Windows Administrator salasana

"Hash-merkkijonot tallentuvat työasemassa järjestelmän config-hakemiston sam- ja system-tiedostoihin. Haittaohjelmat osaavat lukea ne koneestasi verkonkin kautta."

Kun tietyillä ohjelmilla saa Boot-CD:llä poistettua Windowsin Administrator-salasanan, niin saako vanhan salasanan palautettua puukottamalla sam- ja system-tiedostoja, ja palauttamalla niihin NTHASH-tunnisteet alkuperäisestä salasanasta?

 

Käsittääkseni tiivisteestä ei saa palautettua lähdettä takaisin ellei se ole jokin tunnettu ts. sanakirjasana tms. Esim. minun järjestelmänvalvojan salasanaani ei saisi takaisin koska se ei sisällä mitään yleistä tavallista sanaa, joten sen tiivistettä ei ole tiedossa yleisesti.

Sitä paitsi, jos salasana kerran on jo vaihdettu, sen tiiviste siellä rekisterissä käsittääkseni on (jos on, en olekaan perehtynyt tähän asiaan, pitäisi kunhan aikaa ilmaantuisi jostain maagisesti...)

 

Ei tarvita salasanan tuhoojaa. On ohjelmia jotka lukee salasnan kovosta (based on rainbow tables)
Mihin sä tarvit vanhan salasanan haistelua? Jos tiedät nykyisen niin vaihdat.
Vai onko tarkoitus haistella entisen omstajan passu ja yrittää sillä hänen nykyiseen koneeseen?

 

Ei vaan, jos nyt otan haltuuni koneen Administrator-tilin resetoimalla salasanan, niin voinko ottaa sen vanhan salasanan NTLM HASH:n jostain kirjautumistiedostosta (SAM ym.) talteen ja palauttaa sen takaisin myöhemmin, jolloin koneelle pääsee kirjautumaan taas sillä vanhalla salasanalla?

Eikös WINDOWS/System32/config kansion SAM-tiedostossa olevasta NTLM HASH:ista juuri katsota, kun salasanalla pyrkii sisään? Kun palauttaa siis alkuperäisen NTLM HASH:in takaisin SAM:iin, niin oikea salasana vastaa sitä(jota minun ei tarvitse tietää) ja koneelle pääsee taas sisään sillä. Eikö? Tarkistaako Windows jostain muualtakin tuon NTLM HASH:in kuin SAM:ista?

Rainbow tablesit auttaa vain kohtuu heikkoon salasanaan. Kun käytetään kaikkia mahdollisia NTLM HASH:n sallimia merkkejä ja salasana on +15 merkkiä pitkä, niin sateenkaaritaulukoilla ei sisään pääse, ainakaan sellaisilla taulukoilla joita tavis saa netistä ladattua (max. luokkaa 100 GB). Tietenkin jollain NSA:lla koneet raksuttaa yötä päivää 24/7 uusia hasheja salasanoista kirjaten, mutta meillä taviksilla suurimpien rainbow-talukoiden läpikäyty merkkiavaruus on kohtuu pieni. Kuka nyt käyttää alle 15 merkin salasanaa, varsinkaan XP-koneissa?

 

Hash-koodattu salasanatiedosto löytyy hakemistosta \winnt\system32\config nimellä SAM. NT lukittaa kyseisen tiedoston siten, että sitä ei voi suoraan lukea kun käyttöjärjestelmä on toiminnassa. Voit lukea tai muuttaa sitä erilaisilla Boottilevyillä, joihin voi ladata halutut työkalut. Kopio SAM-tiedostosta löytyy myös korjauslevykkeeltä (ERD) tai varmuuskopionauhalta (mikäli tällaisia on tehty). Niiltä sen voi lukea suoraan. Myöskin toisesta käyttöjärjestelmästä (DOS, Linux) voi lukea NT:n SAM-tiedoston. Tosin DOS ei osaa suoraan lukea NTFS-tiedostojärjestelmää, mutta tarkoitukseen löytyy apuohjelma NTFSDOS osoitteesta www.sysinternals.com. NT-käynnistyslevykkeillä pääsee myös suoraan lukemaan NTFS-osioita. SAM-tiedoston voi editoida siten että lisää siihen takaisin alkuperäisen talteen otetun Hash-koodin, tai palauttaa varmuuskopioidun alkuperäisen SAM-tiedoston. Järjestelmään pääsee taas kirjautumaan vanhalla Administrator-salasanalla. Suurempi työ on poistaa kaikki salasanan resetoinnin jälkeen syntyneet merkinnät järjestelmästä, tosin tämäkin onnistuu pienellä vaivalla, ja tähän valmiiksi tehdyillä työkaluilla helposti.

 

Haiskahtaa siltä että sulla ei ole tohon koneeseen annettu Adminoikeuksia. Haluat kuitenki sorkkia jotain ja panna takaisin se entisen passun adminille. Ettei sadmin huomaa mitä koneelle on tehty.

Jos on sun oma kone, tai kaverin kone johon on täydet luvat, mutta passu unohtunut. Nollaat sen passun ja syötät uuden, vaikka kuin turvallisen ja pitkän. Koska luvallisessa koneessa sulla ei ole tarvetta palauttaa passua joka joskus oli käytössä (ja jonka nyt oot unohtanut)

 

Todellakin haiskahtaa koko touhu. Kannattaa kenties harkita muutamaan kertaan ennen kuin ryhtyy hommiin. Tosin emmehän voi tietää mistä on kyse.

Btw. Tässä meikäläisen admin tilin salasanan md4 tiiviste: 28a12dc52cc14cae3361b39bf7972cac
Ei löytyne rainboweista Jos joku saa selville alkup. salasanan, niin tarjoan vaikka kahvit Mikään mahdoton tehtävähän tuo ei käsittääkseni md4:stä ole (viisaammat korjannevat).