.

Elcomsoft System Recovery

Продукт Elcomsoft System Recovery (ESR) можно загрузить в виде файла iso, который должен быть записан на компакт-диск или DVD-диск. Он представляет собой загрузочный диск с Windows PE. Задачи, решаемые с помощью ESR, включают в себя восстановление или сброс паролей пользователей и администраторов. Напомню, что восстановление пароля может обеспечить автоматический доступ к файлам, зашифрованным с помощью EFS. кроме того, возможно разблокирование и включение отключенных учетных записей пользователей и администраторов, присвоение административных полномочий учетной записи любого пользователя, сброс или отключение срока действия пароля. Продукт поддерживает NTFS и имеет графический интерфейс. Для работы подходят следующие операционные системы: Windows NT 4.0, Windows 2000, Windows XP, Windows Vista, Windows 7/8/8.1, Windows Server 2003, Windows Server 2008. Поддерживаются локализованные версии Windows. Продукт обнаруживает все установки Windows в системе и позволяет сохранить хеши паролей для дальнейшего исследования.

Если у вас на исследуемом компьютере нет DVD-привода (а такое на ноутбуках встречается все чаще), придется создать загружаемый USB-диск. Для создания загрузочного USB-диска вам потребуется каким-либо образом смонтировать iso-файл и запустить файл EsrBoot, содержащийся на диске. Появится диалоговое окно со списком доступных USB-дисков, и в результате нажатия кнопки Format будет создан загрузочный диск с ESR. Как видите, создание загружаемого USB-диска трудности не представляет.

Сразу же после запуска компьютера с созданного ранее загрузочного диска ESR вам будет предложено принять лицензионное соглашение и выбрать язык интерфейса. Если в вашем компьютере используются нестандартные интерфейсы жесткого диска (SerialATA, SCSI, RAID или SAS), нужно загрузить драйвер. Для этого необходимо нажать кнопку «Загрузить драйвер» в соответствующем окне.

Режимы работы программы предполагают выбор источника учетных записей. Это либо работа с локальными учетными записями (в базе SAM), либо работа с учетными записями Active Directory (из ntds.dit). Предусмотрены следующие режимы работы:

  • изменение паролей и свойств учетных записей;
  • дамп хэшей для дальнейшей расшифровки;
  • восстановление реестра или AD из сохраненной копии;
  • редактор базы SAM;
  • сохранение реестра или AD в архив.

Учтите, что для того чтобы работать с AD, вы должны использовать ESR на сервере (контроллере домена), работающем под управлением серверной версии Windows 2000/2003/2008.

Если вы изменили некоторые свойства учетной записи или пароль и хотели отменить изменения, выберите режим «Восстановление реестра или AD из сохраненной копии».

После выбора источника учетных записей и режима работы следует установить режим настройки свойств и паролей учетных записей при восстановлении (автоматический или ручной). Если при этом вы установите флажок «Проверять короткие и простые пароли» (см. экран 1), то ESR попытается восстановить пароли, используя встроенный словарь и атаку перебором. Ниже приводятся примеры паролей, которые могут быть восстановлены.

 

Свойства и пароли учетных записей
Экран 1. Свойства и пароли учетных записей
  • Очевидные комбинации (пароль совпадает с именем для входа в систему).
  • Сохраненные пароли коммутируемых соединений.
  • Пароли LM:

— 4 символа (прописные буквы, цифры, 16 символов);

— пароли, содержащиеся в словаре;

— пароли, содержащиеся в словаре с одной цифрой в конце.

  • Пароли NTLM:

— длина до 4 символов (строчные буквы, цифры, 16 символов);

— длина до 4 символов (строчные, прописные буквы);

— длина до 5 (строчных) букв;

— длина до 5 (больших) букв;

— длина до 7 цифр;

— длина 3 случайных символа (все символы);

— пароли из словаря;

— пароли из повторяющихся комбинаций (00000, aaa и т.д.);

— легко угадываемые клавиатурные комбинации (например, qwerty).

Затем программа создает несколько различных «мутаций» для паролей, которые были найдены на предыдущих шагах, и пытается применить их ко всем учетным записям.

При работе с локальными учетными записями вы можете либо просто удалить пароль выбранной ученой записи, либо сменить его. Однако учтите, что если есть файлы, зашифрованные с помощью EFS, то доступ к ним вы не получите. Для этого вам необходимо вернуться назад и выбрать вариант работы «Дамп хэша для последующей расшифровки».

Редактор базы SAM при работе с базой локальных учетных записей (SAM) после выбора нужного каталога с операционной системой позволяет получить список всех локальных учетных записей. Учетные записи с правами администратора будут выделены зеленым цветом, заблокированные или отключенные – красным. Вы можете включить отображение хэшей паролей, чтобы видеть соответствующие хэши для всех учетных записей, имеющих непустые пароли. На экране 2 показано окно программы ESR, в котором вы можете сбросить/изменить пароль и следующие свойства учетной записи:

  • учетная запись администратора;
  • пароль никогда не истекает;
  • срок действия пароля истек;
  • учетная запись отключена;
  • учетная запись деактивирована.

 

Окно программы ESR
Экран 2. Окно программы ESR

После того как вы выполните необходимые изменения и нажмете «Применить», вам будет предложено создать резервную копию базы данных SAM. Не рекомендуется сбрасывать пароль — вместо этого выберите новый (сложный) пароль из соображений безопасности. Это связано с тем, что в локальной политике может быть запрещен вход с пустым паролем. В результате вы его сбросите, но войти не сможете.

