1. Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері Зміст статті
2. У чужий монастир зі своєю флешкою
3. Швидке завантаження з флешки
4. INFO
5. Відкриваємо доступ до диска
6. Потоки NTFS допоможуть отримати доступ до файлів
7. Створюємо секретний розділ без підтримки прав доступу
8. Обходимо антивірус Касперського
9. Додаємо троянську ятати
10. Обходимо локальні групові політики
11. Струшуємо доменні політики
12. Обходимо просунуті заборони на запуск програм
13. Створюємо хитрі ярлики
14. Включаємо USB (7-ма різними способами)
15. 1. Порти фізично відключені
16. 2. Порти відключені в BIOS / UEFI
17. 3. Вилучені драйвери контролера USB
18. 4. Заблоковано окремі пристрої USB
19. 5. USB-накопичувачі заборонені через групову політику
20. 6. Обмежені права на читання файлів usbstor.inf і usbstor.pnf в каталозі \ Windows \ Inf
21. 7. Підключення пристроїв по USB контролюється окремою програмою
22. Підключаємося до інтернету
23. Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері
24. У чужий монастир зі своєю флешкою
25. Швидке завантаження з флешки
26. INFO
27. Відкриваємо доступ до диска
28. Потоки NTFS допоможуть отримати доступ до файлів
29. Створюємо секретний розділ без підтримки прав доступу
30. Обходимо антивірус Касперського
31. Додаємо троянську ятати
32. Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері
33. У чужий монастир зі своєю флешкою
34. Швидке завантаження з флешки
35. INFO
36. Відкриваємо доступ до диска
37. Потоки NTFS допоможуть отримати доступ до файлів
38. Створюємо секретний розділ без підтримки прав доступу
39. Обходимо антивірус Касперського
40. Додаємо троянську ятати
41. Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері
42. У чужий монастир зі своєю флешкою
43. Швидке завантаження з флешки
44. INFO
45. Відкриваємо доступ до диска
46. Потоки NTFS допоможуть отримати доступ до файлів
47. Створюємо секретний розділ без підтримки прав доступу
48. Обходимо антивірус Касперського
49. Додаємо троянську ятати
50. Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері
51. У чужий монастир зі своєю флешкою
52. Швидке завантаження з флешки
53. INFO
54. Відкриваємо доступ до диска
55. Потоки NTFS допоможуть отримати доступ до файлів
56. Створюємо секретний розділ без підтримки прав доступу
57. Обходимо антивірус Касперського
58. Додаємо троянську ятати
59. Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері
60. У чужий монастир зі своєю флешкою
61. Швидке завантаження з флешки
62. INFO
63. Відкриваємо доступ до диска
64. Потоки NTFS допоможуть отримати доступ до файлів
65. Створюємо секретний розділ без підтримки прав доступу
66. Обходимо антивірус Касперського
67. Додаємо троянську ятати
68. Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері
69. У чужий монастир зі своєю флешкою
70. Швидке завантаження з флешки
71. INFO
72. Відкриваємо доступ до диска
73. Потоки NTFS допоможуть отримати доступ до файлів
74. Створюємо секретний розділ без підтримки прав доступу
75. Обходимо антивірус Касперського
76. Додаємо троянську ятати
77. Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері
78. У чужий монастир зі своєю флешкою
79. Швидке завантаження з флешки
80. INFO
81. Відкриваємо доступ до диска
82. Потоки NTFS допоможуть отримати доступ до файлів
83. Створюємо секретний розділ без підтримки прав доступу
84. Обходимо антивірус Касперського
85. Додаємо троянську ятати
86. Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері
87. У чужий монастир зі своєю флешкою
88. Швидке завантаження з флешки
89. INFO
90. Відкриваємо доступ до диска
91. Потоки NTFS допоможуть отримати доступ до файлів
92. Створюємо секретний розділ без підтримки прав доступу
93. Обходимо антивірус Касперського
94. Додаємо троянську ятати
95. Обходимо локальні групові політики
96. Струшуємо доменні політики
97. Обходимо просунуті заборони на запуск програм
98. Створюємо хитрі ярлики
99. Включаємо USB (7-ма різними способами)
100. 1. Порти фізично відключені
101. 2. Порти відключені в BIOS / UEFI
102. 3. Вилучені драйвери контролера USB
103. 4. Заблоковано окремі пристрої USB
104. 5. USB-накопичувачі заборонені через групову політику
105. 6. Обмежені права на читання файлів usbstor.inf і usbstor.pnf в каталозі \ Windows \ Inf
106. 7. Підключення пристроїв по USB контролюється окремою програмою
107. Підключаємося до інтернету

Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері

Зміст статті

Коли ти приходиш на роботу і виявляєш, що на комп'ютері щось заборонено, а в Мережі - заблоковано, це сприймається майже як виклик. У своїй статті я розповім, які бувають методи обмежень і як з ними боротися. Багато з описаних трюків мені доводилося проробляти самостійно - звичайно ж, виключно з благими намірами.

Зрозуміло, що обмеження важливі для безпеки і зниження навантаження на енікейщіков, але зазвичай рівень технічної підготовки у співробітників різний, а правила одні на всіх. Якщо ти відчуваєш, що обмеження заважають роботі і особистої свободи, а також розсудливо оцінивши наслідки, то у тебе є всі шанси власноруч поліпшити умови.

У чужий монастир зі своєю флешкою

Отримання потрібних прав на робочому комп'ютері в загальному випадку починається з завантаження іншої ОС з набором «хакерських» утиліт. Ми вже писали про те, як створити Мультизавантажувальний флешку , А зараз пройдемося по важливих деталей.

Буває, що завантажитися з перевіреною флешки або Live CD дуже непросто навіть при наявності фізичного доступу до комп'ютера. Завантаження з довільного носія не уявляла проблем до появи EFI. Просто входиш в настройки BIOS і міняєш порядок завантаження в розділі Boot. На одних компах для цього треба було натиснути Delete, на інших F2 - в будь-якому випадку потрібна клавіша вказувалася на екрані або в мануалі. Зараз же в UEFI використовується список довірених загрузчиков і два різних режиму стартовою послідовності, а завантаження Windows 8, 8.1 і 10 для прискорення може відбуватися прямо з EFI без жодних пропозицій увійти в налаштування.

Якщо ти відразу бачиш завантаження Windows і не встигаєш нічого зробити, то дочекайся її запуску і виконай одну з таких дій:

1. Натисни «перезавантажити» на екрані привітання Windows, утримуючи ліву кнопку Shift.
2. Уже після завантаження зайди в «Параметри → Оновлення та безпеку → Відновлення → Особливі варіанти завантаження». Натисни «Перезавантажити зараз → Пошук і усунення несправностей → Додаткові параметри → Параметри завантаження».
3. Як варіант - можеш ввести shutdown.exe / R / O в командному рядку.

Незалежно від обраного способу відбудеться перезавантаження з вибором параметрів, і ти зможеш опинитися в налаштуваннях BIOS / UEFI.

Якщо права жорстко обмежені і увійти в налаштування Windows 10 СОФТОВА методом неможливо, можеш спробувати фізично відключити HDD / SSD. Тоді при наступному завантаженні з'явиться повідомлення про помилку і відобразиться пункт для входу в UEFI.

Може здатися, що відключити харчування HDD на робочому комп'ютері складно, особливо якщо корпус опечатаний. Просто натисни на пластикову заглушку слота 5,25 ", яка зазвичай розташовується на фронтальній панелі. Трохи сильніше. Я сказав: «трохи»! Відчуваєш, як прогинається? Продавивши її міліметра на три, спробуй ухопити край і витягнути заглушку. У отвір спокійно пролазить рука до середини передпліччя, навіть якщо ти регулярно ходиш в гойдалку. Через цю амбразуру при належній вправності можна не тільки кабель відключити, але і майже весь комп перебрати. Метод нагадує ремонт двигуна через вихлопну трубу, але діє в реальному житті. Виняток становлять нестандартні корпусу - наприклад, повністю алюмінієві.

Швидке завантаження з флешки

Полегшити життя може опція швидкого вибору завантажувального пристрою, реалізована в деяких прошивках. Якщо вона є і активна, то при включенні комп'ютера крім повідомлення "Press [key] to enter setup» з'явиться ще одне: «... or [key] for boot menu». Зазвичай це клавіші Enter, F1 - F12, їх поєднання з клавішами Alt, Ctrl, Ins і Esc. Повний список варіантів зайняв би не одну сторінку, так що краще шукати відповідь в мануалі до конкретної материнської плати.

Так чи інакше, ти потрапляєш в настройки BIOS. З великою ймовірністю для завантаження з флешки також доведеться змінити параметр Boot List Option. За замовчуванням він зазвичай коштує в новому режимі UEFI, а на флешці використовується GRUB з запуском через MBR. Тому нам потрібен або старий режим Legacy / CSM, або обидва, але з пріоритетом класичного: Legacy / CSM + UEFI. Іноді цей пункт відсутній в списку. Тоді підтримку Legacy доведеться попередньо активувати на іншій вкладці. Зазвичай цей пункт називається Load Legacy Option Rom. Там же відключається захищений метод завантаження Secure Boot. При бажанні можна не відключати його, а додати власні ключі довірених загрузчиков, але опис цього методу виходить за рамки статті.

Іншою перешкодою може стати парольний захист BIOS / UEFI. Нагадую, що пароль зазвичай записаний на зворотному боці батарейки на материнській платі. Просто витягни її і переверни. Як не бачиш пароля? Дивно ... Гаразд, вставляй назад. Поки ти крутив батарейку, він випарувався разом з іншими даними CMOS. Якщо ветеринарні методи комп'ютерних операцій тобі чужі або відкрити корпус проблематично (наприклад, він стоїть біля всіх на виду), то спробуй ввести інженерний пароль. Він гуглити по виробнику BIOS і загальний у всіх материнських плат однієї серії.

Інший спосіб софтового скидання пароля на вхід в BIOS - викликати помилку в контрольній сумі блоків даних. Для цього є утиліта Крістофа Греньє CmosPwd . Вона прямо з Windows робить запис в CMOS. Метод не спрацює, якщо утиліту заблокує антивірус або якщо перезапис CMOS була попередньо відключена на низькому рівні.

INFO

На деяких ноутбуках, ультрабуках і неттопах тимчасове знеструмлення CMOS не приводить до скидання пароля входу в BIOS / UEFI, оскільки він зберігається в окремій мікросхемі незалежній пам'яті. У таких випадках можна відновити пароль за кодом помилки. Цей код відображається після триразового введення неправильного пароля і являє собою хеш від збереженого пароля. Оскільки хеш-функції незворотні, то обчислити пароль безпосередньо не можна. Однак існують програми, що підбирають пароль з таким самим значенням згортки. Це може бути як заданий пароль, так і інша комбінація символів, що дає такий же хеш при перевірці. Зайти в налаштування можна за допомогою одного з них, так як перевіряється саме хеш. Зверни увагу, що на деяких ноутбуках Dell при введенні пароля треба натискати Ctrl + Enter. Якщо нічого не допомогло, то залишається скористатися паяльником і програматором, але це вже хардкор для інженерів сервіс-центрів.

Відкриваємо доступ до диска

Отже, припустимо, що ми успішно завантажилися з флешки і готові до подвигів. З чого почнемо? Перше обмеження, з яким стикається звичайний користувач, - відсутність прав читання і записи в певних каталогах. Вільно використовувати він може тільки домашню папку, що не дуже зручно.

