Злом і захист облікового запису Windows XP, Windows, Операційні системи, статті

У даній статті мова піде про злом і захист облікового запису, а також захисту вашої інформації.


Як і раніше в світі були люди шукають способи легкої наживи. І якщо в той час їх метою були якісь матеріальні цінності, то зараз стала центром уваги – інформація, здатна принести легкі гроші. А зокрема це рахунки, паролі до доступу секретних архівів, компрометуюча інформація і т.д.


Отже, розглянемо покроково найпоширеніші способи злому і варіанти захисту.


Завантаження з іншого носія. Існує можливість завантаження комп’ютера зі знімного носія, наприклад: компакт диск, на якому буде встановлена ​​полегшена версія Windows. Увійшовши таким способом на комп’ютер, є можливість видалення, переміщення, копіювання файлів. Першим, що необхідно зробити в захисті комп’ютера від небажаних гостей – це встановити в налаштуваннях BIOS (а) завантаження тільки з жорсткого диска, відключивши можливість завантаження з інших носіїв. Далі необхідно встановити пароль на BIOS. Обмежити доступ до системного блоку, тому що якщо розкривши кришку і витягнувши на 5-10 хвилин батарейку, все налаштування BIOS (а) будуть скинуті, а також буде скинутий і пароль. Для захисту системного блоку можна використовувати спеціальні замки, які на сьогоднішній день досить поширені. Але і пароль, встановлений на BIOS, може не допомогти. А вся справа в тому, що виробники материнських плат залишають так звані чорні ходи, встановлюючи паролі, які використовуються в сервісних центрах при ремонті обладнання. Такі універсальні паролі можна знайти в інтернеті на сайтах виробників.


Але якщо все-таки перший захист допомогла, і комп’ютер завантажився з вашого жорсткого диска. З’являється екран вітання зі списком користувачів і вимога ввести пароль на будь-яку обліковий запис. Ось тут може спрацювати дуже простий спосіб. При установці ОС, створюється вбудована обліковий запис адміністратора. Подвійне натискання на екрані запрошення сполучень клавіш ALT + CTRL + DELETE призводить до появи вікна із запитом вибору користувача. Якщо ввести ім’я «Адміністратор» або «Administrator» (в залежності від складання Windows), то таким чином можна потрапити на комп’ютер з необмеженими правами. Для запобігання такого варіанту проникнення, необхідно виконати наступні дії: увійдіть у розділ управління комп’ютером. Виберіть «локальні користувачі і групи», «користувачі». Перейменуйте вбудовану облікову запис адміністратора і встановіть на неї пароль.


Якщо на вашому комп’ютері є інші користувачі, але з обмеженими можливостями, то вони можуть увійти в систему з правами адміністратора, використовуючи, нижче описаний варіант.


Завантаживши комп’ютер, на екрані запрошення чекаємо 10-15 хвилин. Приблизно через цей час система запустить зберігача екрану (Screensaver). Т.к. screensaver запускається системою, отже, він має повні права адміністратора. Досить замінити Screensaver на будь-яку іншу програму, як відкриється вхід в систему. Такою програмою може стати, наприклад Total Commander. Для цього потрібно скопіювати всі встановлені файли Total (а) в C: WINOWSsystem32. Потім запускаємо редактора реєстру (команда regedit у командному рядку або «пуск» – «виконати» …), знаходимо гілку HKEY / USERS / DEFAULT / Control Panel / Desktop. У строковому параметрі «SCRNSAVE.EXE» змінюємо значення scrnsave.scr на Totalcmd.exe.


Там же знаходиться ще один строковий параметр «ScreenSaveTimeOut». Цей параметр відповідає за час, через який повинен запуститися хранитель екрану. У ньому змінюємо значення 600 на 100, і чекати доведеться приблизно 2 хвилини. Іноді цього не достатньо. Щоб спрацювало все на 100%, запускаємо в редакторі реєстру пошук, прописуємо туди SCRNSAVE.EXE і шукаємо всі параметри з такою назвою, змінюючи значення на вище зазначені. Так само не забуваємо змінювати і значення параметра ScreenSaveTimeOut.


