для MBR-загрузчика. Может быть, у вас установилось проблемное обновление, удалить такое тоже можно с помощью WinPE 10-8 Sergei Strelec. В его меню запускаем средство восстановления Windows.

Указываем раскладку клавиатуры. Выбираем «Поиск и устранение неисправностей».

Далее выбираем «Дополнительные параметры» и «Удалить обновления».

Ещё для удаления обновлений, которые, возможно, спровоцировали неспособность Windows загружаться, можно использовать программу Dism++. Запускаем её в меню WinPE.

Кликаем вверху образ нашей Windows, в разделе «Обновления» отмечаем последние обновления, в которых потенциально может крыться проблема, и удаляем их.

Ещё по итогам работы SFC.exe можем получить уведомления:

и

В таком случае можно прибегнуть к восстановлению самого хранилища целостных образцов системных файлов или запустить SFC.exe с указанием источника получения образцов.

Первым делом можно попробовать восстановить хранилище целостных образцов системных файлов. Сделать это можно с помощью упомянутой программы Dism++. В верхушке окна программы выбираем нашу Windows. Затем идём в меню «Восстановить», здесь есть два пункта – «Проверить» и «Исправить». Первый проверяет хранилище целостных образцов системных файлов на предмет наличия повреждений. Второй исправляет его повреждения, т.е. восстанавливает хранилище.

Но, друзья, для этого у вас в среде WinPE 10-8 Sergei Strelec должен быть Интернет. Если SFC.exe не смогла восстановить целостность системных файлов, нет смысла тратить время на проверку хранилища, очевидно, что оно повреждено. И можно сразу запустить «Исправить». При успешном завершении операции мы получим уведомление, что образ, т.е. хранилище целостных образцов, успешно восстановлен.

И теперь мы по новой запускаем проверку системных файлов с помощью функции MSDaRT или SFC.exe, как описано в предыдущих разделах статьи.

Если Dism++ не сможет восстановить хранилище целостных образцов системных файлов Windows, у нас остаётся последний способ побороться за жизнеспособность нашей операционной системы. Мы скачаем в Интернете установочный ISO-образ нашей версии Windows и запустим SFC.exe с командной получения целостных образцов с этого ISO-образа в качестве источника. В меню WinPE 10-8 Sergei Strelec запускаем браузер Opera.

Качаем ISO-образ Windows 7, 8.1, 10 или Windows 11. Друзья, в случае с Windows 10 и 11 вы должны использовать образ версий самих этих операционных систем не старше той, которая установлена у вас. Версии имеется в виду Windows 10 21H2, Windows 11 21H2 и т.п. Оптимальный вариант – скачать образ актуальной версии системы с сайта Microsoft. Скачанный ISO-образ далее подключаем для отображения в проводнике WinPE. На образе вызываем контекстное меню и открываем его с помощью проводника.

Заходим на подключённый образ и смотрим, какая ему присвоена буква диска. В нашем случае это I.

Теперь запускаем командную строку и вводим команду типа:

sfc /scannow /offbootdir=I:sources /offwindir=C:Windows

Где каждый подставляет вместо I свою букву подключённого ISO-образа, а вместо C – свою букву, как у него значится упавшая Windows в среде WinPE.

И дожидаемся результата.

Вот так, друзья, можно попытаться реанимировать упавшую Windows путём восстановления целостности системных файлов. Но если, как говорится, пациент скорее мёртв, чем жив, ничего не поделаешь. Придётся переустанавливать. Благо, дело это можно произвести прямо в среде WinPE 10-8 Sergei Strelec. И с помощью того же установочного ISO-образа, который мы скачали для попытки реанимации Windows. Заходим на подключённый в проводнике установочный ISO-образ и запускаем переустановку Windows с помощью файла setup.exe.

Это будет точно такой же процесс установки Windows, как на установочном носителе. При этом ещё среда WinPE выгодна тем, что перед переустановкой Windows мы можем с помощью проводника перенести нужные файлы с раздела упавшей Windows на несистемные разделы диска. И напоследок, друзья, если будете переустанавливать операционную систему, а у вас в ней много лицензионного софта, обратите внимание на программку Recover Keys в составе WinPE. Она таблично отображает лицензионные ключи к Windows и сторонним программам и может экспортировать информацию в разные типы документов.

