Задача восстановления забытых паролей может возникнуть в самых разных случаях - это и "девичья" память самих пользователей, и нерадивость системного администратора, не удосужившегося позаботиться о создании резервных копий всех паролей, и слишком частая смена паролей по требованию системы, из-за чего пароли могут потеряться. Если известен пароль администратора для входа в систему, проблема решается легко - можно просто изменить все эти пользовательские пароли. Но зачастую даже этот пароль неизвестен, и в систему невозможно войти ни под какой учетной записью. Многие пользователи, махнув рукой, переустанавливают Windows или обращаются за помощью к различным сомнительным личностям, отдавая им в руки всю свою секретную информацию. А ведь для восстановления своих утраченных паролей существуют специальные программы. С одной из них - SAMInside, - имеющей значительные преимущества над другими аналогами, мы сейчас и познакомим читателя.
Назначение программы
Программа SAMInside выполняет следующие функции: - Получение информации о пользователях из SAM-файлов Windows NT/2000/XP/2003.
- Восстановление паролей пользователей из SAM-файлов операционной системы Windows NT.
- Восстановление паролей пользователей из SAM-файлов операционных систем Windows 2000/XP/2003, зашифрованных системным ключом SYSKEY.
Многие пользователи знают, что информация о паролях Windows названных версий хранится именно в этом SAM-файле и как раз и служит для аутентификации в системе. Но для тех, кто впервые слышит об этом загадочном файле, сделаем краткие пояснения. База данных учетных записей пользователей (Security Account Management Database, сокращенно SAM) является обязательной составляющей системы безопасности Windows NT/2000/XP и поэтому имеется на любом компьютере с такой системой. Хранится эта база в одноименном файле SAM, который можно найти в системной папке "\Windows\System32\Config". Однако получить доступ к этому файлу во время работы Windows не может ни один пользователь, даже администратор (этот файл нельзя просто взять и скопировать на дискету). Как именно "вытащить" этот SAM-файл - предмет отдельного разговора, и различные методы его получения подробно описаны в справке к программе SAMInside.
Но полученный на руки SAM-файл - еще не решение проблемы. Пароли в нем зашифрованы и захэшированы. К тому же, для повышения защищенности этих паролей часть файла SAM шифруется системной утилитой SYSKEY. Данные, необходимые для расшифровки информации после SYSKEY, хранятся в файле system в той же папке. Вот почему до недавнего времени считалось невозможным восстановление паролей из SAM-файлов Windows NT/2000/XP/2003. Но теперь эта задача решается с помощью программы SAMInside. Чтобы читатели могли понять грандиозность решенной проблемы, приводим некоторые факты из истории создания программы. Вот что рассказывает ее автор PolASoft:
Немного истории
История программы начинается с 2002 года. Тогда мной в соавторстве с Ocean`ом была написана программа PWLInside, предназначенная для восстановления паролей пользователей Windows 95/98. Эта программа была написана полностью на Ассемблере и в результате тщательной оптимизации кода стала на тот момент самой быстрой программой в мире по скорости работы (хотя о ней мало кто и знал). Конечно же, этот успех "окрылил", и было решено попробовать силы в другом аналогичном направлении - восстановлении паролей пользователей Windows NT/2000. Тогда и была выпущена первая версия программы SAMInside, которая также была написана целиком на Ассемблере. Но практика ее использования показала, что она вряд ли получит широкое распространение из-за того, что пароли в Windows 2000 и в Windows NT, начиная с 3-го ServicePack`a, имеют дополнительное шифрование системной утилитой SYSKEY. Поэтому область применения SAMInside ограничивалась лишь компьютерами с ОС Windows NT до 3-го пакета обновлений. И решено было изучить данный алгоритм, чтобы программа могла восстанавливать пароли пользователей и к Windows 2000.
