Сброс пароля

В принципе, существуют и ещё более простые способы получения прав администратора, но они предназначены, скорее, для самих администраторов, забывших или потерявших установленные пароли. Дело в том, что почти в любой системе можно без особого труда просто сбросить, отменить или изменить любой пароль. Для этого удобнее всего использовать программу ERD Commander или тот же Offline NT Password & Registry Editor. Умеют сбрасывать пароли локальных учётных записей также такие универсальные программы, как O&O BlueCon XXL, в составе которого, между прочим, имеется ещё и неплохой консольный редактор реестра и похожего назначения утилита CIA Commander. Хотя имеются и несколько устаревшие аналоги, больше подходящие для Windows NT 4: NTAccess, NTFS driver & Change a NT password. Но опять-таки надо учитывать, что практически все эти программы очень не любят, когда имя учётной записи записано кириллицей («Администратор»), и в этих случаях могут возникнуть серьёзные проблемы с последующей загрузкой ПК. Поэтому прежде, чем пойти на такой шаг, проведите эксперимент с вашей версией подобной программы на тестовом ПК. Впрочем, изменить пароль с минимумом усилий помогут и описанные выше эксплоиты DebPloit и GetAdm2.

Удаление же файла SAM, которое забывчивым администраторам почему-то очень часто советуют в различных веб-конференциях для сброса паролей, приведёт всего лишь к невозможности загрузить операционную систему, поэтому даже пытаться это делать бессмысленно.

А вот ещё один интересный способ сбросить пароль администратора заключается в замене системной библиотеки MSV1_0.DLL на её «пропатченную» версию, в которой отключена проверка пароля при авторизации пользователя в системе. Фактически, необходимо таким образом исправить код этой библиотеки, чтобы изменить порядка десятка условных переходов на безусловные — как это делается можно при желании найти в Интернете. Правда, для пользователя, плохо знакомого с ассемблером, это вряд ли будет лёгкой задачей. Возможно, было бы проще предоставить «пропатчивание» этого файла вирусу Bolzano версий 3628, 3904, 5396. Этот вирус, помимо всего прочего, патчит две процедуры в системных файлах WinNT: в NTOSKRNL разрешает запись во все файлы системы вне зависимости от прав доступа к файлам, а в MSV1_0.DLL отключает проверку паролей, в результате чего любая введённая строка воспринимается системой как пароль, необходимый для доступа к системным ресурсам. Однако найти этот вирус сегодня вряд ли реально, и неизвестно, сработает ли он с обновлёнными версиями файла MSV1_0.DLL.

Способы защиты от такой атаки на систему все те же: запрет загрузки ПК со сменных носителей и хороший, регулярно обновляемый антивирус.