Дамп хэшей

Второй способ получения пароля администратора — использование великолепной и очень полезной для каждого заботящегося о безопасности админа программы LC+4 (старое название L0phtCrack+, http://lcp.nm.ru/) или её зарубежного аналога — LC4 (старое название — L0phtCrack http://www.atstake.com/research/lc/). Отечественная программа LC+4 гораздо предпочтительнее, поскольку абсолютно бесплатна, снабжена отличной справкой на русском языке, и у неё нет проблем с локализованными версиями Windows. Кроме того, многочисленные настройки этой программы при грамотном их использовании позволяют многократно ускорить процесс подбора пароля даже в сравнении со сверхбыстрым SAMInside, а потому её и рассмотрим поподробнее.

Но для начала немного теории. Windows NT/2000/XP хранят пароли в зашифрованном виде, называемом хэшами паролей (hash — смесь, мешанина). Хэши на локальной машине получить достаточно легко, но способ шифрования таков, что пароли не могут быть извлечены непосредственно из хэшей. Восстановление паролей заключается в вычислении хэшей по возможным паролям и сравнении вычисленных хэшей с имеющимися в действительности. В Windows 2000 с активированной функцией SYSKEY реально получить хэши учётных записей двумя способами: внедрением DLL из реестра или Active Directory локального или удалённого компьютера либо перехватом аутентификационных пакетов в сети. Второй способ в рамках этой статьи подробно рассматривать, пожалуй, не будем, поскольку нас интересует пока только локальный взлом. А первый способ называется методом pwdump2 (подробнее о нём — в readme к соответствующей утилите), и для его осуществления требуются полномочия администратора. Что же получается — замкнутый круг? Для получения прав администратора требуются права администратора? Ну, во многих случаях действительно восстановлением утерянных паролей юзеров-склеротиков приходится заниматься самому администратору, а потому он изначально имеет все права. Если же работать приходится из-под учётной записи обычного пользователя, то для снятия дампа паролей с помощью LC+4 методом pwdump2 потребуется пара нехитрых приёмов.

Попробуйте загрузить ПК и не прикасаться ни к мыши, ни к клавиатуре порядка 10—15 минут. Т. е. на экране всё это время должно оставаться либо приглашение нажать клавиши CTRL-ALT-DEL, либо приглашение ввести имя пользователя и пароль. Если хватит терпения, то вы увидите, как запустится хранитель экрана — скринсейвер, файл %SystemRoot%system32scrnsave.scr. Оказывается, этот скринсейвер запускается в контексте системы, ещё до регистрации какого-либо пользователя (вернее, от имени пользователя Default), и, соответственно, у скринсейвера имеются все права системы. Таким образом, достаточно просто подменить файл скринсейвера на любую другую программу (хотя бы на консоль CMD.EXE), и у нас будет максимум прав. Подмену скринсейвера сразу на программу LC+4 можно провернуть двумя способами. Например, просто переименовать файл LCP4.EXE в scrnsave.scr и скопировать его в папку %SystemRoot%system32 вместе с необходимой библиотекой samdump.dll, которую копируем в подкаталог %SystemRoot%system32DATApwdump2. Не забудьте только сохранить в надёжном месте исходный scrnsave.scr, чтобы потом вернуть его на место. Теперь перегружаем ПК и выпиваем чашечку кофе в ожидании автоматического запуска LC+4.

