Phenquestions
In un post precedente, abbiamo visto come aggirare la schermata di accesso in Windows 7 e versioni precedenti sfruttando Accesso automatico strumento offerto da Microsoft. È stato anche detto che il vantaggio principale dell'utilizzo dello strumento AutoLogon è che la password non è memorizzata in modulo di testo normale come si fa quando si aggiungono manualmente le voci di registro. Viene prima crittografato e poi archiviato in modo che anche l'amministratore del PC non abbia accesso allo stesso. Nel post di oggi parleremo di come decifrare il Password predefinita valore salvato nell'editor del registro utilizzando Accesso automatico attrezzo.
Per prima cosa, avresti ancora bisogno di avere Privilegi di amministratore per decifrare il Password predefinita valore. Il motivo alla base di questa ovvia restrizione è che tali dati del sistema e degli utenti crittografati sono disciplinati da una politica di sicurezza speciale, sa come knows Autorità di sicurezza locale (LSA) che concede l'accesso solo all'amministratore di sistema. Quindi, prima di procedere alla decrittografia delle password, diamo un'occhiata a questa politica di sicurezza e ai relativi know-how.
LSA - Che cos'è e come memorizza i dati
LSA viene utilizzato da Windows per gestire la politica di sicurezza locale del sistema ed eseguire il processo di controllo e autenticazione sugli utenti che accedono al sistema salvando i propri dati privati in una posizione di archiviazione speciale. Questa posizione di archiviazione è chiamata Segreti LSASA dove vengono salvati e protetti i dati importanti utilizzati dalla politica LSA. Questi dati sono archiviati in forma crittografata nell'editor del registro, nel HKEY_LOCAL_MACHINE/ Sicurezza/ Politica/ Segreti chiave, che non è visibile agli account utente generici a causa di restrizioni Elenchi di controllo di accesso (ACL). Se disponi dei privilegi amministrativi locali e conosci i segreti di LSA, puoi accedere alle password RAS/VPN, alle password di accesso automatico e ad altre password/chiavi di sistema. Di seguito è riportato un elenco per citarne alcuni.
- $MACCHINA.ACC: Relativo all'autenticazione del dominio
- Password predefinita: valore della password crittografata se l'accesso automatico è abilitato
- NL$KM: Chiave segreta utilizzata per crittografare le password di dominio memorizzate nella cache
- L$RTMTIMEBOMB: Per memorizzare l'ultimo valore della data per l'attivazione di Windows
Per creare o modificare i segreti, è disponibile un set speciale di API per gli sviluppatori di software. Qualsiasi applicazione può accedere alla posizione di LSA Secrets ma solo nel contesto dell'account utente correntecurrent.
Come decifrare la password di accesso automatico
Ora, per decifrare e sradicare il Password predefinita valore memorizzato in LSA Secrets, si può semplicemente emettere una chiamata API Win32. È disponibile un semplice programma eseguibile per ottenere il valore decrittografato di DefaultPassword value. Segui i passaggi seguenti per farlo:
- Scarica il file eseguibile da qui: ha una dimensione di soli 2 KB.
- Estrai il contenuto di DeAutoLogon.cerniera lampo file.
- Fare clic con il pulsante destro del mouse DeAutoLogon.EXE file ed eseguilo come amministratore.
- Se hai la funzione AutoLogon abilitata, il valore DefaultPassword dovrebbe essere proprio di fronte a te.
Se provi a eseguire il programma senza i privilegi di amministratore, ti imbatterai in un errore. Quindi, assicurati di acquisire i privilegi di amministratore locale prima di eseguire lo strumento. Spero questo sia di aiuto!
Grida nella sezione commenti qui sotto nel caso tu abbia qualche domanda.
