Jak odszyfrować wartość DefaultPassword zapisaną w rejestrze dla AutoLogona

We wcześniejszym poście zobaczyliśmy, jak obejść ekran logowania w systemie Windows 7 i starszych wersjach, korzystając z narzędzia AutoLogon oferowanego przez firmę Microsoft. Wspomniano również, że główną zaletą korzystania z narzędzia AutoLogon jest to, że twoje hasło nie jest przechowywane w formularzu tekstowym, tak jak w przypadku ręcznego dodawania wpisów rejestru. Jest najpierw szyfrowany, a następnie zapisywany, aby nawet administrator komputera nie miał do niego dostępu. W dzisiejszym poście porozmawiamy o tym, jak odszyfrować wartość DefaultPassword zapisaną w edytorze rejestru za pomocą narzędzia AutoLogon.

Po pierwsze, nadal trzeba mieć Uprawnienia administratora w celu odszyfrowania wartości DefaultPassword. Powodem tego oczywistego ograniczenia jest to, że taki zaszyfrowany system i dane użytkownika są zarządzane przez specjalną politykę bezpieczeństwa, znaną jako Lokalny organ bezpieczeństwa (LSA) , który przyznaje dostęp tylko administratorowi systemu. Zanim przejdziemy do odszyfrowywania haseł, przyjrzyjmy się tej polityce bezpieczeństwa i jej powiązanym know-hows.

LSA - co to jest i jak przechowuje dane

LSA jest używane przez system Windows do zarządzania lokalną polityką bezpieczeństwa systemu oraz do przeprowadzania procesu audytu i uwierzytelniania użytkowników logujących się do systemu podczas zapisywania swoich prywatnych danych do specjalnego miejsca przechowywania. Ta lokalizacja przechowywania nosi nazwę LSA Secrets , w której ważne dane używane przez zasady LSA są zapisywane i chronione. Te dane są przechowywane w zaszyfrowanej formie w edytorze rejestru, w kluczu HKEY_LOCAL_MACHINE / Security / Policy / Secrets , który nie jest widoczny dla ogólnych kont użytkowników z powodu ograniczonych list kontroli dostępu (ACL). Jeśli posiadasz lokalne uprawnienia administracyjne i znasz swoje LSA Secrets, możesz uzyskać dostęp do haseł RAS / VPN, haseł Autologon i innych haseł systemowych / kluczy. Poniżej znajduje się lista nazw kilku.

• $ MACHINE.ACC : Powiązane z uwierzytelnianiem domeny
• DefaultPassword : Zaszyfrowane hasło, jeśli włączony jest AutoLogon
• NL $ KM : Sekret klucz używany do szyfrowania haseł przechowywanych w pamięci podręcznej
• L $ RTMTIMEBOMB : Aby zachować wartość ostatniej daty dla aktywacji systemu Windows

Aby utworzyć lub edytować sekrety, dostępny jest specjalny zestaw interfejsów API dla programistów. Każda aplikacja może uzyskać dostęp do lokalizacji LSA Secrets, ale tylko w kontekście bieżącego konta użytkownika.

Jak odszyfrować hasło AutoLogon

Teraz, aby odszyfrować i wykorzenić wartość DefaultPassword przechowywane w LSA Secrets, można po prostu wywołać wywołanie Win32 API. Dostępny jest prosty program wykonywalny do uzyskania odszyfrowanej wartości DefaultPassword. Wykonaj poniższe czynności, aby to zrobić:

1. Pobierz plik wykonywalny stąd - ma tylko 2 KB.
2. Wyodrębnij zawartość pliku DeAutoLogon.zip.
3. Kliknij prawym przyciskiem myszy DeAutoLogon.exe plik i uruchom go jako Administrator.
4. Jeśli masz włączoną funkcję Autogowanie, wartość DefaultPassword powinna znajdować się tuż przed tobą.

Jeśli próbujesz uruchomić program bez uprawnień administratora, wystąpił błąd. Dlatego przed uruchomieniem narzędzia upewnij się, że uzyskałeś uprawnienia administratora lokalnego. Mam nadzieję, że to pomoże!

Zgłoś się w sekcji komentarzy poniżej, jeśli masz jakieś pytanie.