Утерян пароль на вход в Windows 10

Нужно проработать пошаговые действия для сброса пароля на установленную систему Windows 10 Pro amd64. Просто порой попадается, что придя на новое место работы коллектив просит сделать какую либо настройку и когда берешь ноутбук для ее выполнения сталкиваешься что никто (что очень странно) сразу же не знает пароль на вход. Я бы сказал, что это своего рода подстава. Просто он же лежит с ними в кабинете и получается без надобности и т. д.

Скачиваю образ Hiren’s.BootCD.15.2.iso на свою систему и через программу UltraISO записываю его на USB Flash носитель, затем в настройках BIOS ноутбука или стационарного ПК выставляю что первым следует загрузиться с USB, а уже потом с HDD.

Выбираю меню загрузки, как «Mini Windows XP» (Это LiveCD образ операционной системы плюс набор дополнительных программ которые нужны каждому системному администратору если он хочет быть системным администратором).

Итак система загрузилась, перехожу:

Start — Programs — и запускаю «HBCD Menu», затем щелкаю на элемент Programs и выбираю подменю «Passwords/Keys» — Windows Login — NTPWedit (Reset XP/Vista/7 User Password) следом запуститься программа, по умолчанию она выглядит так:

Здесь в этой программе следует поменять путь до файла SAM где хранятся логины и пароли установленные в системе Windows 10, а узнать какой путь правильный можно следующим образом:

Start — Run — explorer.exe — перехожу на каталог в левой части окна именуемый как «Desktop» — «My Computer» — и вижу все логические диски системы которые определил LiveCD, из списка понятно, что системный диск без загрузки с LiveCD это логический диск D: на котором и установлена операционная система:

Зная это изменяю путь до файла SAM, получается и сразу же программа выводит весь список учетных записей присутствующих в системе:

Чтобы поменять пароль на учетную запись с логином ekzorchik нужно выделить ее и нажать на сделавшуюся активной кнопку «Unlock» → «Change password», затем указываю новый пароль к примеру:

и нажимаю кнопку OK, затем сохраняю внесенные изменения в базу SAM нажатием на кнопку Save changes и Exit.

Закрываю все открытые окна, вынимаю USB носитель из ноутбука/компьютера и отправляю систему находящуюся сейчас в загрузке, как LiveCD в перезагрузку:

What do you want the computer to do? Выбираю Restart и нажимаю кнопку OK.
Когда система загрузится и остановится на этапе авторизации авторизуюсь с новыми идентификационными данными:

и я успешно авторизуюсь с новым паролем в системе. Итого все выше указанное полностью работоспособно.

Запись на USB накопитель установочный образ Windows системы, пусть это будет Windows 10 Pro x64 Rus, впрочем это не имеет какого либо значения и в момент когда компьютер/ноутбук будет грузиться с него выбрать на этапе мастера «Установка Windows»

и нажимаю «Далее» — затем на кнопку «Установить» не нажимаю, а обращаюсь свое внимание на элемент перехода с именем «Восстановление системы» щелкаю по нему левой кнопкой мыши, перехожа на «Поиск и устранение неисправностей» — «Командная строка» и передо мной окно командной строки:

Заменяю следующий файл в системе на cmd.exe:

X:Sources> cd /d d:WindowsSystem32

d:WindonwsSystem32>copy Utilman.exe Utilman_backup.exe

d:WindonwsSystem32>copy cmd.exe Utilman_backup.exe /y

Извлекаю USB носитель и отправляю систему в перезагрузку:

d:WindonwsSystem32>shutdown /r /t 3

На заметку: Исполняемый файл utilman.exe — это оснастка которую можно запустить до ввода логина и пароля в систему и что самое интересное получается, что она работает с правами системы.

