Восстановление забытых паролей

Задача восстановления забытых паролей может возникнуть в самых разных случаях - это и "девичья" память самих пользователей, и нерадивость системного администратора, не удосужившегося позаботиться о создании резервных копий всех паролей, и слишком частая смена паролей по требованию системы, из-за чего пароли могут потеряться. Если известен пароль администратора для входа в систему, проблема решается легко - можно просто изменить все эти пользовательские пароли. Но зачастую даже этот пароль неизвестен, и в систему невозможно войти ни под какой учетной записью. Многие пользователи, махнув рукой, переустанавливают Windows или обращаются за помощью к различным сомнительным личностям, отдавая им в руки всю свою секретную информацию. А ведь для восстановления своих утраченных паролей существуют специальные программы. С одной из них - SAMInside, - имеющей значительные преимущества над другими аналогами, мы сейчас и познакомим читателя.

Назначение программы

Программа SAMInside выполняет следующие функции:
• Получение информации о пользователях из SAM-файлов Windows NT/2000/XP/2003.
• Восстановление паролей пользователей из SAM-файлов операционной системы Windows NT.
• Восстановление паролей пользователей из SAM-файлов операционных систем Windows 2000/XP/2003, зашифрованных системным ключом SYSKEY.

Многие пользователи знают, что информация о паролях Windows названных версий хранится именно в этом SAM-файле и как раз и служит для аутентификации в системе. Но для тех, кто впервые слышит об этом загадочном файле, сделаем краткие пояснения. База данных учетных записей пользователей (Security Account Management Database, сокращенно SAM) является обязательной составляющей системы безопасности Windows NT/2000/XP и поэтому имеется на любом компьютере с такой системой. Хранится эта база в одноименном файле SAM, который можно найти в системной папке "\Windows\System32\Config". Однако получить доступ к этому файлу во время работы Windows не может ни один пользователь, даже администратор (этот файл нельзя просто взять и скопировать на дискету). Как именно "вытащить" этот SAM-файл - предмет отдельного разговора, и различные методы его получения подробно описаны в справке к программе SAMInside.

Но полученный на руки SAM-файл - еще не решение проблемы. Пароли в нем зашифрованы и захэшированы. К тому же, для повышения защищенности этих паролей часть файла SAM шифруется системной утилитой SYSKEY. Данные, необходимые для расшифровки информации после SYSKEY, хранятся в файле system в той же папке. Вот почему до недавнего времени считалось невозможным восстановление паролей из SAM-файлов Windows NT/2000/XP/2003. Но теперь эта задача решается с помощью программы SAMInside. Чтобы читатели могли понять грандиозность решенной проблемы, приводим некоторые факты из истории создания программы. Вот что рассказывает ее автор PolASoft:

Немного истории

История программы начинается с 2002 года. Тогда мной в соавторстве с Ocean`ом была написана программа PWLInside, предназначенная для восстановления паролей пользователей Windows 95/98. Эта программа была написана полностью на Ассемблере и в результате тщательной оптимизации кода стала на тот момент самой быстрой программой в мире по скорости работы (хотя о ней мало кто и знал). Конечно же, этот успех "окрылил", и было решено попробовать силы в другом аналогичном направлении - восстановлении паролей пользователей Windows NT/2000. Тогда и была выпущена первая версия программы SAMInside, которая также была написана целиком на Ассемблере. Но практика ее использования показала, что она вряд ли получит широкое распространение из-за того, что пароли в Windows 2000 и в Windows NT, начиная с 3-го ServicePack`a, имеют дополнительное шифрование системной утилитой SYSKEY. Поэтому область применения SAMInside ограничивалась лишь компьютерами с ОС Windows NT до 3-го пакета обновлений. И решено было изучить данный алгоритм, чтобы программа могла восстанавливать пароли пользователей и к Windows 2000.