Если же этот способ по какой-то причине не сработает, или ждать 10 минут кажется недостойным рулёзного хакера, то можно скопировать LC+4 под его родным именем, а уже в реестре прописать запуск не scrnsave.scr, а LCP4.EXE. Это очень несложно сделать с помощью интересной бесплатной программы Offline NT Password & Registry Editor (http://home.eunet.no/~pnordahl/ntpasswd/), которая является вполне пригодным консольным редактором реестра Windows 2000, работающим из-под мини-линукса, загружаемого с обычной дискеты. Более удобный редактор из комплекта ERD Commander, к сожалению, не даёт доступа ко всем кустам реестра и в данном случае нам не поможет, разве что для удобного копирования файлов. Работать с Offline NT Password & Registry Editor несложно, встроенная подробная справка вызывается стандартным символом «?»; главное — вникать во все вопросы, что задаёт программа, и выписать на бумажку все консольные команды, которые понадобятся при редактировании реестра из командной строки. С помощью этих команд мы должны открыть куст реестра Default, отвечающий за настройки системы в отсутствии залогинившегося пользователя, перейти к разделу (учтите, что при вводе имён разделов реестра важен регистр букв) Control PanelDesktop и изменить значение параметра "SCRNSAVE.EXE"="scrnsave.scr". Нужно вместо «scrnsave.scr» указать имя программы, которую мы хотим запустить с правами системы, в нашем случае — LCP4.EXE. Сам файл этой программы опять же необходимо скопировать в папку %SystemRoot%system32, чтобы система его легко нашла, а все сопутствующие DLL-библиотеки её дистрибутива — в папку %SystemRoot%system32DATA. Хотя, чтобы быть совсем точным, желательно, чтобы количество символов в имени дефолтного скринсейвера (а в слове scrnsave их восемь) и его замены совпадало — только в этом случае гарантируется безошибочная работа оффлайнового редактора реестра. А потому заранее всё-таки переименуйте файл LCP4.EXE в LCP40000.EXE. И уже под таким именем копируйте его в системную папку и прописывайте в реестр. А чтобы не ждать 10-15 минут до автоматического запуска нашего казачка, изменим в реестре ещё один параметр, как раз и определяющий задержку перед запуском хранителя экрана:

HKEY_USERS.DEFAULTControl PanelDesktop
"ScreenSaveTimeOut"="600"

Выставляем вместо «дефолтных» 600 секунд (или 900, в зависимости от версии ОС) 100 и через пару минут наблюдаем запуск LC+4. Если этого не произошло, проверьте ещё два параметра в том же разделе:

"ScreenSaveActive"="1"
"ScreenSaverIsSecure"="0"

После того, как одним из вышеперечисленных способов мы добились запуска LC+4 от имени системы, в меню программы выбираем команду «Импорт» — «Импорт с локального компьютера», и — вуаля, дапм хешей паролей, пригодный для взлома, у нас готов! Сохраняем его в файл («Файл» — «Сохранить как») и копируем на дискету. После этого, чтобы не оставлять никаких следов нашего вторжения, заново загружаем ПК с дискеты Offline NT Password & Registry Editor и возвращаем всем изменённым параметрам реестра их исходные значения. Не забудьте вернуть на место настоящий scrnsave.scr, удалить с диска все файлы программы LC+4 и автоматически создающиеся файлы дампов вида pwdxxхxx.txt из папки %SystemRoot%system32 — лишние улики в нашем чёрном деле ни к чему. Я бы даже посоветовал перед тем, как приступать к взлому, перевести календарь в CMOS Setup таким образом, чтобы он указывал на тот день, когда вас точно не могло быть за компьютером — в этом случае в свойствах файлов не засветится реальная дата попытки проникновения в систему. Да и не забывайте подчищать следы своей деятельности в системном журнале событий. Впрочем, всё, что происходит при загрузке ПК с дискеты или до регистрации пользователя, никоим образом аудитом не зафиксируется.

Теперь на любом доступном ПК запускаем в LC+4 непосредственно сам подбор паролей по полученным хэшам и при удачном стечении обстоятельств через несколько часов имеем полный список учётных записей локального ПК вместе с их паролями. Сам процесс подбора паролей по снятому дампу вряд ли есть смысл описывать — вся методология достаточно подробно разжевана в документации к программе LC+4. С умом выбранные настройки процесса подбора, основанные на наличии минимума информации об установленном пароле (какая раскладка, есть ли цифры, сколько букв) или большой словарь значительно сокращают необходимое программе время. Скажу лишь, что даже такой длинный — 14 букв — пароль как slonhobotastiy вычисляется часа за 3-4 на машине двухлетней давности (а вот кажущийся более сложным пароль gjkmpjdfntkm — за одну секунду, догадайтесь почему). Обратите внимание, что в зарубежных программах, выполняющих снятие дампа хэшей паролей, имеется ошибка, не позволяющая получить достоверные хэши паролей, если в операционной системе имеются учётные записи с нелатинскими буквами в именах. В программе LC+4 эта ошибка отсутствует, а потому нет смысла использовать буржуйские аналоги. На мой взгляд, единственный вариант, когда может пригодиться импортный LC4 — перехват аутентификационных пакетов в сети.

