Методи доступу до SAM-файлу й імпорт хешей

Як уже було сказано, ні прочитати SAM-файл, ні відредагувати його немає ніякої можливості – при спробі читання цього файлу Windows повідомляє про порушення спільного доступу, тому що для системи цей файл завжди відкритий і запис у нього робить тільки сама Windows. Однак, одержати як дані із цього файлу, так і доступ до нього, все-таки можна. Інформацію з нього можна витягти навіть у працюючій системі, але тільки з-під облікового запису Адміністратора. Тут є два методи одержання даних – метод програми PWDUMP (який використається в програмах PWDUMP, LC4, LC+4 й ін.) і метод з використанням планувальника завдань (використається в програмі SAMInside).

Метод PWDUMP – програма підключається до системного процесу LSASS і з його правами (і його ж методами) витягає хеші з вітки SAM реєстру, тобто фактично з SAM-файлу.

Метод планувальника – за замовчуванням в Windows 2000/XP системна утиліта Scheduler має права користувача SYSTEM, тобто повний доступ до системи. Тому, якщо призначити Планувальникові завдання зберегти певну вітку реєстру у файл, наприклад, то він у призначений час збереже її на диск. Після чого із цього файлу витягаються хеші всіх користувачів цього комп'ютера.

А що робити, якщо пароля Адміністратора немає й, відповідно, його прав теж? Тоді зловмисникові залишається наступне – якщо на комп'ютері встановлено кілька операційних систем, то завантажуючись у кожну з них (навіть в Linux) можна одержати доступ до системного диску Windows 2000/XP і скопіювати SAM-файл в інший каталог, щоб потім "у спокійній обстановці" завантажити його в потрібну програму для відновлення з нього паролів.

Більше того, існують програми, здатні змінювати інформацію прямо в SAM-файлі, міняючи й додаючи користувачів, а також їхні паролі. Правда, для цього також необхідно завантажуватися в іншу ОС і мати повний доступ до системного диску Windows 2000/XP. Навіть якщо системний диск Windows має файлову систему NTFS, то все одно можна одержати до нього доступ, використовуючи завантажувальну дискету, створену в програмі NTFSDos Pro. Потім, після завантаження з неї, примонтувати потрібний NTFS-розділ і скопіювати з нього потрібні файли. Якщо ж ви адмініструєте сервер мережі на основі Windows 2000/XP, то враховуйте, що крадіжка вашого SAM-файлу може привести до того, що в руках зловмисника виявляться не тільки ваш пароль, але й паролі всіх користувачів мережі (тобто їхні паролі на вхід в Windows), тому що всі ці користувачі мають свої облікові записи на сервері.

Як описувалося вище, у сучасних NT-системах застосовується додаткове шифрування хешів алгоритмом syskey. Донедавна хеші з SAM-файлу, скопійованого із цих ОС, розшифровці не піддавалися, тому що цей алгоритм досить складний, ніде не публікувався й практично не аналізувався. Але тепер можна витягати хеші, навіть із зашифрованих цим алгоритмом SAM-файлів, використовуючи програму SAMInside. Правда, для декодування хешів цій програмі необхідний ще й файл SYSTEM, розташований там, де й SAM, тому що в ньому зберігаються деякі ключі реєстру. необхідні для дешифрування хешів алгоритмом syskey. Цей файл також відкритий тільки для системи, але, як ми з'ясували вище, якщо можна одержати доступ до SAM-файлу, то й файл SYSTEM копіюється тими ж способами.

З вищесказаного випливають наступні рекомендації:

– на вашому комп'ютері не повинно бути встановлено ніяких інших систем (Windows 98/ME, Linux та ін.), крім тієї ОС, що ви використовуєте в роботі (Windows 2000 або Windows XP);

– системний диск обов'язково повинен мати файлову систему NTFS;

– потрібно заборонити завантаження з будь-яких пристроїв, крім системного диску;

– на мережних серверах максимально знизити кількість перезавантажень комп'ютера й позбавити права на перезавантаження всіх груп користувачів, крім облікового запису Адміністратора.

<== попередня сторінка	\|	наступна сторінка ==>
Зберігання паролів в Windows 2000/XP	\|	Відновлення паролів користувачів

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.003 сек.