Varasemas postituses oleme näinud, kuidas Windows 7 ja vanemate versioonide abil sisselogimisekraani ümbersõit ära kasutada AutoLogon Microsoft pakutav tööriist. Samuti mainiti, et AutoLogoni tööriista kasutamise peamine eelis on see, et teie parooli ei salvestata lihtteksti vorm nagu tehakse registri sisestuste käsitsi lisamisel. See on esimene krüpteeritud ja seejärel salvestatud nii, et isegi PC-administraatoril pole juurdepääsu sellele. Tänapäeva postituses räägime sellest, kuidas dekrüpteerida DefaultPassword väärtus salvestatakse registriredaktoris kasutades AutoLogon tööriist.
Kõigepealt peate esmalt asju tegema Administraatori õigused et dekrüpteerida DefaultPassword väärtus. Selle ilmse piirangu põhjus on see, et sellist krüptitud süsteemi ja kasutajaandmeid reguleerib spetsiaalne julgeolekupoliitika, mis teab seda Kohalik turvaasutus (LSA) mis annab juurdepääsu ainult süsteemiadministraatorile. Niisiis, enne paroolide dekrüpteerimise alustamist lähemalt vaadake seda julgeolekupoliitikat ja sellega seotud teadmisi.
LSA - mis see on ja kuidas see andmeid salvestab
Windows kasutab LSA-d, et hallata süsteemi kohalikku julgeolekupoliitikat ning teostada auditeerimise ja autentimise protsessi kasutajatele, kes logivad sisse süsteemi, salvestades nende privaatsed andmed spetsiaalsele salvestusruumile. Seda mälu asukohta kutsutakse LSA saladused kus olulised andmed, mida LSA poliitika kasutab, on salvestatud ja kaitstud. Need andmed salvestatakse registriredaktoris krüptitud vormis HKEY_LOCAL_MACHINE / Turvalisus / poliitika / saladused võti, mis ei ole üldiste kasutajakontode tõttu piiratud Juurdepääsu kontrollnimekirjad (ACL). Kui teil on kohalikud administraatori õigused ja teate oma teed LSA saladuste kohta, saate juurdepääsu RAS / VPN paroolidele, Autologoni paroolidele ja muudele paroolidele / võtmetele. Allpool on loetelu mõnedest nimedest.
- $ MACHINE.ACC: Seotud domeeni autentimisega
- DefaultPassword: Krüptitud parooli väärtus, kui AutoLogon on lubatud
- NL $ KM: Salajane võti, mida kasutatakse puhverdatud domeeniparoolide krüptimiseks
- L $ RTMTIMEBOMB: Windowsi aktiveerimise viimase kuupäeva väärtuse salvestamiseks
Saladuste loomiseks või muutmiseks on tarkvaraarendajatele saadaval spetsiaalne API-liides. Kõik rakendused saavad juurdepääsu LSA saladuste asukohale, kuid ainult praeguse kasutajakonto kontekstis.
AutoLogoni parooli dekrüpteerimine
Nüüd, et dekrüpteerida ja hävitada DefaultPassword LSA saladuses talletatud väärtus võib lihtsalt välja anda Win32 API-kõne. DefaultPassword väärtuse dekrüpteeritud väärtuse saamiseks on olemas lihtne käivitatav programm. Selleks toimige järgmiselt:
- Laadige alla käivitatava faili - see on vaid 2 KB suurust.
- Väljavõtte sisu DeAutoLogon.zip faili
- Paremklõps DeAutoLogon.exe faili ja käivitage see administraatorina.
- Kui teil on lubatud AutoLogoni funktsioon, peaks DefaultPassword väärtus olema teie kohal just seal.
Kui teil on küsimusi, helistage kommentaaride allolevasse ossa.