ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2019
Просмотров: 12586
Скачиваний: 26
456
-0 71 17
Q
Если же в системе установлен пароль и на загрузку ПК, то дело лишь
немного усложняется. Вскрыть такую защиту тоже можно несколькими
способами. Самый простой - вообще сбросить все настройки CMOS Setup в
состояние по умолчанию. Естественно, при этом и требование ввода пароля
будет отключено (что может заметить админ). Для корректного проведения
такой операции желательно найти инструкцию к материнской плате и в
соответствии с ее указаниями переставить определенную перемычку на
материнской плате. Обычно она располагается возле края платы, рядом с
батарейкой или же рядом с процессором и маркируется "CLEAR", "CLEAR
CMOS", "CLR", "CLRPWD", "PASSWD", "PASSWORD", "PWD". Если такой
вариант по каким-либо причинам не проходит, то можно попробовать на
несколько минут (редко - часов, если имеется емкий конденсатор) вынуть
батарейку или сам чип CMOS из материнской платы - этого также
достаточно для обнуления всех настроек CMOS (желательно при этом
отсоединить и блок питания). В крайнем случае, если аккумулятор намертво
впаян в плату, допускается даже замыкание его контактов, но это, как вы
понимаете, уже менее грамотно, и гарантии сохранности оборудования вам в
этом случае никто не даст (хотя вряд ли что-то при этом сломается). Однако
в случае с ноутбуками, особенно в случае с IBM Thinkpad, обычно крайне не
рекомендуется отключать батарейку, так как это может привести к
невозможности загрузить ПК, поскольку в некоторых таких машинах
используется скрытый от пользователя пароль жесткого диска (включается
он обычно вместе с установкой пароля Supervisor), который при сбросе
питания система попросту забывает. В подобных ситуациях настройки
CMOS следует сбрасывать только в соответствии с инструкцией на ноутбук -
джампером на плате. На некоторых машинах можно обойти ввод пароля
путем нажатия некой комбинации клавиш при загрузке ПК. Например,
можно держать зажатым левый Shift (на Toshiba), Insert (некоторые версии
AMI BIOS) или же в течение загрузки несколько раз одновременно нажать
обе кнопки мыши (IBM Aptiva). Иногда помогают и такие не вполне
корректные способы, как переполнение буфера клавиатуры путем быстрого
многократного нажатия клавиши Esc при загрузке или даже загрузка ПК без
клавиатуры или мыши. В Phoenix Ambra сбросить пароль можно, если
загрузить ПК с отключенным от жесткого диска IDE- шлейфом. Кроме того,
встречаются и такие необычные способы сброса пароля CMOS, как
навешивание специальной заглушки на LPT-порт у ноутбуков Toshiba, в
которых даже полное снятие питания может не сбросить пароль, хранящийся
в энергонезависимой памяти. Для этого надо просто распаять стандартный
457
коннектор 25-пин, соединив контакты следующим образом: 1-5-10, 2-11, 3-
17, 4-12, 6-16, 7-13, 8-14, 9-15, 18-25.
Производители BIOS оставляют в своих программах специальные черные
ходы или так называемые инженерные пароли. Все бы хорошо, но
инженерные пароли относительно старых систем давным-давно всем
известны, а вот для новой материнской платы или современного брендового
ноутбука вы, скорее всего, такой уже не подберете. Таким образом,
пароль, установленный в CMOS Setup, no большому счету, конечно, не
представляет
какой-либо
серьезной
защиты
даже
от
обычных,
разбирающихся в современной технике пользователей, имеющих доступ к
компьютеру, и без параллельного использования каких-то дополнительных
ухищрений он почти бесполезен. Но в любом случае сисадмин обязан его
устанавливать (а лучше - оба пароля)!!! Потому что пара достаточно простых
приемов все же существенно повышают степень защиты. А чем больше
преград надо преодолевать при взломе системы, тем ниже вероятность его
успешного осуществления.