Когда система загрузится, я еще пока не могу в ней авторизоваться мне нужно на этом этапе обратить свой взор на правый нижний угол и щелкнуть по иконке второй справа:

и вместо дефолтной программы utilman запуститься консоль командной строки с правами системы, а имя эти права можно делать с системой (работает как в Windows 7,10,Server2008R2/Server2012/R,Server2016 — это те с которыми я имею дело постоянно и проверял на них):

Проверяю какие у меня права в открытой консоли командной строки:

C:Windowssystem32whoami
nt authorityсистема

c:Windowssystem32>net users

c:Windowssystem32>net user ekzorchik Bb1234567

c:Windowssystem32>exit

и после авторизуюсь в системе с новыми идентификационными данными, система же успешно пропускает меня, теперь либо оставляем такой backdoor либо же грузимся к образа и заменяем Utilman_backup.exe на Utilman.exe

На заметку: Из этой заметки становится наглядно понятно почему защита от физического доступна к железу и осью на нем имеет принципиально важное значение, спасет или как-то затруднит взлом это пароль на BIOS или установка на зашифрованный раздел систему.

Итого: оба рассмотренных варианта имеют решение как задача по восстановлению доступа к Windows системе установленной как на компьютер или ноутбук, впрочем и для виртуальных систем работает все выше указанное.

На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.

Источник

How to Copy SAM and SYSTEM Registry Files from Windows 10, 8 and 7

How to dump SAM file while system is running? Need to copy SAM hive from a Windows PC you can’t log in? While Windows is running, you’re unable to copy the SAM file using Windows Explorer as it is in use by the system. In this tutorial we’ll show you how to copy the SAM and SYSTEM registry files from Windows 10 / 8 / 7, no matter whether you can log in as administrator or not.

Method 1: Copy SAM & SYSTEM Files with Admin Rights

If you can log into Windows as a user with administrative rights, you can easily dump the SAM and SYSTEM registry hives using the Command Prompt.

Just open the Command Prompt as Administrator, and then run the following commands:

Now you will find a copy of both the SAM and the SYSTEM registry files in your C drive.

Method 2: Copy SAM & SYSTEM Files without Admin Rights

If you’re locked out of Windows or lost admin privileges, a Live CD can help! After booting your computer into a Linux, Ubuntu or other Live CD, you can access all the files on the hard disk, and copy the SAM and SYSTEM hives from the WindowsSystem32Config directory.

For your convenience, we’ve added a new feature into PCUnlocker Live CD, which lets you make a backup of the Windows registry (SAM, SYSTEM, SECURITY, SOFTWARE) in just a few mouse clicks!

This feature is available in the trial version for free use.

Источник

Новая уязвимость Windows 10 и Windows 11 позволяет любому пользователю получить права администратора

Исследователь безопасности обнаружил, что пользователи с низкими привилегиями могут получать доступ к чувствительным файлам базы данных системного реестра. Реестр Windows 10 и Windows 11 выступает в роли репозитория конфигураций операционной системы и содержит хешированные пароли, пользовательские настройки, параметры конфигурации для приложений, ключи дешифрования системы и многое другое.

База данных реестра разбита на разные файлы, такие как SYSTEM, SECURITY, SAM, DEFAULT и SOFTWARE, которые располагаются в папке по пути: C:Windowssystem32config.

Поскольку эти файлы содержат конфиденциальную информацию обо всех учетных записях пользователей на устройстве и токенах безопасности, используемых функциями Windows, то их просмотр должен быть заблокирован для обычных пользователей с низкими привилегиями.

Это в особенности касается файла диспетчера учетных записей безопасности (Security Account Manager, SAM), который содержит хешированные пароли всех пользователей в системе. Данную информацию злоумышленники могут использовать для подтверждения своей личности.

Файл SAM доступен для просмотра любому пользователю

19 июля 2022 года исследователь безопасности Йонас Ликкегаард (Jonas Lykkegaard) связался с порталом BleepingComputer и сообщил о своей находке. Оказалось, что файлы реестра Windows 10 и Windows 11, связанные с диспетчером учетных записей безопасности (SAM) и всеми другими базами данных реестра, доступны для группы «Пользователи» с низкими привилегиями на устройстве.

Эта информация подтвердилась при тестировании на полностью обновленной машине под управлением Windows 10, версия 20H2.

С такими низкими разрешениями на файлы, злоумышленник с ограниченными привилегиями на устройстве может извлечь NTLM-хеш паролей всех учетных записей на устройстве и использовать эти хэши в атаках для получения повышенных привилегий.

