Азарий Методы доступа к SAM-файлу и импорт хэшейПолучить как данные из этого файла, так и доступ к нему, все-таки можно.Информацию из него можно извлечь даже в работающей системе, но только из-под учетной записи Администратора. Здесь есть два метода получения данных - метод программы PWDUMP (который используется в программах PWDUMP, LC4, LC+4 и др.) и метод с использованием планировщика задач (используется в программе SAMInside).Метод PWDUMP вкратце работает так - программа подключается к системному процессу LSASS и с его правами (и его же методами) извлекает хэши из ветки SAM реестра, т.е. фактически из SAM-файла. Метод же планировщика работает так - по умолчанию в Windows 2000/XP системная утилита Scheduler имеет права пользователя SYSTEM, т.е. полный доступ к системе. Поэтому, если назначить Планировщику задание сохранить определенную ветку реестра в файл, к примеру, то он в назначенное время сохранит ее на диск. После чего из этого файла извлекаются хэши всех пользователей этого компьютера.А что делать, если пароля Администратора нет и, соответственно, его прав тоже?Тогда злоумышленнику остается делать следующее - если на компьютере установлено несколько операционных систем, то загружаясь в любую из них (даже в Linux) можно получить доступ к системному диску Windows 2000/XP и скопировать SAM-файл в другой каталог, чтобы потом "в спокойной обстановке" загрузить его в нужную программу для восстановления из него паролей.Более того, существуют программы, способные изменять информацию прямо в SAM-файле, меняя и добавляя пользователей, а также их пароли (например, программа Offline NT Password & Registry Editor). Правда, для этого также необходимо загружаться в другую ОС и иметь полный доступ к системному диску Windows 2000/XP.Даже если системный диск Windows имеет файловую систему NTFS, то все равно можно получить к нему доступ, используя загрузочную дискету, созданную в программе NTFSDos Pro. Затем, после загрузки с нее, примонтировать нужный NTFS-раздел и скопировать с него нужные файлы.Если же вы администрируете сервер сети на основе Windows 2000/XP, то учитывайте, что кража вашего SAM-файла может привести к тому, что в руках злоумышленника окажутся не только ваш пароль, но и пароли всех пользователей сети (т.е. их пароли на вход в Windows), т.к. все эти пользователи имеют свои учетные записи на сервере.Как мы говорили выше, в современных NT-системах применяется дополнительное шифрование хэшей алгоритмом syskey. До недавнего времени хэши из SAM-файла, скопированного из этих ОС, расшифровке не поддавались, т.к. этот алгоритм достаточно сложен, нигде не публиковался и практически не анализировался. Но теперь можно извлекать хэши, даже из зашифрованных этим алгоритмом SAM-файлов, используя программу SAMInside. Правда, для декодирования хэшей этой программе необходим еще и файл SYSTEM, расположенный там же, где и SAM, т.к. в нем хранятся некоторые ключи реестра. необходимые для дешифрования хэшей алгоритмом syskey. Этот файл также открыт только для системы, но, как мы выяснили выше, если можно получить доступ к SAM-файлу, то и файл SYSTEM копируется теми же способами.
Марк Зачем?? Зачем оно тебе нужно? Тот кто знает, что и как там править, не задает таких вопросов....
Демьян Не порти Винду, великое творение Била Гейтса!
Гедеон Monty Jee, в этом файле храняться имена и пароли пользователей!!!!Денис Казаков, те прямиком на хак форум!!!!
