Учетная запись Windows XP
В данной статье речь пойдет о взломе и защите учетной записи, а также защите вашей информации. Как и раньше, в мире есть и были люди, ищущие способов легкой наживы. И если когда-то их целью были какие-то материальные ценности, то сейчас центром внимания стала информация, способная принести легкие деньги. А в частности это счета, пароли доступа к секретным архивам, компрометирующая информация и т.д. Итак, рассмотрим пошагово самые распространенные способы взлома и варианты защиты.
Загрузка с другого носителя. Существует возможность загрузки компьютера со съемного носителя — например, это может быть компакт-диск, на котором будет установлена облегченная версия Windows. Войдя таким способом на компьютер, мы имеем возможность удаления, перемещения, копирования файлов. Первым, что необходимо сделать в защите компьютера от нежелательных гостей, — установить в настройках BIOS'а загрузку только с жесткого диска, отключив возможность загрузки с других носителей. Далее необходимо установить пароль на BIOS и ограничить доступ к системному блоку, т.к., вскрыв крышку и вытащив на 5-10 минут батарейку, можно сбросить все настройки BIOS'а, а также пароль. Для защиты системного блока можно использовать специальные замки, которые на сегодняшний день достаточно распространены. Но и пароль, установленный на BIOS'е, может не помочь. А все дело в том, что производители материнских плат оставляют так называемые черные ходы, устанавливая пароли, которые используются в сервисных центрах при ремонте оборудования. Такие универсальные пароли можно найти в интернете на сайтах производителей.
Если первая защита все-таки помогла, и компьютер загрузился с вашего жесткого диска, появляется экран приветствия со списком пользователей и требование ввести пароль на какую-либо учетную запись. Вот здесь может сработать очень простой способ. При установке ОС создается встроенная учетная запись администратора. Двойное нажатие в окне приветствия сочетаний клавиш Alt+Ctrl+Delete приводит к появлению окна с запросом выбора пользователя. Если ввести имя "Администратор" или "Administrator" (в зависимости от сборки Windows), то таким образом можно попасть на компьютер с неограниченными правами. Для предотвращения такого варианта проникновения необходимо выполнить следующие действия. Войдите в раздел управления компьютером. Выберите Локальные пользователи и группы > Пользователи. Переименуйте встроенную учетную запись администратора и установите на нее пароль. Если на вашем компьютере есть другие пользователи, но с ограниченными возможностями, они могут войти в систему с правами администратора, используя нижеописанный вариант. Загрузив компьютер, в окне приветствия ждем 10-15 минут. Примерно через это время система запустит хранителя экрана (Screensaver). Т.к. он запускается системой, то, следовательно, имеет полные права администратора. Достаточно заменить Screensaver на любую другую программу, как откроется вход в систему. Такой программой может стать, например, Total Commander. Для этого нужно скопировать все установленные файлы Total'а в C:\WINDOWS\system32. Потом запускаем редактора реестра (команда regedit в командной строке или Пуск > выполнить…), находим ветвь HKEY/USERS/DEFAULT/Control Panel/Desktop. В строковом параметре SCRNSAVE.EXE изменяем значение scrnsave.scr на Totalcmd.exe. Там же находится еще один строковый параметр — ScreenSaveTimeOut. Он отвечает за время, через которое должен запуститься хранитель экрана. Здесь изменяем значение 600 на 100, и ждать придется примерно 2 минуты. Иногда этого недостаточно. Чтобы все сработало на 100%, запускаем в редакторе реестра поиск, прописываем туда SCRNSAVE.EXE и ищем все параметры с таким названием, изменяя значения на вышеуказанные. Также не забываем изменять значение параметра ScreenSaveTimeOut. Когда же запустится Total Commander, у пользователя появляется доступ ко всем документам других учетных записей. Есть возможность изменить тип своей учетной записи, установить любые программы, изменить параметры компьютера. Самое простое — войдя в управление компьютером (Локальные пользователи и группы > Пользователи), сбросить пароль администратора или заменить его своим и после входить в систему с правами администратора.
