|
<< Click to Display Table of Contents >> Navigation: Программы для работы с системой и восстановления данных > Proactive Password Auditor > О программе > Получение хэшей паролей |
PPA поддерживает несколько различных методов получения хэшей паролей. Они описаны ниже.
Есть несколько сторонних инструментов, которые могут создавать файлы дампа с хешами паролей, например pwdump, pwdump2, pwdump3 и samdump. Файлы, созданные этими инструментами, имеют следующий формат:
user_name:user_id:LM_hash: ntlm_hash:comment:user_home_directory:
PPA может принимать эти типы файлов в качестве входных данных.
Во всех системах, которые не используют Active Directory, хэши паролей хранятся в системном реестре, и программа может извлекать их из реестра, даже если они зашифрованы с помощью SYSKEY.
Программа может извлекать хэши паролей прямо из файлов реестра: SAM и SYSTEM. Вам нужно будет выбрать эти два файла (или только файл SAM, если это файл из старой NT-системы, которая не использует защиту SYSKEY: в этом случае установите флажок "Не использовать SYSKEY" (Don't use SYSKEY)). Если SYSKEY был сгенерирован из пароля запуска системы или сохранен на внешнем носителе, вам нужно будет указать этот пароль или внешний носитель, соответственно. Обратите внимание, что с помощью этой функции вы не можете выполнить дамп из файлов SAM и SYSTEM, которые в настоящее время используются (по адресу WINDOWS\SYSTEM32\config), потому что в данный момент они будут заблокированы операционной системой.
Однако вы можете сделать копии этих файлов, загрузившись в альтернативную операционную систему, например, в другую установку Windows или, как другой способ - подключить жесткий диск, на котором расположены эти файлы, в качестве дополнительного диска к другой рабочей станции Windows.
Если у вас есть права администратора на машине, на которой вы запускаете PPA, вы можете выгружать хэши паролей из его памяти. Этот метод работает независимо от режима SYSKEY и получает хэши для всех пользователей, включая пользователей Active Directory.
Этот метод аналогичен предыдущему, но позволяет дампать хэши с любого удаленного компьютера в вашей локальной сети: сервера или рабочей станции, с Active Directory или без нее. Нажмите кнопку «Просмотр» (Browse) и выберите компьютер(-ы), с которых вы хотите сделать дамп хэшей. После получения хэшей паролей PPA покажет следующую информацию:
•Имя пользователя - User name
•Компьютер - Computer
•ID пользователя - User ID
•Тип хэша - Hash type (LM или LM+NTLM)
•LM-хэш - LM hash
•NT-хэш - NT hash
•Пароль - Password
•Время аудита - Audit time
•Состояние (отключен или заблокирован) - Status (disabled or locked)
•Описание - Description
Щелкните правой кнопкой мыши на заголовок любого столбца, чтобы включить/отключить отображение любого из этих полей в интерфейсе программы.
Обратите внимание, что для получения хэшей паролей с любого удаленного компьютера PPA должен иметь права администратора на удаленной машине. Сперва он попытается войти в систему с текущими учетными данными (теми, с которыми была запущена программа), затем с сохраненными учетными данными (если есть соответствующая запись), и если эти методы не сработают, он запросит имя пользователя и пароль. Если данный компьютер является контроллером домена, вы должны предоставить учетные данные администратора домена (см. в разделе Системные требования).
Когда вы делаете дамп или открываете хэши паролей с помощью любого из описанных выше методов, PPA запускает (по умолчанию) т.н. быструю предварительную атаку, которая занимает несколько секунд, но может автоматически восстанавливать короткие и простые пароли. (см. в разделе Опции предварительной атаки ).
Перед атакой, когда пароли еще не восстановлены, пароли отображаются либо как <отсутствует> (<empty>) (если пароль для данной учетной записи не установлен), либо как <неизвестный> (<unknown>). После предварительной атаки некоторые <неизвестные> (<unknown>) пароли могут быть восстановлены и отображены.
Выберите учетные записи пользователей, для которых вы хотите выполнить аудит паролей, выберите метод атаки и начните саму атаку. Вы не сможете проверить следующие учетные записи:
•Аккаунты с пустыми паролями
•Учетные записи, которые превышают лимит пробной версии PPA или в соответствии с приобретенной лицензией (эти учетные записи неактивны)
Соответствующее сообщение будет выведено в окне журнала (и в файле журнала) соответственно:
•Пароль пользователя «Гость» пуст, восстановление для этого пользователя недоступно. - Password of user "Guest" is empty, recovery for this user is disabled
•Восстановление для этого пользователя недоступно (номер пользователя 101) - Recovery for this user is disabled (number of user 101)