Offline NT Password & Registry Editor

Для работы с этой программой нужно загрузить образ компакт-диска по адресу pogostick.net/~pnh/ntpasswd/. После этого записываем образ на диск и корректно перезагружаемся — это обязательно, так как в противном случае мы можем не получить доступа к системному разделу. Загружаемся с записанного компакт-диска и на первом экране нажимаем Enter.

Далее в окне командной строки нам предстоит определить, что мы хотим сделать (экран 3), выбрав нужный пункт и нажав соответствующую цифру:

  1. Clear (blank) user password — очистить пароль, сделать его пустым.
  2. Unlock and enable user account — разблокировать учетную запись.
  3. Promote user — повышает права выбранного пользователя до уровня администратора.
  4. Add user to a group – добавить пользователя в группу.
  5. Remove user from a group — удалить пользователя из группы.
  6. Для выхода следует нажать Q и снова Enter.

 

Удаление пароля в Offline NT Password & Registry Editor
Экран 3. Удаление пароля в Offline NT Password & Registry Editor

На завершающем этапе появляется запрос на сохранение изменений. Достаточно нажать Y и Enter. Затем нас спрашивают, хотим ли мы редактировать что-то еще. Если нет – нажимаем N и Enter. Учтите, что таким образом вы можете всего лишь удалить пароль. Однако если в локальной групповой политике запрещена регистрация с пустым паролем, то зарегистрироваться в системе вам не удастся.

Переустановка пароля в Windows 7/8 с помощью диска восстановления

Вместе с тем хотелось бы отметить, что сменить пароль в Windows 7/8 можно с помощью стандартного диска восстановления от Microsoft. Диск восстановления проще всего получить при использовании образа установочного диска операционной системы. Далее воспользуйтесь утилитой Microsoft Windows 7 USB/DVD download tool, доступной по адресу: www.microsoftstore.com/store/msstore/html/pbPage.Help_Win7_usbdvd_dwnTool. После загрузки с созданного диска выберите пункт «Восстановление системы». После того, как система будет найдена, нажмите кнопку «Далее» и в открывшемся окне (экран 4) выберите пункт «Командная строка». В окне командной строки наберите следующие команды:

Copy d:windowssystem32sethc.exe d:
Copy d:windowssystem32cmd.exe d:windowssystem32sethc.exe

Где d: — имя вашего раздела жесткого диска, на котором находится папка Windows.

 

Переустановка пароля с?помощью диска восстановления
Экран 4. Переустановка пароля с?помощью диска восстановления

Учтите, что если вы будете проводить данную операцию, как и я, на компьютере с Windows 7 Ultimate или Windows 7 Enterprise с заранее подготовленным к шифрованию разделом, то ваш диск тоже будет обозначаться буквой D:.

После этого перезагрузите компьютер, а когда в окне потребуется ввести пароль пользователя, просто нажмите клавишу Shift пять раз. Откроется окно командной строки, ведь вы заменили утилиту, отвечающую за «залипание» клавиш, файлом, вызывающим командную строку. В открывшемся окне командной строки введите:

Net user vlad anypassword,

где vlad — имя пользователя, которому вы хотите поменять пароль, anypassword – новый пароль данного пользователя.

Далее введите

Copy d:sethc.exe d:windowssystem32sethc.exe

Перезагрузите компьютер, воспользовавшись диском восстановления, и снова выберите командную строку, чтобы вернуть сделанные ранее изменения (кроме пароля).

Снова перезагрузите компьютер и зарегистрируйтесь с помощью учетной записи, для которой вы меняли пароль, воспользовавшись новым паролем.

Смена пароля пользователя в Windows 8 с помощью диска восстановления системы

Если на вашем компьютере установлена операционная система Windows 8, действия будут аналогичные. Вы должны создать диск восстановления. Для этого нажмите комбинацию клавиш Alt+X для вызова панели управления, а затем выберите «Восстановление Windows» – «Создание диска восстановления» или же воспользуйтесь установочным диском Windows 8. Далее нужно загрузиться с полученного диска восстановления и выбрать параметр «Восстановление системы» (экран 5).

 

Восстановление Windows 8
Экран 5. Восстановление Windows 8

Далее в открывшемся окне следует выбрать пункт «Диагностика», а в следующем окне «Дополнительные параметры» выбрать пункт «Командная строка».

Учтите, что по умолчанию ваш диск с операционной системой называется D:, так как С: — служебный диск емкостью 350 Мбайт, предназначенный для задач шифрования. Для смены пароля пользователя необходимо ввести следующие команды в окне командной строки:

D:
Cd windows
Cd system32
Copy cmd.exe cmd.exe.original
Copy Utilman.exe Utilman.exe.original
Del Utilman.exe
Ren cmd.exe Utilman.exe
Shutdown –r –t 00

В открывшемся окне (экран 6) щелкните мышью на указанном красной стрелкой значке. Загрузится окно командной строки. В открывшемся окне введите следующую команду:

Net user vlad *

 

Окно ввода пароля в Windows 8
Экран 6. Окно ввода пароля в Windows 8

После этого введите пароль и повторите его. Перезагрузите компьютер с помощью диска восстановления, перейдите, как указано выше, в окно командной строки и введите следующие команды:

D:
Cd windows
Cd system32
Del Utilman.exe
Ren Utilman.exe.original Utilman.exe
Ren cmd.exe.original cmd.exe
Shutdown –r –t 00

Таким образом вы сможете сменить (удалить) пароль. Однако после этого файлы, зашифрованные с помощью EFS, читаться у вас не будут.