Коли ж запуститься Total Commander, у користувача з’являється доступ до всіх документів інших облікових записів. Є можливість змінити тип свого облікового запису, встановити будь-які програми, змінити параметри комп’ютера. Найпростіше – це увійшовши в управління комп’ютером («локальні користувачі і групи», «користувачі»), можна скинути пароль адміністратора або замінити його своїм і після, входити в систему з правами адміністратора.


Захиститься, від цього можна, заборонивши запуск зберігача екрану. В гілки HKEY / USERS / DEFAULT / Control Panel / Desktop, встановіть значення параметрам «ScreenSaveTimeOut» і «ScreenSaveActive» рівне нулю. Але це не сильно допоможе, тому що значення можна поміняти, встановивши потрібний для запуску Screensaver (а). Щоб цього не сталося, забороніть зміну розділів реєстру HKLM і DEFAULT для користувачів з обмеженими можливостями, дозволивши проводити операції з реєстром тільки системі та адміністратора. Виконати це можна запустивши редактора реєстру, виділити потрібний розділ, увійти в закладку правка та вибрати «дозволу». У вікні виберіть групу користувачів і встановіть прапорці, що забороняють для вибраної групи редагування реєстру.


Далі розглянемо метод проникнення на комп’ютер з правами адміністратора за допомогою деяких програм. Паролі облікових записів зберігаються в файлах SAM і System, які знаходяться в C: WINDOWSsystem32config і захищені системою від копіювання або зміни. Скопіювати ці файли допоможе Multi Password Recovery. У можливості цієї програми входить відновлення різних паролів: поштові клієнти, ICQ, браузери і т.д. На панелі є кнопка SAM. Натиснувши її, копіюємо файл SAM, а разом з ним скопіюється і System у вказане вами місце. Потім, встановлюємо і запускаємо програму Proactive Password Auditor. Перше, що необхідно зробити – це провести читання з пам’яті комп’ютера, зазначивши функцію «пам’ять локального комп’ютера» і натиснувши кнопку «отримати». Ця дія покаже паролі будь-якої складності всіх користувачів, входили в свої облікові записи. Але подіє це, якщо не проводилася перезавантаження, а робився вихід із системи, надаючи комп’ютер у ваше користування. Якщо ж потрібний пароль не знайдений, відзначаємо функцію «Файл реєстру (SAM і System)», тиснемо «отримати» і у вікні вказуємо розташування раніше скопійованих файлів SAM і System. Якщо паролі не складні, то вони будуть показані. Якщо ж ні, то відкриваємо закладку «Атака повним перебором» і вибираємо набір символів, за якими відбуватиметься підбір. Якщо приблизно відомо, з яких символів складається пароль, то можна створити користувальницький набір. Час, витрачений на підбір пароля, буде залежати від його складності.


Програма Proactive System Password Recovery має більш великі можливості, ніж Proactive Password Auditor. З її допомогою можна змінити ім’я і пароль всіх облікових записів, а також скинути пароль адміністратора. Програма відразу ж показує пароль тієї облікового запису, з-під якої вона була запущена. Тому, залишаючи робоче місце навіть на 1-2 хвилини, робіть вихід із системи. Також можна переглянути все, що заховано за зірочками, дізнатися логін і пароль на підключення до мережі та багато іншого.


Proactive System Password Recovery і Proactive Password Auditor були створені фірмою ElcomSoft (http://www.elcomsoft.com). Початкове призначення їх полягало в тестуванні паролів на стійкість, але, ні як не для злому. Однак ніхто не зможе заборонити використовувати їх у зловмисних цілях.