Защититься от этого можно, запретив запуск хранителя экрана. В ветви HKEY/USERS/DEFAULT/Control Panel/Desktop установите значения параметров ScreenSaveTimeOut и ScreenSaveActive равными нулю. Но это не сильно поможет, т.к. значение можно поменять, установив нужное для запуска Screensaver'а. Чтобы этого не произошло, запретите изменение разделов реестра HKLM и DEFAULT для пользователей с ограниченными возможностями, разрешив проводить операции с реестром только системе и администратору. Проделать это можно, запустив редактора реестра, выделив нужный раздел, войдя в закладку Правка и выбрав Разрешения. В появившемся окне выберите группу пользователей и установите флажки, запрещающие для выбранной группы редактирование реестра.
Далее рассмотрим метод проникновения на компьютер с правами администратора с помощью некоторых специальных программ. Пароли учетных записей хранятся в файлах SAM и System, которые находятся в C:\WINDOWS\system32\config\ и защищены системой от копирования или изменения. Скопировать эти файлы поможет Multi Password Recovery. В возможности этой программы входит восстановление разных паролей: почтовые клиенты, ICQ, браузеры и т.д. На панели есть кнопка SAM. Нажав ее, копируем файл SAM, а вместе с ним скопируется и System в указанное вами место. Затем устанавливаем и запускаем программу Proactive Password Auditor. Первое, что необходимо сделать, — произвести чтение из памяти компьютера, отметив функцию Память локального компьютера и нажав кнопку Получить. Это действие покажет пароли любой сложности всех пользователей, входивших в свои учетные записи. Но подействует это, если не производилась перезагрузка, а делался выход из системы с предоставлением компьютера в ваше пользование. Если же нужный пароль не найден, отмечаем функцию Файл реестра (SAM и System), жмем Получить и в появившемся окне указываем расположение ранее скопированных файлов SAM и System. Если пароли несложные, они будут показаны. Если же нет, открываем закладку Атака полным перебором и выбираем набор символов, по которым будет происходить подбор. Если примерно известно, из каких символов состоит пароль, можно создать пользовательский набор. Время, затраченное на подбор пароля, будет зависеть от его сложности.
Программа Proactive System Password Recovery имеет более обширные возможности, чем Proactive Password Auditor. С ее помощью можно изменить имя и пароль любой учетной записи, а также сбросить пароль администратора. Программа сразу же показывает пароль той учетной записи, из-под которой она была запущена. Поэтому, оставляя рабочее место даже на 1-2 минуты, делайте выход из системы. Также можно просмотреть все, что спрятано за звездочками, узнать логин и пароль на подключение к сети и многое другое. Proactive System Password Recovery и Proactive Password Auditor были созданы фирмой ElcomSoft ( сайт Изначальное их предназначение заключалось в тестировании паролей на устойчивость, но ни как не во взломе. Однако никто не сможет запретить использовать их в злонамеренных целях. На данный момент существует множество программ для подбора паролей, но перечислять их не имеет смысла. Любой заинтересовавшийся с помощью интернета сможет найти описания их возможностей и загрузить себе на компьютер. Защита же от такого способа атаки существует. А заключается она в сложности пароля. Чтобы пароль получился сложным, желательно использовать кириллический и латинский алфавиты вместе, добавляя различные символы, а длина его должна быть не менее 15 (!) знаков. Такие пароли считаются надежными, а программы не могут их обработать за разумное время и требуют месяцы, а то и годы на обработку. И чем чаще вы меняете пароль, тем меньше шансов на успех у злоумышленника.
Еще один способ узнать пароль администратора — клавиатурные шпионы (keylogger). Таких программ предостаточно. Однако не все они эффективны. Одна из лучших — Invisible Keylogger Stealth. Преимущество ее заключается в том, что она записывает пароль, вводимый в экране приветствия при регистрации пользователя. Недостаток — при установке требуются права администратора. Защититься от таких программ поможет любой антивирус. Все клавиатурные шпионы определяются как "потенциально опасное ПО". Эти программы можно использовать и в целях защиты: установив такую на компьютер, администратор может следить за действиями пользователей. Ну и еще кое-что для защиты. Существуют программы для защиты жесткого диска. Одна из таких — Disk Password Protection ( сайт В ее возможности входят следующие:
1. Установка пароля на загрузку системы. До тех пор, пока не будет введен правильный пароль, системный загрузчик не может быть считан с диска, а, следовательно, система не сможет загрузиться.