Как же защититься от подбора пароля, если вы всё же не смогли предотвратить взлом CMOS и загрузку ПК со сменного носителя? Самый надёжный способ, который сведёт на нет все усилия хакера по снятию дампа или копированию файлов реестра, — это использование очень длинного пароля. Почему-то считается, что пароль, состоящий из случайных букв и символов «взломать» сложно. Это не так. Какой бы сложный пароль вы не выбрали, если он меньше 15 букв, то вычислить его вполне реально, поскольку по умолчанию в Windows 2000 хранится два хэша одного и того же пароля — NT-хэш и LM-хэш. LM-хэш используется для совместимости с другими операционными системами — Windows 3.11, Windows 9x и OS/2, и он содержит информацию о пароле без учёта регистров букв, что серьёзно упрощает восстановление пароля! Более того, в LM-хэше независимо друг от друга шифруются первые семь букв пароля и вторые семь букв, то есть фактически нужно подобрать всего лишь два семибуквенных пароля, в которых не различается регистр букв. А вот если вы будете устанавливать пароль длиной 15 букв или ещё больше, то лёгкий для взлома LM-хэш не будет использоваться (он будет соответствовать пустому паролю) и парольные взломщики SAMinside и LC+4, а также импортная L0phtCrack его либо вообще не смогут вычислить в силу особенностей шифрования, либо им потребуются месяцы и годы беспрерывной работы. Правда, передачу по сети LM-хэша и его сохранение в реестре можно отключить и принудительно, даже если пароль меньше 15 символов. Для этого используйте диалоговое окно «Групповая политика» — gpedit.msc — или редактор политик безопасности secpol.msc. В Windows XP эти программы, кстати говоря, позволяют регулировать гораздо больше системных параметров безопасности. Откройте раздел «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — «Параметры безопасности», здесь необходимо изменить значение параметра «Уровень проверки подлинности LAN Manger» («LAN Manager Authentication Level»), выбрав использование только протокола NTLMv2 (http://support.microsoft.com/support/kb/articles/q147/7/06.asp) и «Network security: Do not store LAN Manager hash value on next password change», установив для него «Enabled». В Windows 2000 последний параметр придётся установить напрямую в реестре, редактор политик этого не позволяет. Для этого надо лишь создать такой подраздел:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaNoLMHash

А в Windows XP через реестр LM-хэш отключается так:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
"nolmhash"=dword:00000001

После этих операций перегрузите ПК и непременно смените все пароли, чтобы «убить» LM-хэш. Но в любом случае главное — длина пароля!

Кроме того, полезно будет ужесточить и другие политики паролей, для этого откройте диалоговое окно «Групповая политика» — «Конфигурация компьютера» — «Конфигурация Windows» — «Параметры безопасности» — «Политики учетных записей» — «Политика паролей» и измените имеющиеся там параметры в соответствии с вашими представлениями о защите системы. К сожалению, установить минимально разрешённую длину пароля более 14 символов с помощью редактора политик Windows 2000 невозможно, а ведь максимальная длина пароля в этих ОС — 128 символов!

Конечно, имеется масса рекомендаций по придумыванию наиболее устойчивого (в том числе к подсматриванию через плечо) и при этом легко запоминаемого пароля: одновременное использование букв разного регистра, цифр и символов (ВасяСиДоРоФФ140$$); применение несуществующих или составных слов (ГлавСнабГанджобас); записывание русских слов в английской раскладке (:ehyfk Fguhtql); применение специальных символов типа вертикальной черты, вводимой клавишами Ctrl+BkSpace. Пробелы и прочие символы типа тех, что можно задать только при нажатии клавиши ALT и вводе цифрового кода, ещё больше осложняют вычисление пароля. Например, для ввода символа «возврат каретки», который не воспринимает программа L0phtCrack, нажмите клавиши ALT+0+1+3 на цифровой панели клавиатуры, а для ввода символа неразрывного пробела — ALT+0+1+6+0. Но, опять повторю, главное условие — длина должна быть более 14 букв! Чем длиннее пароль, тем он надёжнее.