Такі обмеження задані на рівні списків управління доступом в файлової системі NTFS, але звірятися з ними зобов'язана тільки сама вінда. Інші ОС та окремі утиліти здатні ігнорувати ці обмеження. Наприклад, Linux і програми для відновлення даних не використовують WinAPI, а звертаються до диска або через свої драйвери, або безпосередньо. Тому вони просто не бачать виставлені в NTFS атрибути безпеки і читають все підряд.

Зробити копію будь-яких даних ти можеш вже на цьому етапі. Єдине можливе перешкоду - шифрування розділів. Вбудований захист BitLocker допоможуть подолати утиліти ElcomSoft (до речі кажучи, як і багато інших віртуальні паркани), а ось TrueCrypt, VeraCrypt і інші серйозні криптографічні контейнери доведеться розкривати інакше. Найпростіше робити це методами соціального інжинірингу, оскільки технічний захист у цих коштів на порядок вище, ніж психологічна у власника, - см. реальні приклади з життя .

Замінити права доступу теж нескладно. Завантажившись з флешки, ти стаєш адміном в тій же Windows PE і робиш з диском що хочеш. Однак цікавіше зберегти права в основній системі, для чого треба стати адміном саме в ній. Для цього найзручніше скористатися однією з утиліт для скидання паролів. Наприклад, найпростіша програма NT Password Edit Вадима Дружина була написана більше десяти років тому, але актуальна до сих пір. З її допомогою можна видалити або задати новий пароль будь-якого облікового запису Windows.

NT Password Edit

У більшості випадків цієї утиліти виявляється досить. Далі залишаються лише рутинні операції на зразок зміни власника і переустановлення дозволів для обраних каталогів. Трохи більше можливостей дає ще одна подібна утиліта - Active @ Password Changer . Разом з іншими утилітами Active @ вона додається на флешку як крихітний образ .ima, тому запуск безкоштовної старої (але ще корисною) версії можливий навіть без завантаження WinPE.

Активуємо відключені акаунти

Password Changer також дозволяє скинути пароль будь-якого облікового запису і вміє розблокувати її, якщо вона була відключена раніше.

Ще більше функцій у програми Reset Windows Password. З її допомогою можна не тільки скидати паролі, але і замітати сліди злому.

Скидання, дамп і замітання слідів

Подібно SAMInside, вона дозволяє копіювати паролі і хеши для їх аналізу на іншій машині - так їх простіше розкрити вже в спокійній обстановці (див. Статтю «Великий парольний коллайдер» в номері 194 ). Підібрати адмінських пароль куди цікавіше, ніж просто скинути його: з вихідним паролем ти будеш менше світитися в логах, тоді як грубий злом можуть швидко помітити.

Ще один тонкий варіант - додати в систему нового користувача, наділити його бажаними правами і приховати цей обліковий запис. Якщо користувачів десятки, то зайвого побачать нескоро. Проробивши це, ти зможеш логінитися під звичайним обліковим записом, не викликаючи підозр, а при необхідності запускати будь-яку програму від імені одного тобі відомої учеткі з повним доступом. Звичайно, повністю сховати її не вдасться, але хоча б на екрані вітання вона маячити не буде. Для цього достатньо змінити підрозділ UserList в реєстрі.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Шукаємо розділ SpecialAccounts або створюємо його, якщо не знайшовся. В цьому розділі шукаємо або створюємо підрозділ UserList, а в ньому - новий параметр типу DWORD з ім'ям прихованою учеткі. Якщо привласнити йому нульове значення, то відповідна обліковий запис не буде доступний широкому ні на екрані вітання, ні в загальному списку з панелі управління.

Можна піти далі і посилити конспірацію. Для цього знаходимо ключі з промовистою назвою dontdisplaylastusername і DontDisplayLockedUserId в цій гілці:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Першому присвоюємо значення 0x00000001, а другого - 0x00000002. Поточний і останній використаний аккаунт також зникнуть з екрану блокування.

Потоки NTFS допоможуть отримати доступ до файлів

Як вже зазначалося вище, більшість прав доступу на робочих комп'ютерах з Windows задається на рівні файлової системи NTFS. Тут саме час згадати про файлові потоки і особливості синтаксису. Згідно універсального угоди про іменування файлів (UNC), двокрапка відокремлює букву диска від подальшої долі. В NTFS цей знак використовується ще і як роздільник між власне ім'ям файлу і пов'язаним з ним файловим потоком.

Якщо настройки прав для кожного файлу і каталогу Windows коректні, то немає різниці, як саме звертаються до об'єктів файлової системи. Доступ завжди буде блокуватися при відсутності необхідних дозволів. Однак настройка прав - довга рутинна операція, яку в останні роки адміни часто стали спрощувати, використовуючи сторонні програми. Далеко не всі з них (навіть сертифіковані) коректно працюють з файловими потоками. Тому, якщо не вдається прочитати filename.ext, спробуй звернутися до потоку даних цього файлу за допомогою конструкції filename.ext: stream: $ DATA або filename.ext :: $ DATA.

Наприклад, якщо у тебе немає доступу до файлу passwords.txt, то наступна команда все одно виведе його вміст на екран:

more & lt; passwords.txt :: $ DATA

Приблизно так само можна скопіювати вміст файлу, перенаправивши висновок команди more нема на екран, а в інший файл.

more & lt; passwords.txt :: $ DATA & gt; pass.txt

Це не повинно спрацьовувати при коректному виставленні обмежень читання / запису, але адміни частенько не обтяжують себе аудитом прав доступу на кожен об'єкт файлової системи. На реальному комп'ютері нерідко виходить гримуча суміш з явно заданих і успадкованих прав, протиріччями в яких можна скористатися в своїх інтересах.

Читаємо файл з потоку даних прямо в консоль

До речі, про механізми успадкування. Трапляються ситуації, коли адмін забороняє доступ до подкаталогу для певних користувачів, але залишає для них же повний доступ до тек верхнього рівня. При цьому виникає явне протиріччя, і обмеження перестають діяти. Наприклад, відсутність прав на читання файлу не працює, якщо дозволено читати список містить його каталогу. Аналогічно і з видаленням.

Створюємо секретний розділ без підтримки прав доступу

Іноді адміни забороняють тільки виконання файлів. Наприклад, щоб користувач не зміг запустити якусь програму. Обійти це обмеження можна, просто скопіювавши її на розділ FAT32 (як варіант - на ту ж флешку), де права доступу вже задати неможливо. Їх просто не підтримує сама файлова система. Якщо ж постійно користуватися флешкою ​​занадто ризиковано, то можна зробити хитріше. Один раз запустити з неї будь-редактор дискових розділів, зменшити розмір системного, а на звільненому місці створити новий том FAT32 і (опціонально) приховати його.

Створюємо прихований розділ FAT32

Прихованим майданчиках не присвоюється літера диска, тому вони не відображаються в «Провіднику» і файлових менеджерах. Змонтувати його в Windows можна через Управління дисками - diskmgmt.msc. Необхідні права для запуску цього інструменту ти вже призначив собі на минулому етапі, коли дізнавався пароль адміна або створював нового.

Якщо на розділ FAT32 копіювалися документи, бази або мультимедійні дані, то вони будуть відкриватися без проблем. Ніщо не завадить і запускати простий софт, який ставиться розпакуванням: на новому місці все буде працювати, як і раніше. Ось з встановленими програмами не все так просто. У них доведеться міняти шляху в налаштуваннях. Це або файли .cfg і .ini в тому ж каталозі, або ключі реєстру. Змінити ключі можна за допомогою віддаленого редактора реєстру, що запускається з флешки в тій же WinPE.

Редагуємо реєстр іншої ОС

З таким інструментом можна обійти і інші обмеження, прописані в реєстрі.

Обходимо антивірус Касперського

Велика частина заборон на дії користувача в Windows реалізована через реєстр і права доступу в NTFS. Однак є й інший варіант: установка спеціалізованих програм контролю.

Наприклад, софт «Лабораторії Касперського» завантажує власні драйвери з \ windows \ system32 \ drivers \ і sysnative \ drivers. З їх допомогою він перехоплює системні виклики і звернення до файлової системи, контролюючи як роботу програм, так і дії користувача. Зазвичай адмін закриває зміна налаштувань антивірусного софту паролем. Гарна новина полягає в тому, що є прості процедури скидання такого пароля.

«Антивірус Касперського SOS» і версії для Windows Workstation перевіряють ім'я головного файлу. Тому досить виконати наступне:

• перейменувати avp.exe (завантажившись в WinPE або в безпечному режимі);
• запустити перейменований файл після звичайного входу в систему;
• зайти в меню «Налаштування → Параметри», відключити самозахист і захист паролем;
• зберегти настройки, вивантажити антивирь і перейменувати його назад.

При бажанні можна задати власний пароль, щоб адмін зрозумів, як ти мучився, не знаючи його.

Цей метод не спрацює, якщо антивірус на твоєму компі налаштовується централізовано. Однак ти завжди можеш тимчасово нейтралізувати сторожа описаним вище способом.

З новими продуктами Касперського все ще простіше. Італійський консультант Kaspersky Lab Маттео Рівойра написав скрипт , Який автоматично визначає встановлену версію антивіруса і обнуляє заданий пароль. З батника видно, що в 32-бітних і 64-розрядних версіях вінди він зберігається в різних гілках реєстру:

HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ protected \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ KasperskyLab \ [імя_продукта] \ settings

Тому або просто запусти цей bat, або правуй реєстр вручну з-під WinPE. Просто перевір ці гілки і присв параметру EnablePasswordProtect нульове значення DWORD.

Додаємо троянську ятати

Мультізагрузочний флешка - справжній швейцарський ніж. Після завантаження з неї можна розблокувати приховані облікові записи, скидати паролі, правити реєстр і взагалі творити що завгодно. Проблема одна: її можуть помітити. Тому зробимо собі додатковий лаз, який не вимагає зовнішніх інструментів. Створити його можна в тому числі і через консоль відновлення. Так чи інакше, ти можеш зробити копію файлу utilman.exe, а потім замінити його на cmd.exe. Спочатку зробимо копію вихідного файлу.

copy% windir% \ system32 \ utilman.exe% windir% \ system32 \ utilman-new.exe

Потім Перезаписуємо вихідний файл utilman.exe файлом cmd.exe:

copy% windir% \ system32 \ cmd.exe% windir% \ system32 \ utilman.exe

Буква диска (системного розділу) в змінної% windir% не обов'язково буде C: \. Її можна дізнатися за допомогою утиліти diskpart - командою list volume.

Після заміни utilman.exe файлом cmd.exe при наступному завантаженні Windows ти побачиш звичний екран вітання. Тільки при кліці на «Спеціальні можливості» тепер буде відкриватися командний рядок.

У ній можна делать все ті ж, что и зазвічай. Например, можеш з'ясувати актуальний список обліковіх запісів командою net user и поміняти їх параметрами. Робиш з будь-яким профілем що завгодно - актівіруешь і деактівіруешь, міняєш паролі, змінюєш терміни їх дії і так далі. Детальніше про синтаксис читай .aspx) в довідці на сайті Microsoft.

Обходимо локальні групові політики

Детальніше про політиків поговоримо трохи пізніше (не люблю я їх, політиків), а поки розберемо найпростіший приклад - обмеження на запуск програм через адміністративні шаблони.