2. Защита разделов. При включении защиты любого из разделов диска вводится пароль, и этот раздел становится невидимым для системы. Увидеть и проникнуть на него не поможет ни загрузка со съемного носителя, ни подключение к другому компьютеру с другой операционной системой. Не стоит рассчитывать на удаление программы, т.к. и после этого раздел остается невидимым. Увидеть его можно только в управлении жесткими дисками или с помощью программ для работы с HDD. Но и это не поможет: раздел распознается как неразмеченная область, и просмотр имеющейся в ней информации недоступен. Снять защиту можно только с помощью Disk Password Protection, зная правильный пароль.
3. Установка пароля на запуск программы. Это ограничит использование программы другими пользователями.
Есть один способ заполучить информацию с таких разделов. Для этого нужно отформатировать раздел, создав логический диск. Как известно, вся удаленная информация с помощью специальных программ может быть восстановлена даже после форматирования. Но использование такого варианта целесообразно только в крайних случаях либо при вынужденных обстоятельствах. И не факт, что все восстановится без потерь.
Что же делать, если ничего не помогло? Как заранее предотвратить утечку информации? Все пароли и документы, представляющие ценность, желательно хранить на съемных носителях — таких, как флэш-накопители или USB–HDD (внешний жесткий диск), доступ к которым имеет только их владелец. Не копируйте важные документы на встроенный жесткий диск, т.к. после удаления они могут быть восстановлены. В противном случае используйте программы для безопасного удаления. Принцип работы таких программ заключается в том, что они затирают файлы, делая их непригодными к восстановлению.
Подведем итоги. Вышеописанные действия широко известны и чаще всего используются простыми обывателями. А зная, откуда может произойти нападение, легче защищаться. Конечно же, есть специалисты, которые смогут обойти любую защиту, но их примерно один на тысячу. Будьте внимательны, следите за изменениями системы. Лишняя предосторожность вам не повредит.
P.S.: Данная статья предназначена только для тех, кому в силу каких-либо обстоятельств необходимо восстановить свои пароли и защитить личную информацию. Автор не несет ответственности за использование описанного материала в противозаконных целях.
P.P.S.: Статья является призером конкурса Binary Incest ( сайт ).
Денис Михайлов, Peeoner@tut.by
Загрузка с другого носителя. Существует возможность загрузки компьютера со съемного носителя — например, это может быть компакт-диск, на котором будет установлена облегченная версия Windows. Войдя таким способом на компьютер, мы имеем возможность удаления, перемещения, копирования файлов. Первым, что необходимо сделать в защите компьютера от нежелательных гостей, — установить в настройках BIOS'а загрузку только с жесткого диска, отключив возможность загрузки с других носителей. Далее необходимо установить пароль на BIOS и ограничить доступ к системному блоку, т.к., вскрыв крышку и вытащив на 5-10 минут батарейку, можно сбросить все настройки BIOS'а, а также пароль. Для защиты системного блока можно использовать специальные замки, которые на сегодняшний день достаточно распространены. Но и пароль, установленный на BIOS'е, может не помочь. А все дело в том, что производители материнских плат оставляют так называемые черные ходы, устанавливая пароли, которые используются в сервисных центрах при ремонте оборудования. Такие универсальные пароли можно найти в интернете на сайтах производителей.
