Offline NT Password & Registry Editor

Hier können Sie auf Deutsch diskutieren. Bedenken Sie, dass Sie in den englischen Foren mehr Nutzer ansprechen.

Moderators: frik85, EmuandCo, Dr. Fred

Post Reply
Dominik2
Posts: 141
Joined: Sat Dec 03, 2005 7:45 pm

Offline NT Password & Registry Editor

Post by Dominik2 »

Hallo,
ich habe kürzlich eine nettes Tool für Linux gefunden:
http://home.eunet.no/~pnordahl/ntpasswd/
Mit ihm kann man sein vergessenes NT Passwort neu setzen bzw. zurücksetzen. Vielleicht könnte es auch für ReactOS hilfreich sein? Man könnte ja zumindest entnehmen, wie und wo Windows die Passwort-Informationen speichert.

MfG
Dominik
DangerGround
Website Coordinator
Posts: 261
Joined: Mon Mar 20, 2006 1:48 am
Location: Ilmenau, Germany
Contact:

Post by DangerGround »

Ich denke man sollte vermeiden, dass so ein Tool auch auf ReactOS einfluss hat, denn es stellt meiner einschätzung nach ein Sicherheitsrisiko dar, wenn man Administrator-Passwörter ändern kann.
Dominik2
Posts: 141
Joined: Sat Dec 03, 2005 7:45 pm

Post by Dominik2 »

DangerGround wrote:Ich denke man sollte vermeiden, dass so ein Tool auch auf ReactOS einfluss hat, denn es stellt meiner einschätzung nach ein Sicherheitsrisiko dar, wenn man Administrator-Passwörter ändern kann.
Hallo,
dann wird es aber auch nicht helfen, einfach nicht mit Windows kompatibel zu sein! Es kann ja eh jeder den ReactOS-Quelltext einsehen und ein entsprechendes Tool daraus ableiten. Gegen solche offline "Angriffe" kann sich kein Betriebssystem effektiv schützen (da es ja zum Zeitpunkt des Angriffs nicht ausgeführt wird). Die einzige sinnvolle Lösung wäre Verschlüsselung der Daten auf der Festplatte, so eine Funktion sollte aber immer optional sein. Aber selbst das wäre wahrscheinlich einfach zu umgehen, da das BS ja selbst die Passwortdaten lesen muss, um überhaupt zu entscheiden, ob es gültig ist.

Aber mir ging es ja mehr darum evtl. nützliche Informationen aus dem Programm zu extrahieren.

MfG
Dominik
Matthias
Posts: 496
Joined: Tue Dec 27, 2005 12:43 am

Post by Matthias »

Dominik2 wrote:Aber selbst das wäre wahrscheinlich einfach zu umgehen, da das BS ja selbst die Passwortdaten lesen muss, um überhaupt zu entscheiden, ob es gültig ist.
Nein, auf der Festplatte werden keine Passwörter sondern nur deren Hashes gespeichert. Deswegen kann das Tool die Passwörter auch nicht auslesen sondern nur ändern.
frik85
Developer
Posts: 829
Joined: Fri Nov 26, 2004 7:48 pm
Location: Austria, Europe
Contact:

Post by frik85 »

Du kannst es auch ohne solche Tools in WinNT (XP/2k3/etc.) den Bereich der Registry lesen falls du die nötigen Rechte besitzt.
Der "Administrator" User hat sie jedenfalls nicht. Nur ein User nähmlich "System" hat die Rechte. Die DAUs glauben "Administrator" ist das Pentant zu "Root" von Unix/Linux/BSD, es ist aber in wirklichkeit "System".
Wenn es dir gelingt regedit als "system" user zu starten, wirst du einen "SAM" Registry-Zweig sehen, dort sind die Infos gespeichert, natürlich nicht im Klartext wie in Linux & Co. so üblich :wink:
Matthias
Posts: 496
Joined: Tue Dec 27, 2005 12:43 am

Post by Matthias »

Unter Windows bedeutet Administrator zwar nicht, dass man alle Rechte hat, aber man kann sich alle Rechte besorgen. SAM-Files kann man also auch als Administrator auslesen.
Dominik2
Posts: 141
Joined: Sat Dec 03, 2005 7:45 pm

Post by Dominik2 »

Matthias wrote: Nein, auf der Festplatte werden keine Passwörter sondern nur deren Hashes gespeichert. Deswegen kann das Tool die Passwörter auch nicht auslesen sondern nur ändern.
Ja, ich habe auch nie gesagt das Passwort selbst, sondern "Passwortdaten". Damit war der Hash gemeint, und den muss das BS ja lesen können, was zur selben Situation wie jetzt bei Windows führt. Das Original-Passwort ist somit natürlich nicht leicht - aber dennoch nicht unmöglich - wieder zu rekonstruieren.
frik85 wrote: Wenn es dir gelingt regedit als "system" user zu starten, wirst du einen "SAM" Registry-Zweig sehen, dort sind die Infos gespeichert, natürlich nicht im Klartext wie in Linux & Co. so üblich
Passwörter werden schon seit einer Ewigkeit nicht mehr in der /etc/passwd gespeichert (aber auch hier nicht im Klartext). Die Passwörter werden als Hash in /etc/shadow gespeichert, die nur von root manipuliert/gelesen werden kann. Hier sieht man deutlich, dass selbst das Lesen des Hashs den Linux-Leuten eine Dorn im Auge war. Da die Algorithmen ja alle bekannt sind, kann man sich die Arbeit beim Rekonstruieren etwas erleichtern und schon vorberechnete Hash-Listen aus dem Internet (oder sonst wo her) benutzen. Ja, ich weiß, man kann auch bei Linux die /etc/shadow mit einem Offline-Angriff (z.B.: Knoppix) lesen.