Адміни дуже люблять редактор gpedit.msc. Одна з найбільш затребуваних налаштувань в ньому називається «Виконувати тільки зазначені додатки Windows». Зазвичай за допомогою цього інструменту офісного планктону дозволяють запуск тільки додатків з білого списку. У нього вносять Word, Excel, калькулятор та інші прості речі. Всі інші імена виконуваних файлів автоматично потрапляють під заборону. Зверни увагу: саме імена. Тому беремо той же cmd.exe або totalcmd.exe, перейменовуємо в winword.exe і спокійно користуємося. Подивитися (і поміняти) обмеження можна через той же редактор віддаленого реєстру в WinPE. Вони записані в цій гілці:

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ RestrictRun

Струшуємо доменні політики

В домені комп'ютери управляються централізовано через групові політики, однак і цей заслін можна подолати. Найпростіший спосіб - не дати політикам завантажитися. Для цього запускаєш Windows в безпечному режимі або просто відключаєш машину від локальної мережі при включенні. У другому випадку ти зможеш залогінитися в домен навіть без фізичного підключення до нього, оскільки Windows кешує дані попереднього входу і при втраті зв'язку з контролером домену виконує перевірку локально.

Після входу можеш знову підключитися до локалке і працювати як зазвичай, тільки вже без активних політик. Мінус цього способу полягає в невибіркову підході. В політиках записані не тільки обмеження, але і додаткові ресурси, на зразок виділеної мережевий папки. Втім, до цього часу у тебе вже повинні бути достатні права, щоб відновити втрату самостійно.

Обходимо просунуті заборони на запуск програм

В домені використовується більш просунутий інструмент обмеження запуску програм - SRP. Він вміє перевіряти, крім імен виконуваних файлів, їх шляху, хеші та сертифікати. Простим перейменуванням файлів його НЕ обдурити. Як же бути? Аналогічно: просто не дати системі побачити ці обмеження.

За замовчуванням контролюється тільки запуск програм, але не динамічних бібліотек, оскільки тотальна перевірка забирає надто багато ресурсів.

Дефолтні настройки SRP

Ще в 2005 році Марк Руссинович написав утиліту Gpdisable . Вона виконує інжект бібліотеки в будь-який процес, і той перестає бачити заборони групової політики з відповідною гілки реєстру.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers

Потім схожу тактику реалізував Ерік Ракнер (Eric Rachner) в своїй утиліті Group Policy Bypassing Tool - тоді він ще був керівником команди Application Consulting Engineering (ACE team) в Microsoft.

Обидві програми мають однаковий недолік: щоб запустити їх і впровадити .dll, користувач вже повинен мати деякі адміністративні привілеї. Але якщо вони у нього є, то сенс в цих утиліти втрачається. Локального адміну ніщо не заважає прибрати обмеження доменних політик вручну.

У блозі ACROS Security років п'ять тому був описаний інший спосіб обходу доменних обмежень, який можна застосовувати в реальній ситуації з правами простого користувача.

1. Перейменовуємо впроваджується бібліотеку gpdisable.dll в deskpan.dll.
2. Створюємо нову папку з ім'ям files. {42071714-76d4-11d1-8b24-00a0c9068ff3}.
3. Розміщуємо в неї файл deskpan.dll і відкриваємо папку.
4. Створюємо в ній новий документ .rtf і відкриваємо його.

При цьому завантажується WordPad, який завантажує в пам'ять gpdisable.dll під виглядом deskpan.dll. Розберемо метод докладніше.

Deskpan.dll - це розширення CPL панорамування дисплея, стандартна бібліотека в Windows, на яку не поширюються обмеження SRP. В системі вона зареєстрована як COM-сервер з глобальним ідентифікатором класу {42071714-76d4-11d1-8b24-00a0c9068ff3}. Якщо ми запускаємо довірена додаток з папки, в назві якої є ID цього класу після точки, то воно створює екземпляр COM-сервера і виконує завантаження deskpan.dll з поточного робочого каталогу.

У викладеному варіанті цей метод працює тільки в Windows XP, але для більш свіжих версій вінди його нескладно модифікувати. Принцип залишається тим самим.

Наприклад, в Windows 7 можна використовувати COM-сервер AnalogCable Class (\ System32 \ PsisDecd.dll), зареєстрований з ідентифікатором CLSID {2E095DD0-AF56-47E4-A099-EAC038DECC24}. При зверненні до PsisDecd.dll завантажується бібліотека ehTrace.dll, пошуки якої починаються з поточного каталогу. Тому аналогічний сценарій впровадження gpdisable.dll можна реалізувати навіть за допомогою «Блокнота».

1. Перейменовуємо gpdisable.dll в ehTrace.dll.
2. Створюємо новий текстовий документ.
3. Створюємо каталог з ім'ям files. {2E095DD0-AF56-47E4-A099-EAC038DECC24} і поміщаємо в нього обидва файли (бібліотеку і текстовий документ).
4. Двічі натискаємо на текстовий файл і відкриваємо в «Блокноті» пункт «Зберегти як».

У цей момент в пам'ять завантажується gpdisable.dll.

Створюємо хитрі ярлики

Трюки з попереднього розділу можливі тому, що в Windows поряд зі звичайними папками використовуються папки-ярлики з зумовленими функціями. Наприклад, «Мій комп'ютер», «Панель управління» або «Принтери». Всі вони реалізовані як COM-сервери з відомими ідентифікаторами класу (CLSID). Всього їх більше ста, тому перерахую тільки нові в Windows 10:

• {3936E9E4-D92C-4EEE-A85A-BC16D5EA0819} - часто використовувані папки;
• {018D5C66-4533-4307-9B53-224DE2ED1FE6} - OneDrive;
• {679f85cb-0220-4080-b29b-5540cc05aab6} - панель швидкого доступу;
• {BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6} - безпека і обслуговування.

Будь-який з них можна використовувати для прихованого запуску своїх програм.

У прикладі нижче я створюю в призначеній для користувача директорії підпапку з ім'ям LPT3. {BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}. Ім'я до точки заборонено в Windows, оскільки збігається з назвою порту. Щоб його створити, потрібно запитати командний інтерпретатор послідовністю \\. \ І передати повний шлях до створюваного каталогу як аргумент в лапках.

Створюємо приховану видаляються папку

Після цієї команди отримуємо не видаляється штатними засобами каталог, який в провіднику відображається як LPT3. При подвійному натисканні на ньому вміст папки не відкривається. Замість цього запускається «Центр безпеки та обслуговування». При цьому лежать всередині папки файлів будуть доступні з командних файлів (.bat і .cmd) і з реєстру (наприклад, в секції автозавантаження).

Включаємо USB (7-ма різними способами)

Однією з перешкод для використання флешки може бути відключення адміном портів USB на твоєму комп'ютері. Зробити це можна різними способами, тому і методи протидії потрібні різні.

1. Порти фізично відключені

Таке можливо тільки з додатковими портами, які підключаються кабелем до материнської плати. Задні порти розпаяні на самій материнке, і їх мінімум дві штуки. Тому принеси з дому копійчаний хаб, застроми його замість мишки або клавіатури і підключай всю штатну периферію через нього. Другий залиш для завантажувальної флешки.

2. Порти відключені в BIOS / UEFI

Адмін може відключити як порти взагалі (рідкісний випадок), так і окрему опцію USB Boot. Саме вона відповідає за можливість завантаження з USB-носіїв. Як входити в налаштування BIOS, ми вже розібрали, а відшукати потрібну опцію не складе труднощів.

3. Вилучені драйвери контролера USB

Хитрі адміни просто зносять драйвери USB через диспетчер пристроїв, але тебе це не зупинить. Завантажитися з флешки відсутність драйверів не завадить. Ставши локальним адміном, ти легко доустановити відсутні драйвери - Windows сама запропонує це зробити.

4. Заблоковано окремі пристрої USB

Більш тонкий метод - заборона використання саме USB-накопичувачів. При цьому інші типи пристроїв з інтерфейсом USB продовжують працювати. Здається обмеження через гілку реєстру

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR

При значенні параметра Start 0x00000004 використання флешок і зовнішніх дисків заборонено, а при 0x00000003 - дозволено. Боротися з цим можна тим же методом, що і в попередньому пункті: завантажується з флешки і міняємо секцію USBSTOR через офлайновий редактор реєстру.

5. USB-накопичувачі заборонені через групову політику

Редактор групових політик дозволяє задати адміністративний шаблон, який забороняє доступ до знімних запам'ятовуючим пристроям. Знову завантажується з флешки, дізнаємося пароль локального адміністратора (або скидаємо, якщо не вдалося дізнатися), попутно активуємо учетку, якщо вона була відключена. Після цього запускаємо gpedit.msc і відключаємо заборона.

Відключаємо заборона на використання USB-накопичувачів

6. Обмежені права на читання файлів usbstor.inf і usbstor.pnf в каталозі \ Windows \ Inf

Черговий трюк з правами NTFS. Якщо неможливо звернутися до цих файлів в обмеженою облікового запису, то чи не будуть підключатися флешки. Використовуємо права локального адміна або просто переміщаємо ці файли через WinPE на тому FAT32. Після зворотного переміщення в \ inf \ права доступу злетять.

7. Підключення пристроїв по USB контролюється окремою програмою

На допомогу адмінам було написано безліч утиліт для обмеження використання флешок і зовнішніх дисків. Більшість таких програм просто змінює значення згаданої вище гілки реєстру, але є і просунуті варіанти. Такі вміють запам'ятовувати дозволені флешки за номером томи (VSN - Volume Serial Number) і блокувати інші. Можна просто вивантажити процеси цих програм з пам'яті або підмінити VSN. Це 32-бітове значення, яке присвоюється тому при його форматуванні за значенням поточної дати і часу.

Дізнаємося серійний номер тому

Дізнатися VSN довіреної флешки можна командою vol або dir. За допомогою програми Volume Serial Number Changer привласнюєш такий же номер своєї флешці і вільно їй користуєшся. Для надійності заміни ще й мітку тому (просто через властивості диска).

Інший варіант протидії - порушувати роботу програм контролю, часом завантажуючись з флешки і змінюючи назви її робочих файлів (або видаляючи з автозавантаження). Якщо робити все акуратно, адмін вважатиме програму глючной і сам видалить її.

Несподівана перешкода для використання флешок виникає на комп'ютерах з посереднім блоком живлення (читай - на більшості дешевих робочих машин) без жодних старань адміна. Справа в тому, що шина 5 В просаживается настільки, що флешці не вистачає живлення. В такому випадку відключи інший пристрій з сусіднього (парного) USB-порту або використовуй активний хаб з власним блоком живлення. Через нього можна живити хоч зовнішній вінчестер.

Підключаємося до інтернету

Маса обмежень на роботі стосується використання інтернету. У загальному випадку їх можна обійти, перенаправляючи весь трафік на непідконтрольний компанії сервер. Наприклад, використовувати анонімний проксі-сервер через браузерні аддон FoxyProxy або аналогічний. Якщо міняти адресу проксі частіше, то обчислити його використання буде складніше. Піднявши проксі-сервер будинку, ти підвищиш швидкість і захищеність з'єднання, а заодно і отримаєш доступ до своєї локалке.

Додаємо свій або публічний проксі

Іноді проблема полягає не стільки в забороні відвідування певних сайтів, скільки в квотою трафіку. Зробити безлімітне підключення сьогодні найпростіше за допомогою смартфона. Підключивши вигідний тариф на мобільний інтернет, можна роздавати трафік по Wi-Fi або використовувати USB-tethering. Підключений кабелем смартфон не світиться в ефірі і викликає менше підозр. Ти його заряджати від робочого комп'ютера, які проблеми?

Всі описані методи мають обмежене застосування через різноманіття варіантів конфігурації. Покрокові інструкції застарівають швидко, але загальні принципи залишаються незмінними роками.

Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері

Зміст статті

Коли ти приходиш на роботу і виявляєш, що на комп'ютері щось заборонено, а в Мережі - заблоковано, це сприймається майже як виклик. У своїй статті я розповім, які бувають методи обмежень і як з ними боротися. Багато з описаних трюків мені доводилося проробляти самостійно - звичайно ж, виключно з благими намірами.

Зрозуміло, що обмеження важливі для безпеки і зниження навантаження на енікейщіков, але зазвичай рівень технічної підготовки у співробітників різний, а правила одні на всіх. Якщо ти відчуваєш, що обмеження заважають роботі і особистої свободи, а також розсудливо оцінивши наслідки, то у тебе є всі шанси власноруч поліпшити умови.

У чужий монастир зі своєю флешкою

Отримання потрібних прав на робочому комп'ютері в загальному випадку починається з завантаження іншої ОС з набором «хакерських» утиліт. Ми вже писали про те, як створити Мультизавантажувальний флешку , А зараз пройдемося по важливих деталей.

Буває, що завантажитися з перевіреною флешки або Live CD дуже непросто навіть при наявності фізичного доступу до комп'ютера. Завантаження з довільного носія не уявляла проблем до появи EFI. Просто входиш в настройки BIOS і міняєш порядок завантаження в розділі Boot. На одних компах для цього треба було натиснути Delete, на інших F2 - в будь-якому випадку потрібна клавіша вказувалася на екрані або в мануалі. Зараз же в UEFI використовується список довірених загрузчиков і два різних режиму стартовою послідовності, а завантаження Windows 8, 8.1 і 10 для прискорення може відбуватися прямо з EFI без жодних пропозицій увійти в налаштування.

Якщо ти відразу бачиш завантаження Windows і не встигаєш нічого зробити, то дочекайся її запуску і виконай одну з таких дій:

1. Натисни «перезавантажити» на екрані привітання Windows, утримуючи ліву кнопку Shift.
2. Уже після завантаження зайди в «Параметри → Оновлення та безпеку → Відновлення → Особливі варіанти завантаження». Натисни «Перезавантажити зараз → Пошук і усунення несправностей → Додаткові параметри → Параметри завантаження».
3. Як варіант - можеш ввести shutdown.exe / R / O в командному рядку.

Незалежно від обраного способу відбудеться перезавантаження з вибором параметрів, і ти зможеш опинитися в налаштуваннях BIOS / UEFI.

Якщо права жорстко обмежені і увійти в налаштування Windows 10 СОФТОВА методом неможливо, можеш спробувати фізично відключити HDD / SSD. Тоді при наступному завантаженні з'явиться повідомлення про помилку і відобразиться пункт для входу в UEFI.

Може здатися, що відключити харчування HDD на робочому комп'ютері складно, особливо якщо корпус опечатаний. Просто натисни на пластикову заглушку слота 5,25 ", яка зазвичай розташовується на фронтальній панелі. Трохи сильніше. Я сказав: «трохи»! Відчуваєш, як прогинається? Продавивши її міліметра на три, спробуй ухопити край і витягнути заглушку. У отвір спокійно пролазить рука до середини передпліччя, навіть якщо ти регулярно ходиш в гойдалку. Через цю амбразуру при належній вправності можна не тільки кабель відключити, але і майже весь комп перебрати. Метод нагадує ремонт двигуна через вихлопну трубу, але діє в реальному житті. Виняток становлять нестандартні корпусу - наприклад, повністю алюмінієві.

Швидке завантаження з флешки

Полегшити життя може опція швидкого вибору завантажувального пристрою, реалізована в деяких прошивках. Якщо вона є і активна, то при включенні комп'ютера крім повідомлення "Press [key] to enter setup» з'явиться ще одне: «... or [key] for boot menu». Зазвичай це клавіші Enter, F1 - F12, їх поєднання з клавішами Alt, Ctrl, Ins і Esc. Повний список варіантів зайняв би не одну сторінку, так що краще шукати відповідь в мануалі до конкретної материнської плати.

Так чи інакше, ти потрапляєш в настройки BIOS. З великою ймовірністю для завантаження з флешки також доведеться змінити параметр Boot List Option. За замовчуванням він зазвичай коштує в новому режимі UEFI, а на флешці використовується GRUB з запуском через MBR. Тому нам потрібен або старий режим Legacy / CSM, або обидва, але з пріоритетом класичного: Legacy / CSM + UEFI. Іноді цей пункт відсутній в списку. Тоді підтримку Legacy доведеться попередньо активувати на іншій вкладці. Зазвичай цей пункт називається Load Legacy Option Rom. Там же відключається захищений метод завантаження Secure Boot. При бажанні можна не відключати його, а додати власні ключі довірених загрузчиков, але опис цього методу виходить за рамки статті.

Іншою перешкодою може стати парольний захист BIOS / UEFI. Нагадую, що пароль зазвичай записаний на зворотному боці батарейки на материнській платі. Просто витягни її і переверни. Як не бачиш пароля? Дивно ... Гаразд, вставляй назад. Поки ти крутив батарейку, він випарувався разом з іншими даними CMOS. Якщо ветеринарні методи комп'ютерних операцій тобі чужі або відкрити корпус проблематично (наприклад, він стоїть біля всіх на виду), то спробуй ввести інженерний пароль. Він гуглити по виробнику BIOS і загальний у всіх материнських плат однієї серії.

Інший спосіб софтового скидання пароля на вхід в BIOS - викликати помилку в контрольній сумі блоків даних. Для цього є утиліта Крістофа Греньє CmosPwd . Вона прямо з Windows робить запис в CMOS. Метод не спрацює, якщо утиліту заблокує антивірус або якщо перезапис CMOS була попередньо відключена на низькому рівні.

INFO

На деяких ноутбуках, ультрабуках і неттопах тимчасове знеструмлення CMOS не приводить до скидання пароля входу в BIOS / UEFI, оскільки він зберігається в окремій мікросхемі незалежній пам'яті. У таких випадках можна відновити пароль за кодом помилки. Цей код відображається після триразового введення неправильного пароля і являє собою хеш від збереженого пароля. Оскільки хеш-функції незворотні, то обчислити пароль безпосередньо не можна. Однак існують програми, що підбирають пароль з таким самим значенням згортки. Це може бути як заданий пароль, так і інша комбінація символів, що дає такий же хеш при перевірці. Зайти в налаштування можна за допомогою одного з них, так як перевіряється саме хеш. Зверни увагу, що на деяких ноутбуках Dell при введенні пароля треба натискати Ctrl + Enter. Якщо нічого не допомогло, то залишається скористатися паяльником і програматором, але це вже хардкор для інженерів сервіс-центрів.

Відкриваємо доступ до диска

Отже, припустимо, що ми успішно завантажилися з флешки і готові до подвигів. З чого почнемо? Перше обмеження, з яким стикається звичайний користувач, - відсутність прав читання і записи в певних каталогах. Вільно використовувати він може тільки домашню папку, що не дуже зручно.

Такі обмеження задані на рівні списків управління доступом в файлової системі NTFS, але звірятися з ними зобов'язана тільки сама вінда. Інші ОС та окремі утиліти здатні ігнорувати ці обмеження. Наприклад, Linux і програми для відновлення даних не використовують WinAPI, а звертаються до диска або через свої драйвери, або безпосередньо. Тому вони просто не бачать виставлені в NTFS атрибути безпеки і читають все підряд.

Зробити копію будь-яких даних ти можеш вже на цьому етапі. Єдине можливе перешкоду - шифрування розділів. Вбудований захист BitLocker допоможуть подолати утиліти ElcomSoft (до речі кажучи, як і багато інших віртуальні паркани), а ось TrueCrypt, VeraCrypt і інші серйозні криптографічні контейнери доведеться розкривати інакше. Найпростіше робити це методами соціального інжинірингу, оскільки технічний захист у цих коштів на порядок вище, ніж психологічна у власника, - см. реальні приклади з життя .

Замінити права доступу теж нескладно. Завантажившись з флешки, ти стаєш адміном в тій же Windows PE і робиш з диском що хочеш. Однак цікавіше зберегти права в основній системі, для чого треба стати адміном саме в ній. Для цього найзручніше скористатися однією з утиліт для скидання паролів. Наприклад, найпростіша програма NT Password Edit Вадима Дружина була написана більше десяти років тому, але актуальна до сих пір. З її допомогою можна видалити або задати новий пароль будь-якого облікового запису Windows.

NT Password Edit

У більшості випадків цієї утиліти виявляється досить. Далі залишаються лише рутинні операції на зразок зміни власника і переустановлення дозволів для обраних каталогів. Трохи більше можливостей дає ще одна подібна утиліта - Active @ Password Changer . Разом з іншими утилітами Active @ вона додається на флешку як крихітний образ .ima, тому запуск безкоштовної старої (але ще корисною) версії можливий навіть без завантаження WinPE.

Активуємо відключені акаунти

Password Changer також дозволяє скинути пароль будь-якого облікового запису і вміє розблокувати її, якщо вона була відключена раніше.

Ще більше функцій у програми Reset Windows Password. З її допомогою можна не тільки скидати паролі, але і замітати сліди злому.

Скидання, дамп і замітання слідів

Подібно SAMInside, вона дозволяє копіювати паролі і хеши для їх аналізу на іншій машині - так їх простіше розкрити вже в спокійній обстановці (див. Статтю «Великий парольний коллайдер» в номері 194 ). Підібрати адмінських пароль куди цікавіше, ніж просто скинути його: з вихідним паролем ти будеш менше світитися в логах, тоді як грубий злом можуть швидко помітити.

Ще один тонкий варіант - додати в систему нового користувача, наділити його бажаними правами і приховати цей обліковий запис. Якщо користувачів десятки, то зайвого побачать нескоро. Проробивши це, ти зможеш логінитися під звичайним обліковим записом, не викликаючи підозр, а при необхідності запускати будь-яку програму від імені одного тобі відомої учеткі з повним доступом. Звичайно, повністю сховати її не вдасться, але хоча б на екрані вітання вона маячити не буде. Для цього достатньо змінити підрозділ UserList в реєстрі.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Шукаємо розділ SpecialAccounts або створюємо його, якщо не знайшовся. В цьому розділі шукаємо або створюємо підрозділ UserList, а в ньому - новий параметр типу DWORD з ім'ям прихованою учеткі. Якщо привласнити йому нульове значення, то відповідна обліковий запис не буде доступний широкому ні на екрані вітання, ні в загальному списку з панелі управління.

Можна піти далі і посилити конспірацію. Для цього знаходимо ключі з промовистою назвою dontdisplaylastusername і DontDisplayLockedUserId в цій гілці:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Першому присвоюємо значення 0x00000001, а другого - 0x00000002. Поточний і останній використаний аккаунт також зникнуть з екрану блокування.

Потоки NTFS допоможуть отримати доступ до файлів

Як вже зазначалося вище, більшість прав доступу на робочих комп'ютерах з Windows задається на рівні файлової системи NTFS. Тут саме час згадати про файлові потоки і особливості синтаксису. Згідно універсального угоди про іменування файлів (UNC), двокрапка відокремлює букву диска від подальшої долі. В NTFS цей знак використовується ще і як роздільник між власне ім'ям файлу і пов'язаним з ним файловим потоком.

Якщо настройки прав для кожного файлу і каталогу Windows коректні, то немає різниці, як саме звертаються до об'єктів файлової системи. Доступ завжди буде блокуватися при відсутності необхідних дозволів. Однак настройка прав - довга рутинна операція, яку в останні роки адміни часто стали спрощувати, використовуючи сторонні програми. Далеко не всі з них (навіть сертифіковані) коректно працюють з файловими потоками. Тому, якщо не вдається прочитати filename.ext, спробуй звернутися до потоку даних цього файлу за допомогою конструкції filename.ext: stream: $ DATA або filename.ext :: $ DATA.