Если первая защита все-таки помогла, и компьютер загрузился с вашего жесткого диска, появляется экран приветствия со списком пользователей и требование ввести пароль на какую-либо учетную запись. Вот здесь может сработать очень простой способ. При установке ОС создается встроенная учетная запись администратора. Двойное нажатие в окне приветствия сочетаний клавиш Alt+Ctrl+Delete приводит к появлению окна с запросом выбора пользователя. Если ввести имя "Администратор" или "Administrator" (в зависимости от сборки Windows), то таким образом можно попасть на компьютер с неограниченными правами. Для предотвращения такого варианта проникновения необходимо выполнить следующие действия. Войдите в раздел управления компьютером. Выберите Локальные пользователи и группы > Пользователи. Переименуйте встроенную учетную запись администратора и установите на нее пароль. Если на вашем компьютере есть другие пользователи, но с ограниченными возможностями, они могут войти в систему с правами администратора, используя нижеописанный вариант. Загрузив компьютер, в окне приветствия ждем 10-15 минут. Примерно через это время система запустит хранителя экрана (Screensaver). Т.к. он запускается системой, то, следовательно, имеет полные права администратора. Достаточно заменить Screensaver на любую другую программу, как откроется вход в систему. Такой программой может стать, например, Total Commander. Для этого нужно скопировать все установленные файлы Total'а в C:\WINDOWS\system32. Потом запускаем редактора реестра (команда regedit в командной строке или Пуск > выполнить…), находим ветвь HKEY/USERS/DEFAULT/Control Panel/Desktop. В строковом параметре SCRNSAVE.EXE изменяем значение scrnsave.scr на Totalcmd.exe. Там же находится еще один строковый параметр — ScreenSaveTimeOut. Он отвечает за время, через которое должен запуститься хранитель экрана. Здесь изменяем значение 600 на 100, и ждать придется примерно 2 минуты. Иногда этого недостаточно. Чтобы все сработало на 100%, запускаем в редакторе реестра поиск, прописываем туда SCRNSAVE.EXE и ищем все параметры с таким названием, изменяя значения на вышеуказанные. Также не забываем изменять значение параметра ScreenSaveTimeOut. Когда же запустится Total Commander, у пользователя появляется доступ ко всем документам других учетных записей. Есть возможность изменить тип своей учетной записи, установить любые программы, изменить параметры компьютера. Самое простое — войдя в управление компьютером (Локальные пользователи и группы > Пользователи), сбросить пароль администратора или заменить его своим и после входить в систему с правами администратора.
Защититься от этого можно, запретив запуск хранителя экрана. В ветви HKEY/USERS/DEFAULT/Control Panel/Desktop установите значения параметров ScreenSaveTimeOut и ScreenSaveActive равными нулю. Но это не сильно поможет, т.к. значение можно поменять, установив нужное для запуска Screensaver'а. Чтобы этого не произошло, запретите изменение разделов реестра HKLM и DEFAULT для пользователей с ограниченными возможностями, разрешив проводить операции с реестром только системе и администратору. Проделать это можно, запустив редактора реестра, выделив нужный раздел, войдя в закладку Правка и выбрав Разрешения. В появившемся окне выберите группу пользователей и установите флажки, запрещающие для выбранной группы редактирование реестра.
Далее рассмотрим метод проникновения на компьютер с правами администратора с помощью некоторых специальных программ. Пароли учетных записей хранятся в файлах SAM и System, которые находятся в C:\WINDOWS\system32\config\ и защищены системой от копирования или изменения. Скопировать эти файлы поможет Multi Password Recovery. В возможности этой программы входит восстановление разных паролей: почтовые клиенты, ICQ, браузеры и т.д. На панели есть кнопка SAM. Нажав ее, копируем файл SAM, а вместе с ним скопируется и System в указанное вами место. Затем устанавливаем и запускаем программу Proactive Password Auditor. Первое, что необходимо сделать, — произвести чтение из памяти компьютера, отметив функцию Память локального компьютера и нажав кнопку Получить. Это действие покажет пароли любой сложности всех пользователей, входивших в свои учетные записи. Но подействует это, если не производилась перезагрузка, а делался выход из системы с предоставлением компьютера в ваше пользование. Если же нужный пароль не найден, отмечаем функцию Файл реестра (SAM и System), жмем Получить и в появившемся окне указываем расположение ранее скопированных файлов SAM и System. Если пароли несложные, они будут показаны. Если же нет, открываем закладку Атака полным перебором и выбираем набор символов, по которым будет происходить подбор. Если примерно известно, из каких символов состоит пароль, можно создать пользовательский набор. Время, затраченное на подбор пароля, будет зависеть от его сложности.