Поскольку файлы реестра, такие как файл SAM, постоянно используются операционной системой, то при попытке доступа к файлу вы получите сообщение о нарушении прав доступа, поскольку файлы открываются и блокируются другой программой.

Однако, Ликкегаард утверждает, что получить доступ к файлам реестра можно через теневые тома Windows без нарушения прав доступа. Например, злоумышленники могут использовать следующий путь пространства имен устройства Win32 теневых копий томов для доступа к SAM-файлу любого пользователя на компьютере:

Используя эти низкие и некорректные файловые разрешения, злоумышленники смогут легко украсть NTLM-хеш пароля учетной записи с повышенными правами, чтобы получить более высокие привилегии.

Атака SeriousSAM (HiveNightmare) продемонстрирована в видео исследователя безопасности Бенджамина Делпи (Benjamin Delpy). Он является создателем программы для извлечения учетных данных Mimikatz, которая использовалась для получения повышенных привилегий.

По мнению Делпи применение данной уязвимости не ограничивается кражей NTLM-хешей и повышением привилегий, ее также можно использовать для проведения атак типа «Silver Ticket».

Неясно, по какой причина Microsoft изменила разрешения в реестре, чтобы обычные пользователи могли просматривать чувствительные файлы.

Эксперты по безопасности Уилл Дорманн (Will Dormann) и Джефф МакДжанкин (Jeff McJunkin) отметили, что Microsoft представила изменения разрешений в Windows 10, версия 1809.

Дорманн сообщил, что при чистой установке Windows 10, версия 20H2 низкие файловые разрешения не обнаружены.

Похоже, что Microsoft устранила проблему с разрешениями при выполнении чистой установки системы, но не исправила проблему при обновлении до новых версий.

В опубликованном 20 июля бюллетене безопасности Microsoft подтвердила наличие данной уязвимости «нулевого дня», получившей идентификатор CVE-2022-36934 (SeriousSAM, HiveNightmare). Компания сообщает:

Мы расследуем ситуацию и при необходимости предпримем соответствующие меры для защиты наших клиентов.

Редмонд рекомендует изменить разрешения для папки C:Windowssystem32config, чтобы снизить риск эксплуатации уязвимости.

Источник

Эффективное получение хеша паролей в Windows. Часть 1

Слегка измененное определение из Википедии:

Вообще, получение хеша паролей пользователей операционной системы, как правило, один из первых шагов, ведущий к компрометации системы в дальнейшем. Доступ к хешированным паролям дает “зеленый свет” различным атакам, к примеру: использование хеша для SMB-аутентификации в других системах с тем же паролем, анализ парольной политики и распознавание структуры пароля, взлом пароля и.т.п.

Способов получения хешированных паролей из SAM множество, и выбор конкретного способа будет зависеть от того, каким именно доступом к компьютеру жертвы вы обладаете.

Физический доступ

Вышеназванные утилиты, как правило, поставляются со многими дистрибутивами GNU/Linux. Перед получением дампа хешей убедитесь, что вы располагаете этими утилитами.

# bkhive
bkhive 1.1.1 by Objectif Securite
http://www.objectif-securite.ch
original author: ncuomo@studenti.unina.it

bkhive systemhive keyfile

# samdump2
samdump2 1.1.1 by Objectif Securite
http://www.objectif-securite.ch
original author: ncuomo@studenti.unina.it
samdump2 samhive keyfile

Пример получения хешей SAM из Windows-раздела /dev/sda1:

Если же bkhive и samdump2 у вас нет, то можно скопировать SYSTEM и SAM файлы из /mnt/sda1/Windows/System32/config себе на флешку, а затем импортировать файлы с флешки в любую утилиту, позволяющую извлечь хеши SAM: например, Cain & Abel, creddump,mimikatz и.т.п.

Обход приглашения на ввод пароля

Сброс пароля

Использование пост-эксплойтов

Есть и другие способы повышения привилегии, но их описание останется вне рамок этого поста.

