Phenquestions
In een eerder bericht hebben we gezien hoe u het inlogscherm in Windows 7 en oudere versies kunt omzeilen door gebruik te maken van Automatisch aanmelden tool aangeboden door Microsoft. Er werd ook vermeld dat het grote voordeel van het gebruik van de AutoLogon-tool is dat uw wachtwoord niet wordt opgeslagen in platte tekst vorm zoals wordt gedaan wanneer u handmatig de registervermeldingen toevoegt. Het wordt eerst gecodeerd en vervolgens opgeslagen, zodat zelfs de pc-beheerder er geen toegang toe heeft. In de post van vandaag zullen we het hebben over het decoderen van de Standaard wachtwoord waarde opgeslagen in Register-editor met behulp van Automatisch aanmelden gereedschap.
First things first, je zou nog steeds moeten hebben Beheerdersrechten om de . te ontcijferen Standaard wachtwoord waarde. De reden achter deze voor de hand liggende beperking is dat dergelijke versleutelde systeem- en gebruikersgegevens worden beheerd door een speciaal beveiligingsbeleid, bekend als: Lokale veiligheidsautoriteit (LSA) die de toegang alleen verleent aan de systeembeheerder. Dus laten we, voordat we de wachtwoorden ontsleutelen, eens kijken naar dit beveiligingsbeleid en de bijbehorende knowhow.
LSA - Wat het is en hoe het gegevens opslaat
LSA wordt door Windows gebruikt om het lokale beveiligingsbeleid van het systeem te beheren en het audit- en authenticatieproces uit te voeren op de gebruikers die inloggen op het systeem, terwijl ze hun privégegevens opslaan op een speciale opslaglocatie. Deze opslaglocatie heet LSA-geheimen waar belangrijke gegevens die door het LSA-beleid worden gebruikt, worden opgeslagen en beschermd. Deze gegevens worden in gecodeerde vorm opgeslagen in de register-editor, in de HKEY_LOCAL_MACHINE/ Beveiliging/ Beleid/ Geheimen sleutel, die niet zichtbaar is voor algemene gebruikersaccounts vanwege beperkte Toegangscontrolelijsten (ACL). Als u de lokale beheerdersrechten heeft en de weg weet in LSA Secrets, kunt u toegang krijgen tot de RAS/VPN-wachtwoorden, Autologon-wachtwoorden en andere systeemwachtwoorden/sleutels. Hieronder staat een lijst om er een paar te noemen.
- $MACHINE.ACC: gerelateerd aan domeinverificatie
- Standaard wachtwoord: Versleutelde wachtwoordwaarde als AutoLogon is ingeschakeld
- NL$KM: geheime sleutel die wordt gebruikt om domeinwachtwoorden in de cache te versleutelen
- L$RTMTIMEBOMB: Om de laatste datumwaarde voor Windows-activering op te slaan
Om de geheimen aan te maken of te bewerken, is er een speciale set API's beschikbaar voor softwareontwikkelaars. Elke app kan toegang krijgen tot de locatie van LSA Secrets, maar alleen in de context van het huidige gebruikersaccount.
Hoe het AutoLogon-wachtwoord te decoderen
Nu, om de . te ontsleutelen en te ontwortelen Standaard wachtwoord waarde opgeslagen in LSA Secrets, kan men eenvoudig een Win32 API-aanroep uitvoeren. Er is een eenvoudig uitvoerbaar programma beschikbaar om de gedecodeerde waarde van de DefaultPassword-waarde te verkrijgen. Volg hiervoor de onderstaande stappen:
- Download het uitvoerbare bestand hier - het is slechts 2 KB groot.
- Extraheer de inhoud van DeAutoLogon.zip het dossier.
- Klik met de rechtermuisknop DeAutoLogon.exe bestand en voer het uit als beheerder.
- Als u de AutoLogon-functie hebt ingeschakeld, zou de DefaultPassword-waarde precies voor u moeten staan.
Als u het programma probeert uit te voeren zonder beheerdersrechten, zou u een fout tegenkomen. Zorg er daarom voor dat u lokale beheerdersrechten verwerft voordat u de tool uitvoert. Ik hoop dat dit helpt!
Schreeuw het uit in de comments hieronder voor het geval je vragen hebt.