Программа Proactive System Password Recovery имеет более обширные возможности, чем Proactive Password Auditor. С ее помощью можно изменить имя и пароль любой учетной записи, а также сбросить пароль администратора. Программа сразу же показывает пароль той учетной записи, из-под которой она была запущена. Поэтому, оставляя рабочее место даже на 1-2 минуты, делайте выход из системы. Также можно просмотреть все, что спрятано за звездочками, узнать логин и пароль на подключение к сети и многое другое. Proactive System Password Recovery и Proactive Password Auditor были созданы фирмой ElcomSoft ( сайт Изначальное их предназначение заключалось в тестировании паролей на устойчивость, но ни как не во взломе. Однако никто не сможет запретить использовать их в злонамеренных целях. На данный момент существует множество программ для подбора паролей, но перечислять их не имеет смысла. Любой заинтересовавшийся с помощью интернета сможет найти описания их возможностей и загрузить себе на компьютер. Защита же от такого способа атаки существует. А заключается она в сложности пароля. Чтобы пароль получился сложным, желательно использовать кириллический и латинский алфавиты вместе, добавляя различные символы, а длина его должна быть не менее 15 (!) знаков. Такие пароли считаются надежными, а программы не могут их обработать за разумное время и требуют месяцы, а то и годы на обработку. И чем чаще вы меняете пароль, тем меньше шансов на успех у злоумышленника.
Еще один способ узнать пароль администратора — клавиатурные шпионы (keylogger). Таких программ предостаточно. Однако не все они эффективны. Одна из лучших — Invisible Keylogger Stealth. Преимущество ее заключается в том, что она записывает пароль, вводимый в экране приветствия при регистрации пользователя. Недостаток — при установке требуются права администратора. Защититься от таких программ поможет любой антивирус. Все клавиатурные шпионы определяются как "потенциально опасное ПО". Эти программы можно использовать и в целях защиты: установив такую на компьютер, администратор может следить за действиями пользователей. Ну и еще кое-что для защиты. Существуют программы для защиты жесткого диска. Одна из таких — Disk Password Protection ( сайт В ее возможности входят следующие:
1. Установка пароля на загрузку системы. До тех пор, пока не будет введен правильный пароль, системный загрузчик не может быть считан с диска, а, следовательно, система не сможет загрузиться.
2. Защита разделов. При включении защиты любого из разделов диска вводится пароль, и этот раздел становится невидимым для системы. Увидеть и проникнуть на него не поможет ни загрузка со съемного носителя, ни подключение к другому компьютеру с другой операционной системой. Не стоит рассчитывать на удаление программы, т.к. и после этого раздел остается невидимым. Увидеть его можно только в управлении жесткими дисками или с помощью программ для работы с HDD. Но и это не поможет: раздел распознается как неразмеченная область, и просмотр имеющейся в ней информации недоступен. Снять защиту можно только с помощью Disk Password Protection, зная правильный пароль.
3. Установка пароля на запуск программы. Это ограничит использование программы другими пользователями.
Есть один способ заполучить информацию с таких разделов. Для этого нужно отформатировать раздел, создав логический диск. Как известно, вся удаленная информация с помощью специальных программ может быть восстановлена даже после форматирования. Но использование такого варианта целесообразно только в крайних случаях либо при вынужденных обстоятельствах. И не факт, что все восстановится без потерь.
Что же делать, если ничего не помогло? Как заранее предотвратить утечку информации? Все пароли и документы, представляющие ценность, желательно хранить на съемных носителях — таких, как флэш-накопители или USB–HDD (внешний жесткий диск), доступ к которым имеет только их владелец. Не копируйте важные документы на встроенный жесткий диск, т.к. после удаления они могут быть восстановлены. В противном случае используйте программы для безопасного удаления. Принцип работы таких программ заключается в том, что они затирают файлы, делая их непригодными к восстановлению.
Подведем итоги. Вышеописанные действия широко известны и чаще всего используются простыми обывателями. А зная, откуда может произойти нападение, легче защищаться. Конечно же, есть специалисты, которые смогут обойти любую защиту, но их примерно один на тысячу. Будьте внимательны, следите за изменениями системы. Лишняя предосторожность вам не повредит.
P.S.: Данная статья предназначена только для тех, кому в силу каких-либо обстоятельств необходимо восстановить свои пароли и защитить личную информацию. Автор не несет ответственности за использование описанного материала в противозаконных целях.
P.P.S.: Статья является призером конкурса Binary Incest ( сайт ).
Денис Михайлов, Peeoner@tut.by
Компьютерная газета. Статья была опубликована в номере 41 за 2007 год в рубрике безопасность