Методы, основанные на унаследованных возможностях Windows

Также стоит упомянуть утилиту regback.exe из пакета Windows 2000 Resource Kit Tools. Утилита слегка упрощает процесс, так как сливаются только нужные файлы:

C:>regback.exe C:backtempSAM machine sam
C:>regback.exe C:backtempSYSTEM machine system

Если regback.exe не срабатывает, то на системах Windows XP и выше можно воспользоваться утилитами regedit.exe и reg.exe:

C:>reg.exe save HKLMSAM sam
The operation completed successfully
C:>reg.exe save HKLMSYSTEM sys
The operation completed successfully

И, наконец, еще один способ: файлы SAM и SYSTEM можно достать из каталога C:Windowsrepair. Но существует вероятность, что в каталоге содержаться устаревшие копии нужных файлов, информация о пользователях в которых неактуальна.

Метод, использующий теневое копирование томов

Для выполнения метода, вы можете воспользоваться cкриптом vssown, который дает возможность управлять теневым копированием.

Список теневых копий:

C:>cscript vssown.vbs /list
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

Как и ожидалось, сначала никаких теневых копий нет.

Проверим статус службы теневого копирования (VSS):

C:>cscript vssown.vbs /status
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

C:>cscript vssown.vbs /mode
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

[*] VSS service set to ‘Manual’ start mode.

Если тип запуска службы “Вручную”, то нам нужно установить тип запуска в первоначальное состояние (“Остановлена”).

Создадим теневую копию:

C:>cscript vssown.vbs /create
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

[*] Attempting to create a shadow copy.

Проверим, что теневая копия создалась:

C:>cscript vssown.vbs /list
Microsoft (R) Windows Script Host Version 5.8
Copyright (C) Microsoft Corporation. All rights reserved.

[*] ID:
[*] Client accessible: True
[*] Count: 1
[*] Device object: \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
[*] Differnetial: True
[*] Exposed locally: False
[*] Exposed name:
[*] Exposed remotely: False
[*] Hardware assisted: False
[*] Imported: False
[*] No auto release: True
[*] Not surfaced: False
[*] No writers: True
[*] Originating machine: LAPTOP
[*] Persistent: True
[*] Plex: False
[*] Provider ID:
[*] Service machine: LAPTOP
[*] Set ID: <018d7854-5a28-42ae-8b10-99138c37112f>
[*] State: 12
[*] Transportable: False
[*] Volume name: \?Volume<46f5ef63-8cca-11e0-88ac-806e6f6e6963>

Во время пользования Windows 10 вы можете внезапно столкнуться с ошибкой 0xc0000001 на синем экране. Ошибка также может появляться при загрузке компьютера. Сам код ошибки 0xc0000001 связан, когда устройству или программному обеспечению не удается получить доступ к памяти или нужным системным файлам для правильной работы и выполнению операций. Ошибка очень масштабная и причин её появления очень много, но есть и основные виновники этой проблемы. В большинстве случаев ошибка 0xc0000001 BSOD появляется из-за поврежденных системных файлов, памяти, SAM (Security Account Manager) или подключения нового оборудования. В этой инструкции я покажу методы, чтобы исправить код ошибки 0xc0000001 в Windows 10 на синем экране.

Как исправить ошибку 0xc0000001 в Windows 10

Что нам нужно для исправления ошибки 0xc0000001? Запустить командную строку любыми способами. Сделать это можно через безопасный режим или дополнительные параметры загрузки.

Обычно в Windows 10 когда компьютер загружается 3 раза до ошибки, то на 4 раз он автоматически загрузиться в дополнительные параметры загрузки, что нам и нужно. В параметрах можно запустить безопасный режим или командную строку. Вы можете вручную перезагружать ПК 4 раза, доходя до появления ошибки, пока не попадете в эти параметры.

Есть и та категория пользователей, которые не могут запустить «Дополнительные параметры при загрузке». В этом случае вам нужно создать установочную флешку Windows 10 и зайти через неё в эти параметры нажав «Восстановление системы».

Как только вы попали в дополнительные параметры, первым делом попробуйте «Восстановление при загрузке«. Если это не помогло, обратите внимания на картинку ниже. Видно, что имеется командная строка. Её мы и будем использовать ниже для решения проблемы. Вы должны её запустить, чтобы приступить к 1 способу.

