Offline NT Password & Registry Editor

[Dominik2]

Hallo,
ich habe kürzlich eine nettes Tool für Linux gefunden:
http://home.eunet.no/~pnordahl/ntpasswd/
Mit ihm kann man sein vergessenes NT Passwort neu setzen bzw. zurücksetzen. Vielleicht könnte es auch für ReactOS hilfreich sein? Man könnte ja zumindest entnehmen, wie und wo Windows die Passwort-Informationen speichert.

MfG
Dominik

[DangerGround]

Ich denke man sollte vermeiden, dass so ein Tool auch auf ReactOS einfluss hat, denn es stellt meiner einschätzung nach ein Sicherheitsrisiko dar, wenn man Administrator-Passwörter ändern kann.

[Dominik2]

Ich denke man sollte vermeiden, dass so ein Tool auch auf ReactOS einfluss hat, denn es stellt meiner einschätzung nach ein Sicherheitsrisiko dar, wenn man Administrator-Passwörter ändern kann.

Hallo,
dann wird es aber auch nicht helfen, einfach nicht mit Windows kompatibel zu sein! Es kann ja eh jeder den ReactOS-Quelltext einsehen und ein entsprechendes Tool daraus ableiten. Gegen solche offline "Angriffe" kann sich kein Betriebssystem effektiv schützen (da es ja zum Zeitpunkt des Angriffs nicht ausgeführt wird). Die einzige sinnvolle Lösung wäre Verschlüsselung der Daten auf der Festplatte, so eine Funktion sollte aber immer optional sein. Aber selbst das wäre wahrscheinlich einfach zu umgehen, da das BS ja selbst die Passwortdaten lesen muss, um überhaupt zu entscheiden, ob es gültig ist.

Aber mir ging es ja mehr darum evtl. nützliche Informationen aus dem Programm zu extrahieren.

MfG
Dominik

[Matthias]

Aber selbst das wäre wahrscheinlich einfach zu umgehen, da das BS ja selbst die Passwortdaten lesen muss, um überhaupt zu entscheiden, ob es gültig ist.

Nein, auf der Festplatte werden keine Passwörter sondern nur deren Hashes gespeichert. Deswegen kann das Tool die Passwörter auch nicht auslesen sondern nur ändern.

[frik85]

Du kannst es auch ohne solche Tools in WinNT (XP/2k3/etc.) den Bereich der Registry lesen falls du die nötigen Rechte besitzt.
Der "Administrator" User hat sie jedenfalls nicht. Nur ein User nähmlich "System" hat die Rechte. Die DAUs glauben "Administrator" ist das Pentant zu "Root" von Unix/Linux/BSD, es ist aber in wirklichkeit "System".
Wenn es dir gelingt regedit als "system" user zu starten, wirst du einen "SAM" Registry-Zweig sehen, dort sind die Infos gespeichert, natürlich nicht im Klartext wie in Linux & Co. so üblich

[Matthias]

Unter Windows bedeutet Administrator zwar nicht, dass man alle Rechte hat, aber man kann sich alle Rechte besorgen. SAM-Files kann man also auch als Administrator auslesen.

[Dominik2]

Nein, auf der Festplatte werden keine Passwörter sondern nur deren Hashes gespeichert. Deswegen kann das Tool die Passwörter auch nicht auslesen sondern nur ändern.

Ja, ich habe auch nie gesagt das Passwort selbst, sondern "Passwortdaten". Damit war der Hash gemeint, und den muss das BS ja lesen können, was zur selben Situation wie jetzt bei Windows führt. Das Original-Passwort ist somit natürlich nicht leicht - aber dennoch nicht unmöglich - wieder zu rekonstruieren.

Wenn es dir gelingt regedit als "system" user zu starten, wirst du einen "SAM" Registry-Zweig sehen, dort sind die Infos gespeichert, natürlich nicht im Klartext wie in Linux & Co. so üblich

Passwörter werden schon seit einer Ewigkeit nicht mehr in der /etc/passwd gespeichert (aber auch hier nicht im Klartext). Die Passwörter werden als Hash in /etc/shadow gespeichert, die nur von root manipuliert/gelesen werden kann. Hier sieht man deutlich, dass selbst das Lesen des Hashs den Linux-Leuten eine Dorn im Auge war. Da die Algorithmen ja alle bekannt sind, kann man sich die Arbeit beim Rekonstruieren etwas erleichtern und schon vorberechnete Hash-Listen aus dem Internet (oder sonst wo her) benutzen. Ja, ich weiß, man kann auch bei Linux die /etc/shadow mit einem Offline-Angriff (z.B.: Knoppix) lesen.

Aber ist ja auch egal:

Aber mir ging es ja mehr darum evtl. nützliche Informationen aus dem Programm zu extrahieren.