На даний момент існує безліч програм для підбору паролів, але перераховувати їх не має сенсу. Будь зацікавився чоловік, за допомогою інтернету, зможе знайти описи їх можливостей і завантажити собі на комп’ютер. Захист же від такого способу атаки існує. А полягає вона в складності пароля. Щоб пароль вийшов складним, бажано використовувати кириличний і латинський алфавіти разом, додаючи різні символи, а довжина його, повинна бути не менше 15! знаків. Такі паролі вважаються надійними, а програми не можуть їх обробити за розумний час і вимагають місяці, а то й роки на їх обробку. І чим частіше ви міняєте пароль, тим менше шансів на успіх у зловмисника.


Ще один із способів, як можна дізнатися пароль адміністратора – це клавіатурні шпигуни (keylogger). Таких програм предостатньо. Однак не всі з них ефективні. Одна з кращих – Invisible Keylogger Stealth. Перевага її полягає в тому, що вона записує пароль, що вводиться в екрані вітання при реєстрації користувача. Недолік – при установці потрібні права адміністратора. Захиститися від таких програм допоможе будь антивірус. Всі клавіатурні шпигуни визначаються як «Потенційно небезпечне ПО». Також ці програми можна використовувати і в цілях захисту, встановивши на комп’ютер, адміністратор може стежити за діями користувачів.


Ну і ще дещо для захисту. Існує програми для захисту жорсткого диска. Одна з таких – Disk Password Protection (http://www.exlade.ru/). В її можливості входить:


1. Установка пароля на завантаження системи. До тих пір поки не буде введений правильний пароль, системний завантажувач не може бути лічений з диска, а отже система не зможе завантажитися.


2. Захист розділів. При включенні захисту будь-якого з розділів диска, вводиться пароль, і цей розділ стає невидимим для системи. Побачити і проникнути на нього не допоможе ні завантаження зі знімного носія, ні підключення до іншого комп’ютера з іншою операційною системою. Не варто розраховувати на видалення програми, тому що і після цього розділ залишається невидимим. Побачити його можна тільки в управлінні жорсткими дисками або за допомогою програм для роботи з HDD. І це не допоможе. Розділ розпізнається як неразеченная область і перегляд наявної інформації недоступний. Зняти захист можна тільки за допомогою Disk Password Protection, знаючи правильний пароль.


3. Установка пароля на запуск програми. Це обмежить використання програми іншими користувачами.
Є один спосіб роздобути інформацію з таких розділів. Для цього потрібно відформатувати розділ, створивши логічний диск. Як відомо, вся вилучена інформація з допомогою спеціальних програм може бути відновлена ​​навіть після форматування. Але використання такого варіанту доцільно тільки в крайніх випадках або при вимушених обставин. І не факт, що все відновиться без втрат.


Що ж робити, якщо нічого не допомогло? Як заздалегідь запобігти витоку інформації?


Всі паролі та документи, що представляють цінність, зберігати бажано на знімних носіях, таких, як флеш-накопичувачі або USB-HDD (зовнішній жорсткий диск), доступ до яких має тільки їх власник. Не копіюйте важливі документи на вбудований жорсткий диск, тому що після видалення вони можуть бути відновлені. В іншому випадку використовуйте програми для безпечного видалення. Принцип роботи таких програм полягає в тому, що вони затирають файли, роблячи їх непридатними до відновлення.


Підіб’ємо підсумки. Описані вище дії широко відомі і найчастіше використовуються простими обивателями. А знаючи, звідки може статися напад, легше захищатися. Звичайно ж, є такі фахівці, які зможуть обійти будь-який захист, але їх приблизно: один з тисячі. Будьте уважними, слідкуйте за змінами системи. Зайва обережність вам не зашкодить.


PS: Дана стаття призначена тільки для тих, кому в силу яких обставин необхідно відновити свої паролі і захистити особисту інформацію. Автор не несе відповідальності за використання вище описаного матеріалу в протизаконних цілях.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*