Наприклад, якщо у тебе немає доступу до файлу passwords.txt, то наступна команда все одно виведе його вміст на екран:

more & lt; passwords.txt :: $ DATA

Приблизно так само можна скопіювати вміст файлу, перенаправивши висновок команди more нема на екран, а в інший файл.

more & lt; passwords.txt :: $ DATA & gt; pass.txt

Це не повинно спрацьовувати при коректному виставленні обмежень читання / запису, але адміни частенько не обтяжують себе аудитом прав доступу на кожен об'єкт файлової системи. На реальному комп'ютері нерідко виходить гримуча суміш з явно заданих і успадкованих прав, протиріччями в яких можна скористатися в своїх інтересах.

Читаємо файл з потоку даних прямо в консоль

До речі, про механізми успадкування. Трапляються ситуації, коли адмін забороняє доступ до подкаталогу для певних користувачів, але залишає для них же повний доступ до тек верхнього рівня. При цьому виникає явне протиріччя, і обмеження перестають діяти. Наприклад, відсутність прав на читання файлу не працює, якщо дозволено читати список містить його каталогу. Аналогічно і з видаленням.

Створюємо секретний розділ без підтримки прав доступу

Іноді адміни забороняють тільки виконання файлів. Наприклад, щоб користувач не зміг запустити якусь програму. Обійти це обмеження можна, просто скопіювавши її на розділ FAT32 (як варіант - на ту ж флешку), де права доступу вже задати неможливо. Їх просто не підтримує сама файлова система. Якщо ж постійно користуватися флешкою ​​занадто ризиковано, то можна зробити хитріше. Один раз запустити з неї будь-редактор дискових розділів, зменшити розмір системного, а на звільненому місці створити новий том FAT32 і (опціонально) приховати його.

Створюємо прихований розділ FAT32

Прихованим майданчиках не присвоюється літера диска, тому вони не відображаються в «Провіднику» і файлових менеджерах. Змонтувати його в Windows можна через Управління дисками - diskmgmt.msc. Необхідні права для запуску цього інструменту ти вже призначив собі на минулому етапі, коли дізнавався пароль адміна або створював нового.

Якщо на розділ FAT32 копіювалися документи, бази або мультимедійні дані, то вони будуть відкриватися без проблем. Ніщо не завадить і запускати простий софт, який ставиться розпакуванням: на новому місці все буде працювати, як і раніше. Ось з встановленими програмами не все так просто. У них доведеться міняти шляху в налаштуваннях. Це або файли .cfg і .ini в тому ж каталозі, або ключі реєстру. Змінити ключі можна за допомогою віддаленого редактора реєстру, що запускається з флешки в тій же WinPE.

Редагуємо реєстр іншої ОС

З таким інструментом можна обійти і інші обмеження, прописані в реєстрі.

Обходимо антивірус Касперського

Велика частина заборон на дії користувача в Windows реалізована через реєстр і права доступу в NTFS. Однак є й інший варіант: установка спеціалізованих програм контролю.

Наприклад, софт «Лабораторії Касперського» завантажує власні драйвери з \ windows \ system32 \ drivers \ і sysnative \ drivers. З їх допомогою він перехоплює системні виклики і звернення до файлової системи, контролюючи як роботу програм, так і дії користувача. Зазвичай адмін закриває зміна налаштувань антивірусного софту паролем. Гарна новина полягає в тому, що є прості процедури скидання такого пароля.

«Антивірус Касперського SOS» і версії для Windows Workstation перевіряють ім'я головного файлу. Тому досить виконати наступне:

• перейменувати avp.exe (завантажившись в WinPE або в безпечному режимі);
• запустити перейменований файл після звичайного входу в систему;
• зайти в меню «Налаштування → Параметри», відключити самозахист і захист паролем;
• зберегти настройки, вивантажити антивирь і перейменувати його назад.

При бажанні можна задати власний пароль, щоб адмін зрозумів, як ти мучився, не знаючи його.

Цей метод не спрацює, якщо антивірус на твоєму компі налаштовується централізовано. Однак ти завжди можеш тимчасово нейтралізувати сторожа описаним вище способом.

З новими продуктами Касперського все ще простіше. Італійський консультант Kaspersky Lab Маттео Рівойра написав скрипт , Який автоматично визначає встановлену версію антивіруса і обнуляє заданий пароль. З батника видно, що в 32-бітних і 64-розрядних версіях вінди він зберігається в різних гілках реєстру:

HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ protected \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ KasperskyLab \ [імя_продукта] \ settings

Тому або просто запусти цей bat, або правуй реєстр вручну з-під WinPE. Просто перевір ці гілки і присв параметру EnablePasswordProtect нульове значення DWORD.

Додаємо троянську ятати

Мультізагрузочний флешка - справжній швейцарський ніж. Після завантаження з неї можна розблокувати приховані облікові записи, скидати паролі, правити реєстр і взагалі творити що завгодно. Проблема одна: її можуть помітити. Тому зробимо собі додатковий лаз, який не вимагає зовнішніх інструментів. Створити його можна в тому числі і через консоль відновлення. Так чи інакше, ти можеш зробити копію файлу utilman.exe, а потім замінити його на cmd.exe. Спочатку зробимо копію вихідного файлу.

copy% windir% \ system32 \ utilman.exe% windir% \ system32 \ utilman-new.exe

Потім Перезаписуємо вихідний файл utilman.exe файлом cmd.exe:

copy% windir% \ system32 \ cmd.exe% windir% \ system32 \ utilman.exe

Буква диска (системного розділу) в змінної% windir% не обов'язково буде C: \. Її можна дізнатися за допомогою утиліти diskpart - командою list volume.

Після заміни utilman.exe файлом cmd.exe при наступному завантаженні Windows ти побачиш звичний екран вітання. Тільки при кліці на «Спеціальні можливості» тепер буде відкриватися командний рядок.

Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері

Зміст статті

Коли ти приходиш на роботу і виявляєш, що на комп'ютері щось заборонено, а в Мережі - заблоковано, це сприймається майже як виклик. У своїй статті я розповім, які бувають методи обмежень і як з ними боротися. Багато з описаних трюків мені доводилося проробляти самостійно - звичайно ж, виключно з благими намірами.

Зрозуміло, що обмеження важливі для безпеки і зниження навантаження на енікейщіков, але зазвичай рівень технічної підготовки у співробітників різний, а правила одні на всіх. Якщо ти відчуваєш, що обмеження заважають роботі і особистої свободи, а також розсудливо оцінивши наслідки, то у тебе є всі шанси власноруч поліпшити умови.

У чужий монастир зі своєю флешкою

Отримання потрібних прав на робочому комп'ютері в загальному випадку починається з завантаження іншої ОС з набором «хакерських» утиліт. Ми вже писали про те, як створити Мультизавантажувальний флешку , А зараз пройдемося по важливих деталей.

Буває, що завантажитися з перевіреною флешки або Live CD дуже непросто навіть при наявності фізичного доступу до комп'ютера. Завантаження з довільного носія не уявляла проблем до появи EFI. Просто входиш в настройки BIOS і міняєш порядок завантаження в розділі Boot. На одних компах для цього треба було натиснути Delete, на інших F2 - в будь-якому випадку потрібна клавіша вказувалася на екрані або в мануалі. Зараз же в UEFI використовується список довірених загрузчиков і два різних режиму стартовою послідовності, а завантаження Windows 8, 8.1 і 10 для прискорення може відбуватися прямо з EFI без жодних пропозицій увійти в налаштування.

Якщо ти відразу бачиш завантаження Windows і не встигаєш нічого зробити, то дочекайся її запуску і виконай одну з таких дій:

1. Натисни «перезавантажити» на екрані привітання Windows, утримуючи ліву кнопку Shift.
2. Уже після завантаження зайди в «Параметри → Оновлення та безпеку → Відновлення → Особливі варіанти завантаження». Натисни «Перезавантажити зараз → Пошук і усунення несправностей → Додаткові параметри → Параметри завантаження».
3. Як варіант - можеш ввести shutdown.exe / R / O в командному рядку.

Незалежно від обраного способу відбудеться перезавантаження з вибором параметрів, і ти зможеш опинитися в налаштуваннях BIOS / UEFI.

Якщо права жорстко обмежені і увійти в налаштування Windows 10 СОФТОВА методом неможливо, можеш спробувати фізично відключити HDD / SSD. Тоді при наступному завантаженні з'явиться повідомлення про помилку і відобразиться пункт для входу в UEFI.

Може здатися, що відключити харчування HDD на робочому комп'ютері складно, особливо якщо корпус опечатаний. Просто натисни на пластикову заглушку слота 5,25 ", яка зазвичай розташовується на фронтальній панелі. Трохи сильніше. Я сказав: «трохи»! Відчуваєш, як прогинається? Продавивши її міліметра на три, спробуй ухопити край і витягнути заглушку. У отвір спокійно пролазить рука до середини передпліччя, навіть якщо ти регулярно ходиш в гойдалку. Через цю амбразуру при належній вправності можна не тільки кабель відключити, але і майже весь комп перебрати. Метод нагадує ремонт двигуна через вихлопну трубу, але діє в реальному житті. Виняток становлять нестандартні корпусу - наприклад, повністю алюмінієві.

Швидке завантаження з флешки

Полегшити життя може опція швидкого вибору завантажувального пристрою, реалізована в деяких прошивках. Якщо вона є і активна, то при включенні комп'ютера крім повідомлення "Press [key] to enter setup» з'явиться ще одне: «... or [key] for boot menu». Зазвичай це клавіші Enter, F1 - F12, їх поєднання з клавішами Alt, Ctrl, Ins і Esc. Повний список варіантів зайняв би не одну сторінку, так що краще шукати відповідь в мануалі до конкретної материнської плати.

Так чи інакше, ти потрапляєш в настройки BIOS. З великою ймовірністю для завантаження з флешки також доведеться змінити параметр Boot List Option. За замовчуванням він зазвичай коштує в новому режимі UEFI, а на флешці використовується GRUB з запуском через MBR. Тому нам потрібен або старий режим Legacy / CSM, або обидва, але з пріоритетом класичного: Legacy / CSM + UEFI. Іноді цей пункт відсутній в списку. Тоді підтримку Legacy доведеться попередньо активувати на іншій вкладці. Зазвичай цей пункт називається Load Legacy Option Rom. Там же відключається захищений метод завантаження Secure Boot. При бажанні можна не відключати його, а додати власні ключі довірених загрузчиков, але опис цього методу виходить за рамки статті.

Іншою перешкодою може стати парольний захист BIOS / UEFI. Нагадую, що пароль зазвичай записаний на зворотному боці батарейки на материнській платі. Просто витягни її і переверни. Як не бачиш пароля? Дивно ... Гаразд, вставляй назад. Поки ти крутив батарейку, він випарувався разом з іншими даними CMOS. Якщо ветеринарні методи комп'ютерних операцій тобі чужі або відкрити корпус проблематично (наприклад, він стоїть біля всіх на виду), то спробуй ввести інженерний пароль. Він гуглити по виробнику BIOS і загальний у всіх материнських плат однієї серії.

Інший спосіб софтового скидання пароля на вхід в BIOS - викликати помилку в контрольній сумі блоків даних. Для цього є утиліта Крістофа Греньє CmosPwd . Вона прямо з Windows робить запис в CMOS. Метод не спрацює, якщо утиліту заблокує антивірус або якщо перезапис CMOS була попередньо відключена на низькому рівні.