1. Восстановление системных файлов и проверка диска

Запустите командую строку и введите команды по порядку, дожидаясь окончание процесса после каждой:

• chkdsk /f /r /x — проверка диска на ошибки.
• sfc /scannow — проверка системных файлов.

Примечание:

1. Если будут проблемы c chkdsk, то попробуйте указать точный диск на котором Windows. chkdsk C: /f
2. Если у вас с sfc будут проблемы, то попробуйте команду sfc /scannow /offbootdir=С: /offwindir=C:Windows

2. Ошибки памяти и планка RAM

Запустите командную строку и введите mdsched, чтобы запустить диагностики оперативной памяти. Следуйте инструкциям на экране. Некоторые пользователи также сообщали, что ошибка 0xc0000001 появляется после того, как поменяли планку RAM на ПК. Попробуйте переставить местами модули памяти в другие слоты.

3. Скопируйте файл SAM из папки восстановления

Security Account Manager (SAM) — Диспетчер учётных записей безопасности. Если целостность вашего файла SAM нарушена, может возникнуть код ошибки 0xc0000001. Таким образом, получение новой копии файла SAM из папки восстановления может решить эту ошибку.

Важно: Для этого нужна установочная флешка Windows 10, зайти через нее в параметры загрузки и запустить командную строку.

• copy C:WindowsRepairSam C:WindowsSystem32Config

4. Восстановление системы

Windows 10 по умолчанию имеет включенную функцию по точкам восстановления. Вы можете откатить систему назад на пару дней в рабочее состояние, когда ошибка еще не появлялась. «Поиск и устранение неисправностей» > «Дополнительные параметры» > «Восстановление системы«.

5. Сброс Windows 10 по умолчанию

Если выше способы не помогли исправить ошибку 0xc0000001 на синем экране, то можно сбросить систему Windows 10 по умолчанию. «Поиск и устранение неисправностей» > «Вернуть компьютер в исходное состояние«. У вас будет выбор сохранить или удалить личные файлы. Личные файлы подразумевается те, которые на рабочем столе и папках как документы, фото и т.п. Выберите, что для вас лучше: «Сохранить мои файлы» или «Удалить все«.

[ Telegram | Поддержать ]

В результате некорректной работы стороннего ПО или воздействия вирусов может быть поврежден реестр, что негативно сказывается на всей системе, вплоть до отказа загружаться. В данной статье будут описаны все варианты по восстановлению реестра Windows 10. Автоматическое восстановление, через командную строку и другие возможные варианты.

Как восстановить реестр Windows 10?

На данный момент существует несколько вариантов восстановления:

• Автоматическое;
• Ручное.

Автоматическое восстановление – комплекс системных утилит и служб, для удобного восстановления системы к рабочему состоянию в случае сбоя. К данным утилитам относятся: точки восстановления, WinRE, автоматический BackUp и другое.

• Возврат через точку восстановления;
• Восстановление через WinRE;
• Проверка целостности системы.

Автоматический бэкап выполняется благодаря Планировщику заданий, а если быть точнее то Registy – RegIdleBackup, которая выполняет архивацию по расписанию.

К сожалению, если архивация и выполняется автоматически, то их восстановление происходит только в ручном формате или через командную строку. Поэтому, если прошлые варианты Вам не помогли, переходим к следующему.

Восстановление реестра Windows 10 через командную строку

Резервная копия, созданные системой, хранятся в директории C:WindowsSystem32configRegBack. Даже при выключенной функции создания точек восстановления, реестр выполняет резервные копии самостоятельно, через Планировщик Заданий (см. выше).

DEFAULT, SAM, SECURITY, SOFTWARE и SYSTEM – файлы реестра Windows 10. Все они хранятся недалеко в папке System32config, поэтому в случае повреждения, будет легко найти резервные копии.

Система откажет Вам в полном доступе к реестру, если система запущена и работает. Выполнять восстановление следует через командную строку (WinRe или Установочного накопителя). Командная строка не сколько инструмент, а сколько среда, в которой позволительно изменять системные компоненты. Эти действия можно выполнить через любой LiveCD с доступом к проводнику и командной строке.

Тут без разницы, загружается система или нет, главное, что бы был доступ к Командной строке через окно WinRE.