Ich habe nicht wegen irgendwelcher Sicherheitsbedenken/-probleme den Link hier gepostet, sondern weil man ja evtl. etwas was ReactOS nutzen könnte aus dem Programm gewinnen kann!

MfG
Dominik

[frik85]

Unter Windows bedeutet Administrator zwar nicht, dass man alle Rechte hat, aber man kann sich alle Rechte besorgen. SAM-Files kann man also auch als Administrator auslesen.

SAM kann nur "System" user auslesen. Wäre sonst ja auch ein Sicherheitsrisiko. Du kannst auch keine Prozesse "beenden" welche von "System" gestartet wurden. Und Administrator kann sich nicht alle Rechte besorgen, aber ziemlich viele.

Mit Strg+Alt+Entf wird immer winlogon kontaktiert, auch aus Sicherheitsgründen.

[ThePhysicist]

Es gibt ein nettes tool namens SAMInside, das kann den SAM hive einlesen (scheinbar nur die Kopie, da das original in Benutzung ist) und zeigt die Benutzer und Pw-Hashes an. Es kann diese auch aus dem laufenden lsass-Prozess auslesen, das fand ich sehr interessant.
Dann gibts dazu natürlich noch BruteForce- und Dict-Attack.

Hier zu finden: http://www.insidepro.com/

[ASM]

SAM kann nur "System" user auslesen.

Ja, ein Admin kann jedoch die Besitzrechte des Schlüssels übernehmen und sich dann die entsprechenden Zugriffsrechte zuweisen.

Du kannst auch keine Prozesse "beenden" welche von "System" gestartet wurden.

Also mit Process Explorer kann man ohne weiteres als Admin selbst Systemprozesse wie lsass.exe, smss.exe, winlogon.exe usw. abschießen. Und die laufen als "SYSTEM".
Nur der Task Manager erlaubt das nicht. Allerdings nicht weil der Zugriff verweigert wird, sondern weil es das System beeinträchtigen würde.

Und Administrator kann sich nicht alle Rechte besorgen, aber ziemlich viele.

Hm also ich wüsste keine Berechtigung, die sich ein Admin nicht holen könnte. Man muss sich nur mal "Benutzerrechte" (Lokale Sicherheitsrichtlinie) ansehen.

[RudBoy]

Also mit Process Explorer kann man ohne weiteres als Admin selbst Systemprozesse wie lsass.exe, smss.exe, winlogon.exe usw. abschießen. Und die laufen als "SYSTEM".
Nur der Task Manager erlaubt das nicht. Allerdings nicht weil der Zugriff verweigert wird, sondern weil es das System beeinträchtigen würde.

Und Administrator kann sich nicht alle Rechte besorgen, aber ziemlich viele.

Hm also ich wüsste keine Berechtigung, die sich ein Admin nicht holen könnte. Man muss sich nur mal "Benutzerrechte" (Lokale Sicherheitsrichtlinie) ansehen.

Hallo Forum,

verdammt lang her, also mit der aktuellen Version des Prozess Explorer 10. 2 .1 und den Microsoft Debuging Tools in der Version 6.6 0007.5 kann man einfach " - alle Prozesse - " abschiessen und debuggen auch als - Admin -.

Kein Wunder das MS diese Firma Sysinternals gekauft hat, hat doch Mark Russinovich der Firmenmitinhaber als - The ONE and ONLY -
--------

Code: Select all

Der Sicherheitsexperte und Windows-Spezialist Mark Russinovich von Sysinternals hat aufgedeckt, dass Sony auf einzelnen seiner mittels Digital Rights Management (DRM) kopiergeschützten CDs inzwischen eine Software einsetzt, die sich vor neugierigen Blicken versteckt und potenzielle Sicherheitslöcher reißt.

---------
# Die Meldung damals die die Welt aufrührte

http://www.heise.de/security/news/meldung/65602

# Zu den Guten Sachen die Freude machen

http://www.sysinternals.com/


So wie sein Name so die Tools wie DebugView - RegMonitor - FileMonitor - Autoruns - Rootkit Revelear usw... usf.... genial , freeware und zum grossen Teil mit Source.

Wenn ich euch wär würde ich mich beeilen die Tools herunterzuladen zum Teil mit Quellcode, die Zeit sie drängt, ehe MS die Tools auf seine Server holt und dann wars das.
Dann gibt es die nicht mehr für omme, ne dann muss glöhnt werden, und mit Quellcode offen, ein - Sakrileg - mindestens.

Viele Tools davon wurden unter anderen in Pascal geschrieben was ThePhysicist freuen dürfte , den Matthias aber dann eher weniger


mfg der RudBoy und tschüss und weg 8)