INFO

На деяких ноутбуках, ультрабуках і неттопах тимчасове знеструмлення CMOS не приводить до скидання пароля входу в BIOS / UEFI, оскільки він зберігається в окремій мікросхемі незалежній пам'яті. У таких випадках можна відновити пароль за кодом помилки. Цей код відображається після триразового введення неправильного пароля і являє собою хеш від збереженого пароля. Оскільки хеш-функції незворотні, то обчислити пароль безпосередньо не можна. Однак існують програми, що підбирають пароль з таким самим значенням згортки. Це може бути як заданий пароль, так і інша комбінація символів, що дає такий же хеш при перевірці. Зайти в налаштування можна за допомогою одного з них, так як перевіряється саме хеш. Зверни увагу, що на деяких ноутбуках Dell при введенні пароля треба натискати Ctrl + Enter. Якщо нічого не допомогло, то залишається скористатися паяльником і програматором, але це вже хардкор для інженерів сервіс-центрів.

Відкриваємо доступ до диска

Отже, припустимо, що ми успішно завантажилися з флешки і готові до подвигів. З чого почнемо? Перше обмеження, з яким стикається звичайний користувач, - відсутність прав читання і записи в певних каталогах. Вільно використовувати він може тільки домашню папку, що не дуже зручно.

Такі обмеження задані на рівні списків управління доступом в файлової системі NTFS, але звірятися з ними зобов'язана тільки сама вінда. Інші ОС та окремі утиліти здатні ігнорувати ці обмеження. Наприклад, Linux і програми для відновлення даних не використовують WinAPI, а звертаються до диска або через свої драйвери, або безпосередньо. Тому вони просто не бачать виставлені в NTFS атрибути безпеки і читають все підряд.

Зробити копію будь-яких даних ти можеш вже на цьому етапі. Єдине можливе перешкоду - шифрування розділів. Вбудований захист BitLocker допоможуть подолати утиліти ElcomSoft (до речі кажучи, як і багато інших віртуальні паркани), а ось TrueCrypt, VeraCrypt і інші серйозні криптографічні контейнери доведеться розкривати інакше. Найпростіше робити це методами соціального інжинірингу, оскільки технічний захист у цих коштів на порядок вище, ніж психологічна у власника, - см. реальні приклади з життя .

Замінити права доступу теж нескладно. Завантажившись з флешки, ти стаєш адміном в тій же Windows PE і робиш з диском що хочеш. Однак цікавіше зберегти права в основній системі, для чого треба стати адміном саме в ній. Для цього найзручніше скористатися однією з утиліт для скидання паролів. Наприклад, найпростіша програма NT Password Edit Вадима Дружина була написана більше десяти років тому, але актуальна до сих пір. З її допомогою можна видалити або задати новий пароль будь-якого облікового запису Windows.

NT Password Edit

У більшості випадків цієї утиліти виявляється досить. Далі залишаються лише рутинні операції на зразок зміни власника і переустановлення дозволів для обраних каталогів. Трохи більше можливостей дає ще одна подібна утиліта - Active @ Password Changer . Разом з іншими утилітами Active @ вона додається на флешку як крихітний образ .ima, тому запуск безкоштовної старої (але ще корисною) версії можливий навіть без завантаження WinPE.

Активуємо відключені акаунти

Password Changer також дозволяє скинути пароль будь-якого облікового запису і вміє розблокувати її, якщо вона була відключена раніше.

Ще більше функцій у програми Reset Windows Password. З її допомогою можна не тільки скидати паролі, але і замітати сліди злому.

Скидання, дамп і замітання слідів

Подібно SAMInside, вона дозволяє копіювати паролі і хеши для їх аналізу на іншій машині - так їх простіше розкрити вже в спокійній обстановці (див. Статтю «Великий парольний коллайдер» в номері 194 ). Підібрати адмінських пароль куди цікавіше, ніж просто скинути його: з вихідним паролем ти будеш менше світитися в логах, тоді як грубий злом можуть швидко помітити.

Ще один тонкий варіант - додати в систему нового користувача, наділити його бажаними правами і приховати цей обліковий запис. Якщо користувачів десятки, то зайвого побачать нескоро. Проробивши це, ти зможеш логінитися під звичайним обліковим записом, не викликаючи підозр, а при необхідності запускати будь-яку програму від імені одного тобі відомої учеткі з повним доступом. Звичайно, повністю сховати її не вдасться, але хоча б на екрані вітання вона маячити не буде. Для цього достатньо змінити підрозділ UserList в реєстрі.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Шукаємо розділ SpecialAccounts або створюємо його, якщо не знайшовся. В цьому розділі шукаємо або створюємо підрозділ UserList, а в ньому - новий параметр типу DWORD з ім'ям прихованою учеткі. Якщо привласнити йому нульове значення, то відповідна обліковий запис не буде доступний широкому ні на екрані вітання, ні в загальному списку з панелі управління.

Можна піти далі і посилити конспірацію. Для цього знаходимо ключі з промовистою назвою dontdisplaylastusername і DontDisplayLockedUserId в цій гілці:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Першому присвоюємо значення 0x00000001, а другого - 0x00000002. Поточний і останній використаний аккаунт також зникнуть з екрану блокування.

Потоки NTFS допоможуть отримати доступ до файлів

Як вже зазначалося вище, більшість прав доступу на робочих комп'ютерах з Windows задається на рівні файлової системи NTFS. Тут саме час згадати про файлові потоки і особливості синтаксису. Згідно універсального угоди про іменування файлів (UNC), двокрапка відокремлює букву диска від подальшої долі. В NTFS цей знак використовується ще і як роздільник між власне ім'ям файлу і пов'язаним з ним файловим потоком.

Якщо настройки прав для кожного файлу і каталогу Windows коректні, то немає різниці, як саме звертаються до об'єктів файлової системи. Доступ завжди буде блокуватися при відсутності необхідних дозволів. Однак настройка прав - довга рутинна операція, яку в останні роки адміни часто стали спрощувати, використовуючи сторонні програми. Далеко не всі з них (навіть сертифіковані) коректно працюють з файловими потоками. Тому, якщо не вдається прочитати filename.ext, спробуй звернутися до потоку даних цього файлу за допомогою конструкції filename.ext: stream: $ DATA або filename.ext :: $ DATA.

Наприклад, якщо у тебе немає доступу до файлу passwords.txt, то наступна команда все одно виведе його вміст на екран:

more & lt; passwords.txt :: $ DATA

Приблизно так само можна скопіювати вміст файлу, перенаправивши висновок команди more нема на екран, а в інший файл.

more & lt; passwords.txt :: $ DATA & gt; pass.txt

Це не повинно спрацьовувати при коректному виставленні обмежень читання / запису, але адміни частенько не обтяжують себе аудитом прав доступу на кожен об'єкт файлової системи. На реальному комп'ютері нерідко виходить гримуча суміш з явно заданих і успадкованих прав, протиріччями в яких можна скористатися в своїх інтересах.

Читаємо файл з потоку даних прямо в консоль

До речі, про механізми успадкування. Трапляються ситуації, коли адмін забороняє доступ до подкаталогу для певних користувачів, але залишає для них же повний доступ до тек верхнього рівня. При цьому виникає явне протиріччя, і обмеження перестають діяти. Наприклад, відсутність прав на читання файлу не працює, якщо дозволено читати список містить його каталогу. Аналогічно і з видаленням.

Створюємо секретний розділ без підтримки прав доступу

Іноді адміни забороняють тільки виконання файлів. Наприклад, щоб користувач не зміг запустити якусь програму. Обійти це обмеження можна, просто скопіювавши її на розділ FAT32 (як варіант - на ту ж флешку), де права доступу вже задати неможливо. Їх просто не підтримує сама файлова система. Якщо ж постійно користуватися флешкою ​​занадто ризиковано, то можна зробити хитріше. Один раз запустити з неї будь-редактор дискових розділів, зменшити розмір системного, а на звільненому місці створити новий том FAT32 і (опціонально) приховати його.

Створюємо прихований розділ FAT32

Прихованим майданчиках не присвоюється літера диска, тому вони не відображаються в «Провіднику» і файлових менеджерах. Змонтувати його в Windows можна через Управління дисками - diskmgmt.msc. Необхідні права для запуску цього інструменту ти вже призначив собі на минулому етапі, коли дізнавався пароль адміна або створював нового.

Якщо на розділ FAT32 копіювалися документи, бази або мультимедійні дані, то вони будуть відкриватися без проблем. Ніщо не завадить і запускати простий софт, який ставиться розпакуванням: на новому місці все буде працювати, як і раніше. Ось з встановленими програмами не все так просто. У них доведеться міняти шляху в налаштуваннях. Це або файли .cfg і .ini в тому ж каталозі, або ключі реєстру. Змінити ключі можна за допомогою віддаленого редактора реєстру, що запускається з флешки в тій же WinPE.

Редагуємо реєстр іншої ОС

З таким інструментом можна обійти і інші обмеження, прописані в реєстрі.

Обходимо антивірус Касперського

Велика частина заборон на дії користувача в Windows реалізована через реєстр і права доступу в NTFS. Однак є й інший варіант: установка спеціалізованих програм контролю.

Наприклад, софт «Лабораторії Касперського» завантажує власні драйвери з \ windows \ system32 \ drivers \ і sysnative \ drivers. З їх допомогою він перехоплює системні виклики і звернення до файлової системи, контролюючи як роботу програм, так і дії користувача. Зазвичай адмін закриває зміна налаштувань антивірусного софту паролем. Гарна новина полягає в тому, що є прості процедури скидання такого пароля.

«Антивірус Касперського SOS» і версії для Windows Workstation перевіряють ім'я головного файлу. Тому досить виконати наступне:

• перейменувати avp.exe (завантажившись в WinPE або в безпечному режимі);
• запустити перейменований файл після звичайного входу в систему;
• зайти в меню «Налаштування → Параметри», відключити самозахист і захист паролем;
• зберегти настройки, вивантажити антивирь і перейменувати його назад.

При бажанні можна задати власний пароль, щоб адмін зрозумів, як ти мучився, не знаючи його.

Цей метод не спрацює, якщо антивірус на твоєму компі налаштовується централізовано. Однак ти завжди можеш тимчасово нейтралізувати сторожа описаним вище способом.

З новими продуктами Касперського все ще простіше. Італійський консультант Kaspersky Lab Маттео Рівойра написав скрипт , Який автоматично визначає встановлену версію антивіруса і обнуляє заданий пароль. З батника видно, що в 32-бітних і 64-розрядних версіях вінди він зберігається в різних гілках реєстру:

HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ protected \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ KasperskyLab \ [імя_продукта] \ settings

Тому або просто запусти цей bat, або правуй реєстр вручну з-під WinPE. Просто перевір ці гілки і присв параметру EnablePasswordProtect нульове значення DWORD.

Додаємо троянську ятати

Мультізагрузочний флешка - справжній швейцарський ніж. Після завантаження з неї можна розблокувати приховані облікові записи, скидати паролі, правити реєстр і взагалі творити що завгодно. Проблема одна: її можуть помітити. Тому зробимо собі додатковий лаз, який не вимагає зовнішніх інструментів. Створити його можна в тому числі і через консоль відновлення. Так чи інакше, ти можеш зробити копію файлу utilman.exe, а потім замінити його на cmd.exe. Спочатку зробимо копію вихідного файлу.

copy% windir% \ system32 \ utilman.exe% windir% \ system32 \ utilman-new.exe

Потім Перезаписуємо вихідний файл utilman.exe файлом cmd.exe:

copy% windir% \ system32 \ cmd.exe% windir% \ system32 \ utilman.exe

Буква диска (системного розділу) в змінної% windir% не обов'язково буде C: \. Її можна дізнатися за допомогою утиліти diskpart - командою list volume.

