Получение хэшей паролей из файла SAM

Учетные записи пользователей, содержащие в том числе имена пользователей и их пароли, хранятся в реестре Windows NT/2000/XP/2003, а именно в той его части, которая находится в файле SAM (Security Account Manager (англ.) - диспетчер защиты учетных записей). Этот файл можно найти на диске в каталоге %SystemRoot%system32config, на диске аварийного восстановления системы или на резервной магнитной ленте.

К файлу SAM в каталоге %SystemRoot%system32config нельзя получить доступ, пока Windows NT/2000/XP/2003 загружена, так как он открыт операционной системой. Если имеется физический доступ к машине, необходимо скопировать файл, загрузив на этой машине другую копию операционной системы или другую операционную систему. Если Windows NT/2000/XP/2003 установлена на диске с файловой системой NTFS, то для MS-DOS и Windows 95/98/Me дополнительно нужны программы, обеспечивающие доступ к диску с NTFS из этих операционных систем. В MS-DOS могут быть использованы NTFSDOS и NTFSDOS Professional, в Windows 95/98/Me - NTFS for Windows 98 (авторами являются Mark Russinovich, Bryce Cogswell). Для доступа из операционной системы Linux требуется включение поддержки NTFS. Также можно загрузиться с дискеты и скопировать файл SAM, предварительно запустив обеспечивающую доступ к разделам с NTFS программу. После этого нужно выполнить импорт файла SAM. Извлечение хэшей паролей из файла SAM было разработано и впервые реализовано в программе SAMDump (автор Дмитрий Андрианов). При импорте файла SAM осуществляется получение списка учетных записей пользователей, содержащихся в файле SAM. Процесс импорта файла SAM подобен получению хэшей паролей методом pwdump за исключением того, что вместо функций Windows API, обеспечивающих работу с реестром Windows, используется их эмуляция. При выполнении импорта файла SAM из программы SAMDump все нелатинские буквы, имеющиеся в именах пользователей, будут искажены. Программа LCP лишена этого недостатка.

Способом получения файла SAM в операционной системе Windows NT, не требующим перезагрузки машины, является копирование его из каталога %SystemRoot% epair или с диска аварийного восстановления. Каждый раз, когда в Windows NT создается диск аварийного восстановления с помощью программы RDISK, файл SAM запаковывается и сохраняется в файл sam._, являющийся резервной копией файла SAM. Файл sam._ представляет из себя архив в формате cabinet. Этот файл может быть распакован командой "expand sam._ sam". Недостатком этого способа является то, что с момента создания диска аварийного восстановления пароли могли измениться и, возможно, файл sam._ содержит устаревшие данные. В программе LCP имеется встроенная возможность импорта файла SAM и из файла sam._, избавляющая от необходимости использования программы expand. При импорте списка учетных записей пользователей из файла sam._ он предварительно распаковывается, затем выполняется непосредственно импорт файла SAM.

Файл SAM также копируется, когда создается полная резервная копия. Если имеется доступ к резервной копии, можно восстановить файл SAM из %SystemRoot%system32config на другую машину и затем извлечь из него хэши паролей. Недостатком и этого способа также является то, что с момента последнего сеанса создания резервной копии пароли могли измениться.

Существует служебная программа SYSKEY, впервые появившаяся в составе Service Pack 3 для Windows NT. Программа SYSKEY дополнительно зашифровывает хэши паролей учетных записей, что делает бесполезным импорт файла SAM с помощью программы SAMDump. SYSKEY может использоваться в одном из трех вариантов:

* сгенерированный ключ запуска записывается на локальный жесткий диск в реестр в зашифрованном виде;

* для получения ключа запуска берется пароль, выбранный администратором и вводимый во время загрузки операционной системы;

* сгенерированный ключ запуска записывается на дискету, которая должна быть вставлена во время загрузки операционной системы.

По умолчанию используется хранение ключа запуска в реестре. Подробнее о программе SYSKEY можно прочитать в статье KB143475 Windows NT System Key Permits Strong Encryption of the SAM.

Служебная программа SYSKEY в операционной системе Windows NT для дополнительной защиты паролей учетных записей после установки Service Pack соответствующей версии должна быть активизирована вручную. В операционных системах Windows 2000/XP/2003 программа SYSKEY изначально присутствует и активизирована.

Импорт файла SAM, дополнительно зашифрованного SYSKEY, впервые был реализован в программе SAMInside (авторами являются PolASoft и Ocean). Алгоритм SYSKEY первым опубликовал FlashSky из Xfocus Team. Для выполнения импорта при хранении ключа запуска в реестре необходимо открыть файлы SAM и SYSTEM, предварительно скопировав их из каталога %SystemRoot%system32config. Если недостаточно места на дискете, файлы могут быть сжаты до копирования. Резервные копии файлов также могут находиться в каталоге %SystemRoot% epair, если ранее выполнялась архивация. При хранении ключа запуска на дискете кроме файла SAM нужен файл StartKey.Key для выполнения импорта.

Импорт файла SAM без дополнительного шифрования или с дополнительным шифрованием хэшей паролей при любом варианте хранения ключа запуска возможен в программе LCP.