2.2. Кража SAM-файла
Итак, если благодаря ленивому администратору первый бастион защиты -
пароль BIOS - рухнул и мы имеем полный доступ к компьютеру из-под
альтернативных операционных систем, то можно, наконец, приступать к
взлому локальных учетных записей Windows 2000, из которых наиболее
ценными являются, конечно же, администраторские. Со времен Windows NT
4 известно, что в этой ОС для получения имен пользователей и
соответствующих им паролей достаточно скопировать файл реестра SAM-
базу данных Security Account Manager, диспетчера защиты учетных записей,
в которой и хранятся пароли, извлекаемые впоследствии с помощью
специальных программ. Файл SAM Windows NT (и одна из его резервных
копий SAM.SAV) находится в папке %SystemRoot%system32config, а еще
одну его копию можно обнаружить в папке %SystemRoot% epair (и там же
попадается упакованный файл SAM._, который может быть распакован
командой EXPAND SAM._ SAM). В Windows доступ к этому файлу (а в
грамотно настроенной системе и к его резервной копии) получить
невозможно, потому-то и требуется загрузка альтернативных ОС. Обычная
DOS-дискета и программа NTFS for DOS Pro отлично справляются с такой
задачей. Однако уязвимость SAM-файла Microsoft однажды попыталась
устранить (в Windows NT 4 SP3) и в изучаемой нами сегодня Windows 2000,
если говорить проще, файл SAM по умолчанию дополнительно шифруется с
помощью специальной утилиты SYSKEY.EXE. Поэтому, в отличие от
458
Windows NT4, в Windows 2K кража одного только файла SAM уже не даст
злоумышленнику возможности вычислить локальные пароли.
Существует
малюсенькая
программа
SAMInside
(www.insidepro.com/saminside_r.shtml), которая способна извлечь пароли из
файла SAM при условии, что в ее распоряжении имеется и второй по
значимости файл реестра подвергшегося атаке компьютера - файл SYSTEM.
Файл SAM обычно невелик и легко влезает на дискету, а вот SYSTEM может
достигать нескольких мегабайт, и "утащить" его чуть сложнее, но при
желании, наличии архиватора, привода флоппи-дисков и полудюжины
дискет все получится.
Этот способ взлома паролей очень хорош по нескольким причинам: он
предельно прост; время, которое необходимо злоумышленнику для работы
непосредственно на атакуемом ПК, невелико; процедуру взлома SAM-файла
можно проводить в любое время в любом месте на максимально мощной
машине; благодаря работе из-под DOS практически никаких следов взлома
на атакованном ПК не остается (разве что даты последнего доступа к файлам
в их атрибутах). Недостаток у этой программы один - ее демо-версия имеет
существенные
функциональные
ограничения,
которые
позволяют
восстанавливать только самые простые пароли.
Хотя полное шифрование диска, безусловно, сделает невозможным
копирование файлов реестра, никакой специальной защиты непосредственно
от кражи файлов SAM и SYSTEM (так называемой атаки на SAM-файл),
пожалуй, нет. Все, что касалось защиты паролей CMOS Setup, в равной мере
касается и SAM-файлов. Главная задача в обоих случаях - не допустить
загрузки компьютера со сменных носителей. Также администратор обязан
предотвратить несанкционированный доступ ко всем резервным копиям
файлов реестра из-под Windows, что легко делается установкой
соответствующих разрешений для папки %SystemRoot% epair и других
папок, в которых могут оказаться эти файлы при проведении регулярного
резервного копирования. О защите же самих паролей от возможности их
подбора программами, аналогичными SAMInside, мы с вами поговорим чуть
ниже.
Второй способ получения пароля администратора - использование
великолепной и очень полезной для каждого админа, заботящегося о
безопасности, программы LC+4 Отечественная программа LC+4 гораздо
предпочтительнее, поскольку абсолютно бесплатна, снабжена отличной
справкой на русском языке и у нее нет проблем с локализованными версиями
Windows. Кроме того, многочисленные настройки этой программы при
грамотном их использовании позволяют многократно ускорить процесс
подбора пароля даже в сравнении со сверхбыстрым SAMInside, a потому ее и
459
рассмотрим поподробнее.Но для начала немного теории. Windows NT / 2000 /
ХР хранят пароли в зашифрованном виде, называемом хэшами паролей (hash
- от англ, "смесь") Хэши на локальной машине получить достаточно легко, но
способ шифрования таков, что пароли не могут быть извлечены
непосредственно из хэшей. Восстановление паролей заключается в
вычислении хэшей по возможным паролям и сравнении вычисленных хэшей
с имеющимися в действительности. В Windows 2000 с активированной
функцией SYSKEY реально получить хэши учетных записей двумя
способами - внедрением DLL из реестра или Active Directory локального или
удаленного компьютера либо перехватом аутентификационных пакетов в
сети.