Після заміни utilman.exe файлом cmd.exe при наступному завантаженні Windows ти побачиш звичний екран вітання. Тільки при кліці на «Спеціальні можливості» тепер буде відкриватися командний рядок.

Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері

Зміст статті

Коли ти приходиш на роботу і виявляєш, що на комп'ютері щось заборонено, а в Мережі - заблоковано, це сприймається майже як виклик. У своїй статті я розповім, які бувають методи обмежень і як з ними боротися. Багато з описаних трюків мені доводилося проробляти самостійно - звичайно ж, виключно з благими намірами.

Зрозуміло, що обмеження важливі для безпеки і зниження навантаження на енікейщіков, але зазвичай рівень технічної підготовки у співробітників різний, а правила одні на всіх. Якщо ти відчуваєш, що обмеження заважають роботі і особистої свободи, а також розсудливо оцінивши наслідки, то у тебе є всі шанси власноруч поліпшити умови.

У чужий монастир зі своєю флешкою

Отримання потрібних прав на робочому комп'ютері в загальному випадку починається з завантаження іншої ОС з набором «хакерських» утиліт. Ми вже писали про те, як створити Мультизавантажувальний флешку , А зараз пройдемося по важливих деталей.

Буває, що завантажитися з перевіреною флешки або Live CD дуже непросто навіть при наявності фізичного доступу до комп'ютера. Завантаження з довільного носія не уявляла проблем до появи EFI. Просто входиш в настройки BIOS і міняєш порядок завантаження в розділі Boot. На одних компах для цього треба було натиснути Delete, на інших F2 - в будь-якому випадку потрібна клавіша вказувалася на екрані або в мануалі. Зараз же в UEFI використовується список довірених загрузчиков і два різних режиму стартовою послідовності, а завантаження Windows 8, 8.1 і 10 для прискорення може відбуватися прямо з EFI без жодних пропозицій увійти в налаштування.

Якщо ти відразу бачиш завантаження Windows і не встигаєш нічого зробити, то дочекайся її запуску і виконай одну з таких дій:

1. Натисни «перезавантажити» на екрані привітання Windows, утримуючи ліву кнопку Shift.
2. Уже після завантаження зайди в «Параметри → Оновлення та безпеку → Відновлення → Особливі варіанти завантаження». Натисни «Перезавантажити зараз → Пошук і усунення несправностей → Додаткові параметри → Параметри завантаження».
3. Як варіант - можеш ввести shutdown.exe / R / O в командному рядку.

Незалежно від обраного способу відбудеться перезавантаження з вибором параметрів, і ти зможеш опинитися в налаштуваннях BIOS / UEFI.

Якщо права жорстко обмежені і увійти в налаштування Windows 10 СОФТОВА методом неможливо, можеш спробувати фізично відключити HDD / SSD. Тоді при наступному завантаженні з'явиться повідомлення про помилку і відобразиться пункт для входу в UEFI.

Може здатися, що відключити харчування HDD на робочому комп'ютері складно, особливо якщо корпус опечатаний. Просто натисни на пластикову заглушку слота 5,25 ", яка зазвичай розташовується на фронтальній панелі. Трохи сильніше. Я сказав: «трохи»! Відчуваєш, як прогинається? Продавивши її міліметра на три, спробуй ухопити край і витягнути заглушку. У отвір спокійно пролазить рука до середини передпліччя, навіть якщо ти регулярно ходиш в гойдалку. Через цю амбразуру при належній вправності можна не тільки кабель відключити, але і майже весь комп перебрати. Метод нагадує ремонт двигуна через вихлопну трубу, але діє в реальному житті. Виняток становлять нестандартні корпусу - наприклад, повністю алюмінієві.

Швидке завантаження з флешки

Полегшити життя може опція швидкого вибору завантажувального пристрою, реалізована в деяких прошивках. Якщо вона є і активна, то при включенні комп'ютера крім повідомлення "Press [key] to enter setup» з'явиться ще одне: «... or [key] for boot menu». Зазвичай це клавіші Enter, F1 - F12, їх поєднання з клавішами Alt, Ctrl, Ins і Esc. Повний список варіантів зайняв би не одну сторінку, так що краще шукати відповідь в мануалі до конкретної материнської плати.

Так чи інакше, ти потрапляєш в настройки BIOS. З великою ймовірністю для завантаження з флешки також доведеться змінити параметр Boot List Option. За замовчуванням він зазвичай коштує в новому режимі UEFI, а на флешці використовується GRUB з запуском через MBR. Тому нам потрібен або старий режим Legacy / CSM, або обидва, але з пріоритетом класичного: Legacy / CSM + UEFI. Іноді цей пункт відсутній в списку. Тоді підтримку Legacy доведеться попередньо активувати на іншій вкладці. Зазвичай цей пункт називається Load Legacy Option Rom. Там же відключається захищений метод завантаження Secure Boot. При бажанні можна не відключати його, а додати власні ключі довірених загрузчиков, але опис цього методу виходить за рамки статті.

Іншою перешкодою може стати парольний захист BIOS / UEFI. Нагадую, що пароль зазвичай записаний на зворотному боці батарейки на материнській платі. Просто витягни її і переверни. Як не бачиш пароля? Дивно ... Гаразд, вставляй назад. Поки ти крутив батарейку, він випарувався разом з іншими даними CMOS. Якщо ветеринарні методи комп'ютерних операцій тобі чужі або відкрити корпус проблематично (наприклад, він стоїть біля всіх на виду), то спробуй ввести інженерний пароль. Він гуглити по виробнику BIOS і загальний у всіх материнських плат однієї серії.

Інший спосіб софтового скидання пароля на вхід в BIOS - викликати помилку в контрольній сумі блоків даних. Для цього є утиліта Крістофа Греньє CmosPwd . Вона прямо з Windows робить запис в CMOS. Метод не спрацює, якщо утиліту заблокує антивірус або якщо перезапис CMOS була попередньо відключена на низькому рівні.

INFO

На деяких ноутбуках, ультрабуках і неттопах тимчасове знеструмлення CMOS не приводить до скидання пароля входу в BIOS / UEFI, оскільки він зберігається в окремій мікросхемі незалежній пам'яті. У таких випадках можна відновити пароль за кодом помилки. Цей код відображається після триразового введення неправильного пароля і являє собою хеш від збереженого пароля. Оскільки хеш-функції незворотні, то обчислити пароль безпосередньо не можна. Однак існують програми, що підбирають пароль з таким самим значенням згортки. Це може бути як заданий пароль, так і інша комбінація символів, що дає такий же хеш при перевірці. Зайти в налаштування можна за допомогою одного з них, так як перевіряється саме хеш. Зверни увагу, що на деяких ноутбуках Dell при введенні пароля треба натискати Ctrl + Enter. Якщо нічого не допомогло, то залишається скористатися паяльником і програматором, але це вже хардкор для інженерів сервіс-центрів.

Відкриваємо доступ до диска

Отже, припустимо, що ми успішно завантажилися з флешки і готові до подвигів. З чого почнемо? Перше обмеження, з яким стикається звичайний користувач, - відсутність прав читання і записи в певних каталогах. Вільно використовувати він може тільки домашню папку, що не дуже зручно.

Такі обмеження задані на рівні списків управління доступом в файлової системі NTFS, але звірятися з ними зобов'язана тільки сама вінда. Інші ОС та окремі утиліти здатні ігнорувати ці обмеження. Наприклад, Linux і програми для відновлення даних не використовують WinAPI, а звертаються до диска або через свої драйвери, або безпосередньо. Тому вони просто не бачать виставлені в NTFS атрибути безпеки і читають все підряд.

Зробити копію будь-яких даних ти можеш вже на цьому етапі. Єдине можливе перешкоду - шифрування розділів. Вбудований захист BitLocker допоможуть подолати утиліти ElcomSoft (до речі кажучи, як і багато інших віртуальні паркани), а ось TrueCrypt, VeraCrypt і інші серйозні криптографічні контейнери доведеться розкривати інакше. Найпростіше робити це методами соціального інжинірингу, оскільки технічний захист у цих коштів на порядок вище, ніж психологічна у власника, - см. реальні приклади з життя .

Замінити права доступу теж нескладно. Завантажившись з флешки, ти стаєш адміном в тій же Windows PE і робиш з диском що хочеш. Однак цікавіше зберегти права в основній системі, для чого треба стати адміном саме в ній. Для цього найзручніше скористатися однією з утиліт для скидання паролів. Наприклад, найпростіша програма NT Password Edit Вадима Дружина була написана більше десяти років тому, але актуальна до сих пір. З її допомогою можна видалити або задати новий пароль будь-якого облікового запису Windows.

NT Password Edit

У більшості випадків цієї утиліти виявляється досить. Далі залишаються лише рутинні операції на зразок зміни власника і переустановлення дозволів для обраних каталогів. Трохи більше можливостей дає ще одна подібна утиліта - Active @ Password Changer . Разом з іншими утилітами Active @ вона додається на флешку як крихітний образ .ima, тому запуск безкоштовної старої (але ще корисною) версії можливий навіть без завантаження WinPE.

Активуємо відключені акаунти

Password Changer також дозволяє скинути пароль будь-якого облікового запису і вміє розблокувати її, якщо вона була відключена раніше.

Ще більше функцій у програми Reset Windows Password. З її допомогою можна не тільки скидати паролі, але і замітати сліди злому.

Скидання, дамп і замітання слідів

Подібно SAMInside, вона дозволяє копіювати паролі і хеши для їх аналізу на іншій машині - так їх простіше розкрити вже в спокійній обстановці (див. Статтю «Великий парольний коллайдер» в номері 194 ). Підібрати адмінських пароль куди цікавіше, ніж просто скинути його: з вихідним паролем ти будеш менше світитися в логах, тоді як грубий злом можуть швидко помітити.

Ще один тонкий варіант - додати в систему нового користувача, наділити його бажаними правами і приховати цей обліковий запис. Якщо користувачів десятки, то зайвого побачать нескоро. Проробивши це, ти зможеш логінитися під звичайним обліковим записом, не викликаючи підозр, а при необхідності запускати будь-яку програму від імені одного тобі відомої учеткі з повним доступом. Звичайно, повністю сховати її не вдасться, але хоча б на екрані вітання вона маячити не буде. Для цього достатньо змінити підрозділ UserList в реєстрі.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Шукаємо розділ SpecialAccounts або створюємо його, якщо не знайшовся. В цьому розділі шукаємо або створюємо підрозділ UserList, а в ньому - новий параметр типу DWORD з ім'ям прихованою учеткі. Якщо привласнити йому нульове значення, то відповідна обліковий запис не буде доступний широкому ні на екрані вітання, ні в загальному списку з панелі управління.

Можна піти далі і посилити конспірацію. Для цього знаходимо ключі з промовистою назвою dontdisplaylastusername і DontDisplayLockedUserId в цій гілці:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Першому присвоюємо значення 0x00000001, а другого - 0x00000002. Поточний і останній використаний аккаунт також зникнуть з екрану блокування.

Потоки NTFS допоможуть отримати доступ до файлів

Як вже зазначалося вище, більшість прав доступу на робочих комп'ютерах з Windows задається на рівні файлової системи NTFS. Тут саме час згадати про файлові потоки і особливості синтаксису. Згідно універсального угоди про іменування файлів (UNC), двокрапка відокремлює букву диска від подальшої долі. В NTFS цей знак використовується ще і як роздільник між власне ім'ям файлу і пов'язаним з ним файловим потоком.