Информации об этом алгоритме нигде не было - на нескольких импортных сайтах хакерской тематики нашлись лишь краткие упоминания о нем. Тогда не оставалось ничего иного, кроме как самим начать анализировать этот алгоритм. На его "расшифровку" ушло более двух месяцев. За это время утилитой SoftICE трассировался и анализировался вход в Windows. Также за это время было дизассемблировано и разобрано "по кирпичикам" несколько системных DLL-ок, чтобы наконец-то определить - КАК работает SYSKEY? И механизм был "взломан"! Это было наглядно продемонстрировано в версии 2.0 программы. Она вышла в феврале 2003 года и стала первой программой в мире, которая работала с паролями пользователей, зашифрованными этим системным ключом. Любопытно, что программа LC4 (от @stake), также предназначенная для восстановления паролей Windows NT/2000, при попытке загрузить SAM-файл (где и хранятся зашифрованные пароли пользователей), сообщает следующее: "If you retrieved the SAM file from a Windows 2000 or XP machine, it is very likely that it is SYSKEY encrypted! SYSKEY hashes are strongly encrypted and will NOT be found using a password cracker!"
А дальше SAMInside стала распространяться и потихоньку "теснить" своих конкурентов, как за счет того, что работала с SYSKEY`ными файлами, так и за счет более быстрого перебора паролей. Стали выходить новые версии, программа (кроме кода перебора) была переписана на C++ и так далее.
Преимущества программы SAMInside Конечно же, у SAMInside имеются программы-аналоги, и ниже приведен перечень преимуществ SAMInside перед ними (сразу же стоит оговориться, что, конечно же, в других программах присутствуют и некоторые возможности, которых в SAMInside пока нет).
Особенности SAMInside: - ее "крохотный" (по современным меркам) размер исполняемого файла - около 50 кб, тогда как программы-аналоги "весят" сотни килобайт и даже мегабайты;
- более высокая скорость перебора (а в программах по восстановлению паролей это один из самых важных показателей);
- очень удобная и простая работа с SAM-файлами;
- атака полным перебором (даже только по латинским буквам) вкупе с атакой по словарю (по которой ограничений нет) позволяет восстанавливать до 80% "среднестатистических" паролей пользователей;
- и, конечно же, работа с SAM-файлами не только от Windows 2000, но и от Windows XP/2003 (так как компания Microsoft оставила принципы аутентификации пользователей в этих ОС такими же и даже не изменила алгоритм SYSKEY).
Сравнение с программами-конкурентами - LC4 от @stake, Shareware:
- стоимость полной лицензии существенно выше, чем у SAMInside;
- скорость перебора ниже;
- не поддерживает хэши, зашифрованные утилитой SYSKEY;
- не имеет русского интерфейса;
- пароли в национальных кодировках восстанавливает неверно. - LC+4 от NH, Freeware:
- скорость перебора ниже, особенно по NTHash;
- не поддерживает хэши, зашифрованные утилитой SYSKEY; - Advanced NT Explorer от Elcomsoft, Shareware:
- стоимость полной лицензии существенно выше, чем у SAMInside;
- скорость перебора ниже;
- не поддерживает хэши, зашифрованные утилитой SYSKEY; - Practive Windows Security Explorer от Elcomsoft, Shareware:
- стоимость полной лицензии существенно выше, чем у SAMInside;
- скорость перебора ниже (но так же, как и SAMInside, эта программа поддерживает хэши, зашифрованные утилитой SYSKEY). - Cain & Abel 2.5, Freeware:
- скорость перебора ниже;
- не поддерживает хэши, зашифрованные утилитой SYSKEY;
- не имеет русского интерфейса;
- пароли в национальных кодировках не восстанавливает.
Хотя в Интернете уже появились работы с подробным описанием ключа SYSKEY (то есть SAMInside - уже не единственная программа в своем роде, но она навсегда останется первой в мире), и растет количество программ по восстановлению паролей Windows, InsidePro не собирается останавливаться и планируется развивать программу и дальше. Конечно же, в первую очередь, будет увеличиваться скорость перебора. Уже есть теоретические наработки, позволяющие увеличить скорость перебора по NTHash на 20 и более процентов; также будет увеличиваться и функциональность программы.
Стоит акцентировать внимание читателей на том, что программа предназначена для восстановления СВОИХ забытых паролей. Об этом сказано и в описании программы, и на ее сайте. Разработчик программы оказывает техническую поддержку только пользователям, использующим ее по назначению. SAMInside - только инструмент, а его применение с целью получения чужих паролей целиком лежит на совести пользователей.
Ограничения демоверсии. В незарегистрированной версии программы отсутствует перебор по маске, а в полном переборе можно устанавливать только латинские заглавные символы для перебора. Других ограничений нет. Работает программа под всеми версиями Windows - от 95 до 2003