Попасть в режим восстановления WinRE довольно просто: во время перезагрузки ПК нажать клавишу Shift или 3 раза аварийно (не дождавшись загрузки системы, принудительно) перезагрузить устройство.

Выберите Диагностика – Дополнительные параметры.

Затем, выберите Командная строка.

Выберите пользователя, введите пароль (если требуется) и выполните восстановление. Можно 2-мя способами:

• Ручная замена;
• Перенос командой в CMD.

Ручная замена. Введите в окне командной строки notepad, чтобы открыть Блокнот. В Блокноте нажмите Файл – Открыть. Как было написано ранее, все нужные нам файлы хранятся по расположению [Системный диск]: WindowsSystem32config.

DEFAULT, SAM, SECURITY, SOFTWARE и SYSTEM нужно переименовать, а именно добавить в окончание названия .bak или .old. Если файл не переименовался, откройте любую папку и вернитесь обратно, изменения онлайн не отображаются.

Например, DEFAULT.old.

Затем, как все файлы переименованы, скопируйте содержимое папки configRegBack в папку config.

Через командную строку. Для начала, необходимо убедиться, какая буква системного диска. Иногда, в WinRE, она может отличаться, от той, которая задана в системе.

Букву можно определить через команды Diskpart — list disk или как в прошлом варианте, посмотреть через Блокнот.

Затем выполните команду, где С буква диска:
xcopy C:windowssystem32configregback C:windowssystem32config

После чего, подтвердите полный перенос файлов вводом латинской буквы А.

Если командная строка из WinRe не запускается, то потребуется любой LiveCD с доступом к Проводнику или командной строке или просто Установочный носитель Виндовс.

Настройте загрузку с USB-накопителя или DVD-диска. Затем, на любом этапе выбора дальнейшей системы нажмите Shift+F10 и откроется окно Командной строки, где выполните действия указанные выше.

Как восстановить реестр Windows 10 по умолчанию?

Есть возможность восстановить реестр по умолчанию, путем переноса файлов из установочного носителя Диск X: на диск C:.

Стоить обратить внимание, что это следует выполнять в экспериментальных целях и в большинстве случаях (99%), Вы лишь столкнетесь с синим экраном и критическими ошибками.

Причина в том, что записи об оборудовании, системных файлах и т.д., создаются на этапе установки и после выгрузки «реестра по умолчанию», система, которая не видит нужных записей и веток и просто перезагружается с критической ошибкой.

Никогда не используйте Восстановление по умолчанию в целях восстановления реестра.

Другие варианты

К сожалению, для ремонта реестра Windows 10 нет хорошей программы для восстановления. До сих пор, лучшим вариантом являются стандартные действия, описанные выше.

Есть некоторые утилиты, которые могут выполнять восстановление, но только из заранее созданных бэкапов этой же программой.

Дефрагментация реестра windows 10

Ранее, в Windows XP, стандартное приложение дефрагментации диска не могла получить доступ к файлам реестра, требовались сторонние утилиты для выполнения этих действий.

Фрагментация файлов в действительности может замедлить работу компьютера, если эти файлы участвуют в запуске устройства. Но время Windows XP прошло и 10 версия намного «умнее» в этом плане.

В Windows 10, мало того, что процесс дефрагментации выполняется автоматически, так и включает в себя и системные файлы, которые были недоступны в прошлых версиях системы.

Дефрагментация – перераспределение файлов, для получения быстрого и непрерывного доступа к ним. Фрагментация файлов – разбиение файлов на небольшие фрагменты и распределение их на жестком диске, учитывая многопоточную запись на диск, фрагменты могут быть записаны с небольшими разрывами, что увеличивает время обращения к этим фрагментам.

Почему не стоит доверять другим приложениям? У стороннего ПО другой алгоритм работы, отличный от Microsoft. Также, не все приложения «дефрагментаторов реестра» действительно выполняют эти действия. Вместо распределения фрагментов на жестком диске, утилиты занимаются «оптимизацией» значений и параметров реестра, что отличается от самого понятия дефрагментация.

В целом, необходимость в данной функции отпала еще с выходом Windows 7, но часть пользователей до сих пор пользуются данными программами.

Отличного Вам дня!