Информации об этом алгоритме нигде не было - на нескольких импортных сайтах хакерской тематики нашлись лишь краткие упоминания о нем. Тогда не оставалось ничего иного, кроме как самим начать анализировать этот алгоритм. На его "расшифровку" ушло более двух месяцев. За это время утилитой SoftICE трассировался и анализировался вход в Windows. Также за это время было дизассемблировано и разобрано "по кирпичикам" несколько системных DLL-ок, чтобы наконец-то определить - КАК работает SYSKEY? И механизм был "взломан"! Это было наглядно продемонстрировано в версии 2.0 программы. Она вышла в феврале 2003 года и стала первой программой в мире, которая работала с паролями пользователей, зашифрованными этим системным ключом. Любопытно, что программа LC4 (от @stake), также предназначенная для восстановления паролей Windows NT/2000, при попытке загрузить SAM-файл (где и хранятся зашифрованные пароли пользователей), сообщает следующее: "If you retrieved the SAM file from a Windows 2000 or XP machine, it is very likely that it is SYSKEY encrypted! SYSKEY hashes are strongly encrypted and will NOT be found using a password cracker!"

А дальше SAMInside стала распространяться и потихоньку "теснить" своих конкурентов, как за счет того, что работала с SYSKEY`ными файлами, так и за счет более быстрого перебора паролей. Стали выходить новые версии, программа (кроме кода перебора) была переписана на C++ и так далее.

Преимущества программы SAMInside

Конечно же, у SAMInside имеются программы-аналоги, и ниже приведен перечень преимуществ SAMInside перед ними (сразу же стоит оговориться, что, конечно же, в других программах присутствуют и некоторые возможности, которых в SAMInside пока нет).

Особенности SAMInside:
• ее "крохотный" (по современным меркам) размер исполняемого файла - около 50 кб, тогда как программы-аналоги "весят" сотни килобайт и даже мегабайты;
• более высокая скорость перебора (а в программах по восстановлению паролей это один из самых важных показателей);
• очень удобная и простая работа с SAM-файлами;
• атака полным перебором (даже только по латинским буквам) вкупе с атакой по словарю (по которой ограничений нет) позволяет восстанавливать до 80% "среднестатистических" паролей пользователей;
• и, конечно же, работа с SAM-файлами не только от Windows 2000, но и от Windows XP/2003 (так как компания Microsoft оставила принципы аутентификации пользователей в этих ОС такими же и даже не изменила алгоритм SYSKEY).

Сравнение с программами-конкурентами
• LC4 от @stake, Shareware:
  - стоимость полной лицензии существенно выше, чем у SAMInside;
  - скорость перебора ниже;
  - не поддерживает хэши, зашифрованные утилитой SYSKEY;
  - не имеет русского интерфейса;
  - пароли в национальных кодировках восстанавливает неверно.
• LC+4 от NH, Freeware:
  - скорость перебора ниже, особенно по NTHash;
  - не поддерживает хэши, зашифрованные утилитой SYSKEY;
• Advanced NT Explorer от Elcomsoft, Shareware:
  - стоимость полной лицензии существенно выше, чем у SAMInside;
  - скорость перебора ниже;
  - не поддерживает хэши, зашифрованные утилитой SYSKEY;
• Practive Windows Security Explorer от Elcomsoft, Shareware:
  - стоимость полной лицензии существенно выше, чем у SAMInside;
  - скорость перебора ниже (но так же, как и SAMInside, эта программа поддерживает хэши, зашифрованные утилитой SYSKEY).
• Cain & Abel 2.5, Freeware:
  - скорость перебора ниже;
  - не поддерживает хэши, зашифрованные утилитой SYSKEY;
  - не имеет русского интерфейса;
  - пароли в национальных кодировках не восстанавливает.

Хотя в Интернете уже появились работы с подробным описанием ключа SYSKEY (то есть SAMInside - уже не единственная программа в своем роде, но она навсегда останется первой в мире), и растет количество программ по восстановлению паролей Windows, InsidePro не собирается останавливаться и планируется развивать программу и дальше. Конечно же, в первую очередь, будет увеличиваться скорость перебора. Уже есть теоретические наработки, позволяющие увеличить скорость перебора по NTHash на 20 и более процентов; также будет увеличиваться и функциональность программы.

Стоит акцентировать внимание читателей на том, что программа предназначена для восстановления СВОИХ забытых паролей. Об этом сказано и в описании программы, и на ее сайте. Разработчик программы оказывает техническую поддержку только пользователям, использующим ее по назначению. SAMInside - только инструмент, а его применение с целью получения чужих паролей целиком лежит на совести пользователей.

Ограничения демоверсии. В незарегистрированной версии программы отсутствует перебор по маске, а в полном переборе можно устанавливать только латинские заглавные символы для перебора. Других ограничений нет. Работает программа под всеми версиями Windows - от 95 до 2003