Вызывает невольную улыбку, когда средства взлома прикрываются тем, что они предназначены в помощь забывчивым пользователям, которые хотят вспомнить свой пароль. Мы же не станем лицемерить и поговорим о тех, кто "забыл" чужой пароль.

Самый лакомый кусочек для взломщика - это база Security Account Manager (SAM), в которой хранятся пароли всех пользователей системы. Чтобы злоумышленникам жизнь малиной не казалась, разработчики Windows хранят пароли не в открытом виде, а в захэшированном. Чтобы восстановить пароль из хэша, требуется вычисление хэшей по всем возможным паролям и сравнение их с уже имеющимся.

Существуют несколько способов для получения хэшей паролей: из файла SAM или его резервной копии, непосредственно из реестра операционной системы локального или удаленного компьютера. Файл SAM хранится в директории windows\system32\config и в реестре по пути HKEY_LOCAL_MACHINE\SAM. Резервная копия SAM, созданная при инсталляции операционной системы, находится в windows\repair. Чтобы утащить SAM с локальной машины, потребуется либо кратковременный доступ с правами администратора, либо загрузка со сменного носителя.

Затрагивая тему взлома SAM, нельзя не упомянуть об утилите Syskey, которая автоматически запускается при работе в Windows XP/2000 и дополнительно шифрует хэши паролей. Использование Syskey делает подбор паролей практически бесполезным, единственная возможность добиться успеха в этом деле - сделать дамп базы SAM, зайдя в систему с правами администратора.

Файл SAM, который находится в каталоге windows\system32\config, скопировать нельзя, поскольку он открыт системой и доступ к нему запрещен. А вот сделать его дамп программой pwdump2 можно. Скачать бесплатную утилиту можно с сайта www.atstake.com/research/lc/download.html (в zip занимает 46 Кб). Чтобы создать дамп SAM, потребуется запустить программку и указать в качестве параметра выходной файл, в который будет записываться информация (назовем его незатейливым именем dump.txt). Далее нам потребуется программа, которая способна подбирать пароли на основе дампа базы SAM. Для этих целей выберем русскоязычную бесплатную утилиту с характерным хакерским названием LC+4 - скачать можно отсюда: lcp.da.ru (в rar занимает 2,2 Мб). Выполнив импорт файла dump.txt, в этой программе можно будет осуществлять взлом, используя: гибридную атаку, атаку по словарю, атаку последовательным перебором. За описанием особенностей каждой из атак обращайтесь в справку LC+4, она тоже на русском.

Мы же остановимся на следующем: в базе SAM используются NT-хэш и LM-хэш. Последний нужен для поддержания совместимости (при работе в Сети) с престарелыми операционными системами типа Windows 9x/3.11 и является более уязвимым, чем NT-хэш. Причина в том, что при генерировании LM-хэша все буквы переводятся в верхний регистр и шифруются блоками по семь символов. Таким образом, первое - при подборе пароля регистр не имеет значения, а это существенно облегчает задачу; второе - подбор пароля из 14 символов фактически сводится к подбору двух 7-символьных паролей, что тоже является слабостью. Поскольку существует такая ситуация, то специализированные программы всегда предпочитают расправляться с более слабым LM-хэшем, оставляя NT-хэш нетронутым.

Указав необходимые настройки в LC+4 и выбрав (создав собственный) словарь, можно приступать к взлому или, как вежливо назвал это создатель программы, аудиту.

Если же с правами администратора совсем туго, и получить их даже на короткое время не представляется возможным, придется вспомнить о существовании резервной копии базы SAM в каталоге windows\repair. Как уже говорилось, она создается при установке системы, а поскольку при установке требуется ввести пароль администратора, то есть вероятность, что резервная копия SAM содержит интересующие нас сведения. Правда, администратор мог поменять пароль с тех пор или закрыть доступ к этой папке - это значит, что либо ему везет, либо он на самом деле толковый специалист. Но мы, как и все начинающие взломщики, будем уповать на тупость админа. В программе LC+4 есть возможность импорта файла SAM, после чего можно осуществлять подбор. К сожалению, этот метод хорош для операционных систем без включенной функции Syskey (Windows NT4 SP2 и ниже), в случае XP/2000 данный способ неэффективен.

Но не отчаивайтесь. Есть программа SAMInside, официальным сайтом которой является www.insidepro.com, где бесплатно можно скачать только demo-версию программы (подбирает пароли, набранные латиницей в верхнем регистре). Однако из достоверных источников известно, что в интернете доступна для скачивания и полная версия SAMInside, нужно только поискать. Заинтригованный читатель наверняка задастся вопросом - чем же замечательна эта софтина? Тем, что позволяет расшифровать SAM, даже защищенный Syskey, используя для этого файлы sam и system из папки windows\system32\config. В сумме они занимают где-то 3 Мб, так что файлы вполне можно утащить, загрузившись под другой операционной системой или с компакт-диска. Но CD должен быть не простой, а с программкой NTFSDOS, которая, как понятно из названия, позволяет из-под DOS обращаться к дискам с NTFS. Если же ваш админ совсем лопух, и на системном диске стоит FAT, то вполне достаточно DOS`а. В случае с NTFSDOS придется снова поискать в интернете бесплатный вариант, поскольку скачанная с официального сайта (www.sysinternals.com/ntw2k/ freeware/NTFSDOS.shtml) программа ограничена в возможностях работы с файлами на диске.

Если препятствовать загрузке с дискеты будет пароль в BIOS, то его можно успешно сбросить на несколько минут (время зависит от емкости конденсаторов), достав батарейку из материнской платы. Результатом станет сброс всех настроек BIOS на установленные по умолчанию. Вот, собственно, и все. Будем надеяться, знакомство даже со столь примитивными и простыми в применении методами взлома заставит компьютерщиков относиться к администрированию системы, как говорится, со всей строгостью закона.

Дмитрий БАРДИЯН,
localgroup@tut.by

Особенности работы pwdump

Метод pwdump2 использует для создания дампа паролей способ, называемый внедрением DLL. Его суть такова: один процесс (pwdump2.exe) вынуждает другой процесс (lsass.exe), используя его идентификатор процесса, загружать DLL (samdump.dll) и выполнять некоторый код из DLL в адресном пространстве другого процесса (lsass.exe). Загрузив samdump.dll в LSASS (Local Security Authority Subsystem), программа использует внутренний API Windows при обращении к хэшам паролей. Это означает, что она может получить хэши без дешифрования. Просто и со вкусом.

Метод, использующийся в программе pwdump2, был доработан для получения хэшей паролей не только с локальной, но и с удаленной машины в программе pwdump3/3e. В этом случае на удаленный компьютер копируются исполняемый файл службы и файл DLL. После копирования файлов на удаленном компьютере создается и запускается новая служба, выполняющая те же действия, что и программа pwdump2 на локальном компьютере. Для использования данного метода требуется обладать правами администратора на удаленной машине.

Чтобы не возникало проблем с именами пользователей, содержащими русские буквы, лучше использовать компоненты к pwdump2/3/3е, поставляемые вместе с LC+4 (каталог data в директории программы).