Получение хэшей паролей из файла SAM

Учётные записи пользователей, содержащие, в том числе имена пользователей и их пароли, хранятся в реестре Windows NT/2000/XP/2003, а именно в той его части, которая находится в файле SAM (Security Account Manager (англ.) - диспетчер защиты учётных записей). Этот файл можно найти на диске в каталоге %SystemRoot%\system32\config, на диске аварийного восстановления системы или на резервной магнитной ленте.

К файлу SAM в каталоге %SystemRoot%\system32\config нельзя получить доступ, пока Windows NT/2000/XP/2003 загружена, так как он открыт операционной системой. Если имеется физический доступ к машине, необходимо скопировать файл, загрузив на этой машине другую копию операционной системы или другую операционную систему. Если Windows NT/2000/XP/2003 установлена на диске с файловой системой NTFS, то для MS-DOS и Windows 95/98/Net дополнительно нужны программы, обеспечивающие доступ к диску с NTFS из этих операционных систем. Также можно загрузиться с дискеты и скопировать файл SAM, предварительно запустив обеспечивающую доступ к разделам с NTFS программу. После этого нужно выполнить импорт файла SAM. Извлечение хэшей паролей из файла SAM было разработано и впервые реализовано в программе SAMDump (автор Дмитрий Андрианов). При импорте файла SAM осуществляется получение списка учетных записей пользователей, содержащихся в файле SAM. Процесс импорта файла SAM подобен получению хэшей паролей методом pwdump за исключением того, что вместо функций Windows API, обеспечивающих работу с реестром Windows, используется их эмуляция. При выполнении импорта файла SAM из программы SAMDump все нелатинские буквы, имеющиеся в именах пользователей, будут искажены. Программа LCP лишена этого недостатка.

Способом получения файла SAM в операционной системе Windows NT, не требующим перезагрузки машины, является копирование его из каталога %SystemRoot%\repair или с диска аварийного восстановления. Каждый раз, когда в Windows NT создается диск аварийного восстановления с помощью программы RDISK, файл SAM запаковывается и сохраняется в файл sam._, являющийся резервной копией файла SAM. Файл sam._ представляет из себя архив в формате cabinet. Этот файл может быть распакован командой "expand sam._ sam". Недостатком этого способа является то, что с момента создания диска аварийного восстановления пароли могли измениться и, возможно, файл sam._ содержит устаревшие данные. В программе LCP имеется встроенная возможность импорта файла SAM и из файла sam._, избавляющая от необходимости использования программы expand. При импорте списка учетных записей пользователей из файла sam._ он предварительно распаковывается, затем выполняется непосредственно импорт файла SAM.

Файл SAM также копируется, когда создается полная резервная копия. Если имеется доступ к резервной копии, можно восстановить файл SAM из %SystemRoot%\system32\config на другую машину и затем извлечь из него хэши паролей. Недостатком и этого способа также является то, что с момента последнего сеанса создания резервной копии пароли могли измениться.

Существует служебная программа SYSKEY, впервые появившаяся в составе Service Pack 3 для Windows NT. Программа SYSKEY дополнительно зашифровывает хэши паролей учетных записей, что делает бесполезным импорт файла SAM с помощью программы SAMDump. SYSKEY может использоваться в одном из трех вариантов:

• сгенерированный ключ запуска записывается на локальный жесткий диск в реестр в зашифрованном виде;
• для получения ключа запуска берется пароль, выбранный администратором и вводимый во время загрузки операционной системы;
• сгенерированный ключ запуска записывается на дискету, которая должна быть вставлена во время загрузки операционной системы.

Служебная программа SYSKEY в операционной системе Windows NT для дополнительной защиты паролей учетных записей после установки Service Pack соответствующей версии должна быть активизирована вручную. В операционных системах Windows 2000/XP/2003 программа SYSKEY изначально присутствует и активизирована.

Импорт файла SAM, дополнительно зашифрованного SYSKEY, впервые был реализован в программе SAMInside (авторами являются PolASoft и Ocean). Алгоритм SYSKEY первым опубликовал FlashSky из Xfocus Team. Для выполнения импорта при хранении ключа запуска в реестре необходимо открыть файлы SAM и SYSTEM, предварительно скопировав их из каталога %SystemRoot%\system32\config. Если недостаточно места на дискете, файлы могут быть сжаты до копирования. Резервные копии файлов также могут находиться в каталоге %SystemRoot%\repair, если ранее выполнялась архивация. При хранении ключа запуска на дискете кроме файла SAM нужен файл StartKey.Key для выполнения импорта.

Импорт файла SAM без дополнительного шифрования или с дополнительным шифрованием хэшей паролей при любом варианте хранения ключа запуска возможен в программе LCP.

Получение хэшей паролей из реестра операционной системы

При получении хэшей паролей из реестра операционной системы осуществляется непосредственный доступ к реестру. Для выполнения импорта информации необходимо иметь административные права на компьютере, дамп паролей учетных записей которого требуется создать. Если компьютер не является локальным, то должен быть разрешен удаленный доступ к реестру и иметься соответствующие права. Получение хэшей данным способом впервые стало возможным в программе pwdump (автор Jeremy Allison). При выполнении импорта информации этим способом с помощью программы pwdump имена пользователей, содержащие нелатинские буквы, будут искажены. Для получения хэшей паролей из реестра рекомендуется воспользоваться LCP.

Если программа SYSKEY активизирована, хэши паролей дополнительно зашифровываются. Выполнение импорта с помощью программы pwdump становится бесполезным, т.к. пароли по дополнительным зашифрованным хэшам восстановлены не будут. В программе LCP получение хэшей паролей из реестра доработано с учетом возможного дополнительного шифрования хэшей программой SYSKEY, поэтому рекомендуется использовать LCP.