Aber ist ja auch egal:
Dominik2 wrote: Aber mir ging es ja mehr darum evtl. nützliche Informationen aus dem Programm zu extrahieren.
Ich habe nicht wegen irgendwelcher Sicherheitsbedenken/-probleme den Link hier gepostet, sondern weil man ja evtl. etwas was ReactOS nutzen könnte aus dem Programm gewinnen kann!

MfG
Dominik
frik85
Developer
Posts: 829
Joined: Fri Nov 26, 2004 7:48 pm
Location: Austria, Europe
Contact:

Post by frik85 »

Matthias wrote:Unter Windows bedeutet Administrator zwar nicht, dass man alle Rechte hat, aber man kann sich alle Rechte besorgen. SAM-Files kann man also auch als Administrator auslesen.
SAM kann nur "System" user auslesen. Wäre sonst ja auch ein Sicherheitsrisiko. Du kannst auch keine Prozesse "beenden" welche von "System" gestartet wurden. Und Administrator kann sich nicht alle Rechte besorgen, aber ziemlich viele.

Mit Strg+Alt+Entf wird immer winlogon kontaktiert, auch aus Sicherheitsgründen.
ThePhysicist
Developer
Posts: 508
Joined: Mon Apr 25, 2005 12:46 pm

Post by ThePhysicist »

Es gibt ein nettes tool namens SAMInside, das kann den SAM hive einlesen (scheinbar nur die Kopie, da das original in Benutzung ist) und zeigt die Benutzer und Pw-Hashes an. Es kann diese auch aus dem laufenden lsass-Prozess auslesen, das fand ich sehr interessant.
Dann gibts dazu natürlich noch BruteForce- und Dict-Attack.

Hier zu finden: http://www.insidepro.com/
ASM
Posts: 3
Joined: Fri Dec 30, 2005 9:35 pm

Post by ASM »

frik85 wrote: SAM kann nur "System" user auslesen.
Ja, ein Admin kann jedoch die Besitzrechte des Schlüssels übernehmen und sich dann die entsprechenden Zugriffsrechte zuweisen.
frik85 wrote: Du kannst auch keine Prozesse "beenden" welche von "System" gestartet wurden.
Also mit Process Explorer kann man ohne weiteres als Admin selbst Systemprozesse wie lsass.exe, smss.exe, winlogon.exe usw. abschießen. Und die laufen als "SYSTEM".
Nur der Task Manager erlaubt das nicht. Allerdings nicht weil der Zugriff verweigert wird, sondern weil es das System beeinträchtigen würde.
frik85 wrote: Und Administrator kann sich nicht alle Rechte besorgen, aber ziemlich viele.
Hm also ich wüsste keine Berechtigung, die sich ein Admin nicht holen könnte. Man muss sich nur mal "Benutzerrechte" (Lokale Sicherheitsrichtlinie) ansehen.
RudBoy
Posts: 105
Joined: Sun Apr 02, 2006 2:02 pm
Location: Näher als Du denkst
Contact:

Post by RudBoy »

ASM wrote: Also mit Process Explorer kann man ohne weiteres als Admin selbst Systemprozesse wie lsass.exe, smss.exe, winlogon.exe usw. abschießen. Und die laufen als "SYSTEM".
Nur der Task Manager erlaubt das nicht. Allerdings nicht weil der Zugriff verweigert wird, sondern weil es das System beeinträchtigen würde.
frik85 wrote: Und Administrator kann sich nicht alle Rechte besorgen, aber ziemlich viele.
Hm also ich wüsste keine Berechtigung, die sich ein Admin nicht holen könnte. Man muss sich nur mal "Benutzerrechte" (Lokale Sicherheitsrichtlinie) ansehen.
Hallo Forum,

verdammt lang her, also mit der aktuellen Version des Prozess Explorer 10. 2 .1 und den Microsoft Debuging Tools in der Version 6.6 0007.5 kann man einfach " - alle Prozesse - " abschiessen und debuggen auch als - Admin -.

Kein Wunder das MS diese Firma Sysinternals gekauft hat, hat doch Mark Russinovich der Firmenmitinhaber als - The ONE and ONLY -
--------

Code: Select all

Der Sicherheitsexperte und Windows-Spezialist Mark Russinovich von Sysinternals hat aufgedeckt, dass Sony auf einzelnen seiner mittels Digital Rights Management (DRM) kopiergeschützten CDs inzwischen eine Software einsetzt, die sich vor neugierigen Blicken versteckt und potenzielle Sicherheitslöcher reißt.
---------
# Die Meldung damals die die Welt aufrührte

http://www.heise.de/security/news/meldung/65602

# Zu den Guten Sachen die Freude machen

http://www.sysinternals.com/


So wie sein Name so die Tools wie DebugView - RegMonitor - FileMonitor - Autoruns - Rootkit Revelear usw... usf.... genial , freeware und zum grossen Teil mit Source.

Wenn ich euch wär würde ich mich beeilen die Tools herunterzuladen zum Teil mit Quellcode, die Zeit sie drängt, ehe MS die Tools auf seine Server holt und dann wars das.
Dann gibt es die nicht mehr für omme, ne dann muss glöhnt werden, und mit Quellcode offen, ein - Sakrileg - mindestens.

Viele Tools davon wurden unter anderen in Pascal geschrieben was ThePhysicist freuen dürfte :lol: , den Matthias aber dann eher weniger :(


:arrow: mfg der RudBoy und tschüss und weg 8) :lol:
Am Anfang war alle Software frei. (Georg Greve, FSFE)
Post Reply

Who is online

Users browsing this forum: Google [Bot] and 1 guest