Попробуйте загрузить ПК и не прикасаться ни к мыши, ни к клавиатуре
порядка 10-15 минут. То есть на экране все это время должно оставаться
либо приглашение нажать клавиши Ctrl+Alt+Del, либо приглашение ввести
имя пользователя и пароль. Если хватит терпения, то вы увидите, как
запустится хранитель экрана - скринсейвер - файл %SystemRoot%system32
scrnsave.scr. Оказывается, этот скринсейвер запускается в контексте системы,
еще до регистрации какого-либо пользователя (вернее, от имени
пользователя Default), и, соответственно, у скринсейвера имеются все права
системы. Таким образом, достаточно просто подменить файл скринсейвера
на любую другую программу (хотя бы на консоль cmd.exe), и у нас будет
максимум прав. Подмену скринсейвера сразу на программу LC+4 можно
провернуть двумя способами. Например, можно просто переименовать файл
LCP4.EXE в scrnsave.scr и скопировать его в папку %SystemRoot%system32
вместе с необходимой библиотекой samdump.dll, которую в свою очередь
скопировать в подкаталог %SystemRoot%system32DATApwdump2. He
забудьте только сохранить в надежном месте исходный scrnsave.scr, чтобы
потом вернуть его на место. Теперь перегружаем ПК и выпиваем чашечку
кофе в ожидании автоматического запуска LC+4.Если же этот способ по
какой-то причине не сработает или ждать 10 минут лень, то можно
скопировать LC+4 под его родным именем, а уже в реестре прописать запуск
не scrnsave.scr, а LCP4.EXE. Это очень несложно сделать с помощью
бесплатной программы Offline NT Password & Registry Editor
(home.eunet.no/~pnordahl/ntpasswd), которая является вполне пригодным
консольным редактором реестра Windows 2000, работающим из-под мини-
"линукса", загружаемого с обычной дискеты. Работать с Offline NT Password
& Registry Editor несложно, встроенная подробная справка вызывается
стандартным символом ?, главное вникать во все вопросы, что задает
программа, и выписать на бумажку все консольные команды, которые
понадобятся при редактировании реестра из командной строки. С помощью
460
этих команд мы должны открыть куст реестра Default, отвечающий за
настройки системы в отсутствии залогинившегося пользователя, перейти к
разделу (учтем, что при вводе имен разделов реестра важен регистр букв):
Control PanelDesktop и изменить значение параметра "SCRNSAVE.ЕХЕ" =
"scrnsave.scr".
Нужно вместо scrnsave.scr указать имя программы, которую мы хотим
запустить с правами системы, в нашем случае - LCP4.EXE. Сам файл этой
программы опять же необходимо скопировать в папку %System
Root%system32, чтобы система его легко нашла, а все сопутствующие DLL-
библиотеки ее дистрибутива - в папку %System Root%system32DATA. Хотя,
чтобы быть совсем точным, желательно, чтобы количество символов в имени
дефолтного скринсейвера (а в Windows 2000 этих имен восемь) и его замены
совпадало, потому что только в этом случае гарантируется безошибочная
работа оффлайнового редактора реестра. А потому заранее все-таки
переименуйте файл LCP4.EXE в LCP40000.EXE. И уже под таким именем
копируйте его в системную папку и прописывайте в реестр. А чтобы не
ждать 10-15 минут до автоматического запуска нашего казачка, измените в
реестре еще один параметр, как раз и определяющий задержку перед
запуском хранителя экрана:HKEY_USERS.DEFAULTControl PanelDesktop
"ScreenSaveTimeOut"="600"Выставляем вместо дефолтных 600 секунд (или
900, в зависимости от версии ОС) 100 и через пару минут наблюдаем запуск
LC+4. Если этого не произошло, проверьте еще два параметра в том же
разделе:
Выставляем вместо дефолтных 600 секунд (или 900, в зависимости от версии
ОС) 100 и через пару минут наблюдаем запуск LC+4. Если этого не
произошло, проверьте еще два параметра в том же разделе:
"ScreenSaveActive"="1"
"ScreenSaverIsSecure"="0"
После того, как одним из вышеперечисленных способов мы добились запуска
LC+4 от имени системы, в меню программы выбираем команду Импорт >
Импорт с локального компьютера, и, дапм хэшей паролей, пригодный для
взлома, у нас готов! Сохраняем его в файл (Файл > Сохранить как) и
копируем на дискету. После этого, чтобы не оставлять никаких следов
нашего вторжения, заново загружаем ПК с дискеты Offline NT Password &
Registry Editor и возвращаем всем измененным параметрам реестра их
исходные значения. Не забудьте вернуть на место настоящий scrnsave.scr,
удалить с диска все файлы программы LC+4 и автоматически создающиеся
файлы дампов вида pwdxxxx.txt из папки %System Root%system32. Я бы даже
посоветовал перед тем, как приступать к взлому, перевести календарь в
CMOS Setup таким образом, чтобы он указывал на тот день, когда вас точно