Дешифрование защищенной информации / восстановление паролей
Теория. Сие знание здесь явно не будет раскрыто, ибо для дешифрования информации нужно быть хоть чуть-чуть крипто-аналитиком, знать основные принципы шифрования, наиболее распространенные крипто-алгоритмы (смотри "Криптографическая ЗИ") и владеть несколькими языками программирования. Т. е. по сути, быть инженером-программистом. Это отдельная тема разговора в отдельной книге. Однако не расстраивайтесь. Если данные зашифрованы в файле стандартного формата, не стоит тратить время на дешифрование данных, проще подобрать пароль, что и реализовано в множестве программ. Как известно при шифровании данных в файле хранится не сам пароль, а его хеш-сумма. Зная положение этой хеш-суммы, можно осуществить атаку по подбору оригинального пароля. Обычно используется либо метод полного перебора — при этом перебираются все возможные комбинации паролей, а на каждом шаге получения комбинации из нее формируется ее хеш-сумма, которая и сравнивается с хеш-суммой в файле. Другим вариантом является атака по словарю — в этом случае всё аналогично методу перебора, только вместо перебора комбинаций используется отдельный файл, содержащий наиболее употребимые пароли, и из них уже формируются сравниваемые хеш-суммы.
Цель. Взлом защищенных данных.
Методика. Существуют множество программ для взлома наиболее популярных и распространенных форматов файлов.
PWLInside 1.22
Поддерживаемые ОС: Win 9x/Me/2000/XP.
Технические характеристики:
Подбор забытых паролей к *.PWL-файлам операционных систем Windows'3.11/95/OSR2/98/ME методом полного перебора.
Подбор забытых паролей к *.PWL-файлам операционных систем Windows'OSR2/98/ME по внешнему словарю.
Получение списка всех ресурсов с паролями к ним, расположенных в исходном *.PWL-файле при нахождении правильного пароля, либо при использовании ключа /P с верным паролем.
Расшифровка паролей к ресурсам из реестра от всех вышеперечисленных операционных систем, сохраненного в текстовом виде.
Преимущества:
Перебор паролей в 2–3 раза быстрее, чем у аналогичных программ.
Официальный сайт: http://www.insidepro.com/rus/pwlinside.shtml/
* Примечание. Так называемые PWL-файлы — это файлы с именами пользователей компьютера и с расширениями *.PWL (к примеру, Master.PWL, Sales.PWL и пр.), которые находятся в системной директории Windows. Это файлы, в которых хранятся различные аккаунты конкретного пользователя, т. е. в нем находятся пароли к расшаренным ресурсам сети (к которым подключался данный юзер, а не к ресурсам текущего компьютера), пароли на вход в NetWare/NT-сервера, пароли на Dial-Up-соединения и пр. Естественно, эти данные зашифрованы определенными алгоритмами и для их дешифрования необходимо знать пароль пользователя — а это фактически пароль на вход в Windows. А так как людям свойственно забывать свои пароли, то подбор пароля, во-первых, позволяет его «вспомнить», а, во-вторых, позволяет просмотреть список аккаунтов этого пользователя, которые Windows сохраняет в этом PWL-файле.
SAMInside 2.1
Поддерживаемые ОС: Win 9x/Me/2000/XP.
Технические характеристики:
Получение информации о пользователях из SAM-файлов Windows'NT/2000/XP.
Подбор паролей пользователей из SAM-файлов операционной системы Windows'NT.
Подбор паролей пользователей из SAM-файлов операционных систем Windows'2000/XP, зашифрованных системным ключом Syskey!
Преимущества: Перебор паролей в несколько раз быстрее, чем у аналогичных программ.
Недостатки: Программа платная, в демо-версии нельзя использовать другой алфавит для перебора (цифры, национальные символы и пр.), кроме заглавных латинских букв, а также нельзя производить перебор паролей по словарю.
Официальный сайт: http://www.insidepro.com/rus/saminside.shtml/
PacketCatch 1.0
Поддерживаемые ОС: Win 9x/Me/2000/XP.
Технические характеристики:
Перехват SMB-пакетов операций входа в сеть пользователей и отображение следующей полученной информации: имя пользователя; IP адрес, с которого произведен вход; IP адрес сервера, на который произведен вход; Challenge сессии; зашифрованный LMHash; зашифрованный NTHash.
Установка маски подсети, в которой производить перехват.
Сохранение результатов в формате, который понимают другие программы для восстановления паролей к хэшам пользователей.
Официальный сайт: http://www.insidepro.com/rus/packetcatch.shtml/