Якщо настройки прав для кожного файлу і каталогу Windows коректні, то немає різниці, як саме звертаються до об'єктів файлової системи. Доступ завжди буде блокуватися при відсутності необхідних дозволів. Однак настройка прав - довга рутинна операція, яку в останні роки адміни часто стали спрощувати, використовуючи сторонні програми. Далеко не всі з них (навіть сертифіковані) коректно працюють з файловими потоками. Тому, якщо не вдається прочитати filename.ext, спробуй звернутися до потоку даних цього файлу за допомогою конструкції filename.ext: stream: $ DATA або filename.ext :: $ DATA.

Наприклад, якщо у тебе немає доступу до файлу passwords.txt, то наступна команда все одно виведе його вміст на екран:

more & lt; passwords.txt :: $ DATA

Приблизно так само можна скопіювати вміст файлу, перенаправивши висновок команди more нема на екран, а в інший файл.

more & lt; passwords.txt :: $ DATA & gt; pass.txt

Це не повинно спрацьовувати при коректному виставленні обмежень читання / запису, але адміни частенько не обтяжують себе аудитом прав доступу на кожен об'єкт файлової системи. На реальному комп'ютері нерідко виходить гримуча суміш з явно заданих і успадкованих прав, протиріччями в яких можна скористатися в своїх інтересах.

Читаємо файл з потоку даних прямо в консоль

До речі, про механізми успадкування. Трапляються ситуації, коли адмін забороняє доступ до подкаталогу для певних користувачів, але залишає для них же повний доступ до тек верхнього рівня. При цьому виникає явне протиріччя, і обмеження перестають діяти. Наприклад, відсутність прав на читання файлу не працює, якщо дозволено читати список містить його каталогу. Аналогічно і з видаленням.

Створюємо секретний розділ без підтримки прав доступу

Іноді адміни забороняють тільки виконання файлів. Наприклад, щоб користувач не зміг запустити якусь програму. Обійти це обмеження можна, просто скопіювавши її на розділ FAT32 (як варіант - на ту ж флешку), де права доступу вже задати неможливо. Їх просто не підтримує сама файлова система. Якщо ж постійно користуватися флешкою ​​занадто ризиковано, то можна зробити хитріше. Один раз запустити з неї будь-редактор дискових розділів, зменшити розмір системного, а на звільненому місці створити новий том FAT32 і (опціонально) приховати його.

Створюємо прихований розділ FAT32

Прихованим майданчиках не присвоюється літера диска, тому вони не відображаються в «Провіднику» і файлових менеджерах. Змонтувати його в Windows можна через Управління дисками - diskmgmt.msc. Необхідні права для запуску цього інструменту ти вже призначив собі на минулому етапі, коли дізнавався пароль адміна або створював нового.

Якщо на розділ FAT32 копіювалися документи, бази або мультимедійні дані, то вони будуть відкриватися без проблем. Ніщо не завадить і запускати простий софт, який ставиться розпакуванням: на новому місці все буде працювати, як і раніше. Ось з встановленими програмами не все так просто. У них доведеться міняти шляху в налаштуваннях. Це або файли .cfg і .ini в тому ж каталозі, або ключі реєстру. Змінити ключі можна за допомогою віддаленого редактора реєстру, що запускається з флешки в тій же WinPE.

Редагуємо реєстр іншої ОС

З таким інструментом можна обійти і інші обмеження, прописані в реєстрі.

Обходимо антивірус Касперського

Велика частина заборон на дії користувача в Windows реалізована через реєстр і права доступу в NTFS. Однак є й інший варіант: установка спеціалізованих програм контролю.

Наприклад, софт «Лабораторії Касперського» завантажує власні драйвери з \ windows \ system32 \ drivers \ і sysnative \ drivers. З їх допомогою він перехоплює системні виклики і звернення до файлової системи, контролюючи як роботу програм, так і дії користувача. Зазвичай адмін закриває зміна налаштувань антивірусного софту паролем. Гарна новина полягає в тому, що є прості процедури скидання такого пароля.

«Антивірус Касперського SOS» і версії для Windows Workstation перевіряють ім'я головного файлу. Тому досить виконати наступне:

• перейменувати avp.exe (завантажившись в WinPE або в безпечному режимі);
• запустити перейменований файл після звичайного входу в систему;
• зайти в меню «Налаштування → Параметри», відключити самозахист і захист паролем;
• зберегти настройки, вивантажити антивирь і перейменувати його назад.

При бажанні можна задати власний пароль, щоб адмін зрозумів, як ти мучився, не знаючи його.

Цей метод не спрацює, якщо антивірус на твоєму компі налаштовується централізовано. Однак ти завжди можеш тимчасово нейтралізувати сторожа описаним вище способом.

З новими продуктами Касперського все ще простіше. Італійський консультант Kaspersky Lab Маттео Рівойра написав скрипт , Який автоматично визначає встановлену версію антивіруса і обнуляє заданий пароль. З батника видно, що в 32-бітних і 64-розрядних версіях вінди він зберігається в різних гілках реєстру:

HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ protected \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ KasperskyLab \ [імя_продукта] \ settings

Тому або просто запусти цей bat, або правуй реєстр вручну з-під WinPE. Просто перевір ці гілки і присв параметру EnablePasswordProtect нульове значення DWORD.

Додаємо троянську ятати

Мультізагрузочний флешка - справжній швейцарський ніж. Після завантаження з неї можна розблокувати приховані облікові записи, скидати паролі, правити реєстр і взагалі творити що завгодно. Проблема одна: її можуть помітити. Тому зробимо собі додатковий лаз, який не вимагає зовнішніх інструментів. Створити його можна в тому числі і через консоль відновлення. Так чи інакше, ти можеш зробити копію файлу utilman.exe, а потім замінити його на cmd.exe. Спочатку зробимо копію вихідного файлу.

copy% windir% \ system32 \ utilman.exe% windir% \ system32 \ utilman-new.exe

Потім Перезаписуємо вихідний файл utilman.exe файлом cmd.exe:

copy% windir% \ system32 \ cmd.exe% windir% \ system32 \ utilman.exe

Буква диска (системного розділу) в змінної% windir% не обов'язково буде C: \. Її можна дізнатися за допомогою утиліти diskpart - командою list volume.

Після заміни utilman.exe файлом cmd.exe при наступному завантаженні Windows ти побачиш звичний екран вітання. Тільки при кліці на «Спеціальні можливості» тепер буде відкриватися командний рядок.

Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері

Зміст статті

Коли ти приходиш на роботу і виявляєш, що на комп'ютері щось заборонено, а в Мережі - заблоковано, це сприймається майже як виклик. У своїй статті я розповім, які бувають методи обмежень і як з ними боротися. Багато з описаних трюків мені доводилося проробляти самостійно - звичайно ж, виключно з благими намірами.

Зрозуміло, що обмеження важливі для безпеки і зниження навантаження на енікейщіков, але зазвичай рівень технічної підготовки у співробітників різний, а правила одні на всіх. Якщо ти відчуваєш, що обмеження заважають роботі і особистої свободи, а також розсудливо оцінивши наслідки, то у тебе є всі шанси власноруч поліпшити умови.

У чужий монастир зі своєю флешкою

Отримання потрібних прав на робочому комп'ютері в загальному випадку починається з завантаження іншої ОС з набором «хакерських» утиліт. Ми вже писали про те, як створити Мультизавантажувальний флешку , А зараз пройдемося по важливих деталей.

Буває, що завантажитися з перевіреною флешки або Live CD дуже непросто навіть при наявності фізичного доступу до комп'ютера. Завантаження з довільного носія не уявляла проблем до появи EFI. Просто входиш в настройки BIOS і міняєш порядок завантаження в розділі Boot. На одних компах для цього треба було натиснути Delete, на інших F2 - в будь-якому випадку потрібна клавіша вказувалася на екрані або в мануалі. Зараз же в UEFI використовується список довірених загрузчиков і два різних режиму стартовою послідовності, а завантаження Windows 8, 8.1 і 10 для прискорення може відбуватися прямо з EFI без жодних пропозицій увійти в налаштування.

Якщо ти відразу бачиш завантаження Windows і не встигаєш нічого зробити, то дочекайся її запуску і виконай одну з таких дій:

1. Натисни «перезавантажити» на екрані привітання Windows, утримуючи ліву кнопку Shift.
2. Уже після завантаження зайди в «Параметри → Оновлення та безпеку → Відновлення → Особливі варіанти завантаження». Натисни «Перезавантажити зараз → Пошук і усунення несправностей → Додаткові параметри → Параметри завантаження».
3. Як варіант - можеш ввести shutdown.exe / R / O в командному рядку.

Незалежно від обраного способу відбудеться перезавантаження з вибором параметрів, і ти зможеш опинитися в налаштуваннях BIOS / UEFI.

Якщо права жорстко обмежені і увійти в налаштування Windows 10 СОФТОВА методом неможливо, можеш спробувати фізично відключити HDD / SSD. Тоді при наступному завантаженні з'явиться повідомлення про помилку і відобразиться пункт для входу в UEFI.

Може здатися, що відключити харчування HDD на робочому комп'ютері складно, особливо якщо корпус опечатаний. Просто натисни на пластикову заглушку слота 5,25 ", яка зазвичай розташовується на фронтальній панелі. Трохи сильніше. Я сказав: «трохи»! Відчуваєш, як прогинається? Продавивши її міліметра на три, спробуй ухопити край і витягнути заглушку. У отвір спокійно пролазить рука до середини передпліччя, навіть якщо ти регулярно ходиш в гойдалку. Через цю амбразуру при належній вправності можна не тільки кабель відключити, але і майже весь комп перебрати. Метод нагадує ремонт двигуна через вихлопну трубу, але діє в реальному житті. Виняток становлять нестандартні корпусу - наприклад, повністю алюмінієві.

Швидке завантаження з флешки

Полегшити життя може опція швидкого вибору завантажувального пристрою, реалізована в деяких прошивках. Якщо вона є і активна, то при включенні комп'ютера крім повідомлення "Press [key] to enter setup» з'явиться ще одне: «... or [key] for boot menu». Зазвичай це клавіші Enter, F1 - F12, їх поєднання з клавішами Alt, Ctrl, Ins і Esc. Повний список варіантів зайняв би не одну сторінку, так що краще шукати відповідь в мануалі до конкретної материнської плати.

Так чи інакше, ти потрапляєш в настройки BIOS. З великою ймовірністю для завантаження з флешки також доведеться змінити параметр Boot List Option. За замовчуванням він зазвичай коштує в новому режимі UEFI, а на флешці використовується GRUB з запуском через MBR. Тому нам потрібен або старий режим Legacy / CSM, або обидва, але з пріоритетом класичного: Legacy / CSM + UEFI. Іноді цей пункт відсутній в списку. Тоді підтримку Legacy доведеться попередньо активувати на іншій вкладці. Зазвичай цей пункт називається Load Legacy Option Rom. Там же відключається захищений метод завантаження Secure Boot. При бажанні можна не відключати його, а додати власні ключі довірених загрузчиков, але опис цього методу виходить за рамки статті.

Іншою перешкодою може стати парольний захист BIOS / UEFI. Нагадую, що пароль зазвичай записаний на зворотному боці батарейки на материнській платі. Просто витягни її і переверни. Як не бачиш пароля? Дивно ... Гаразд, вставляй назад. Поки ти крутив батарейку, він випарувався разом з іншими даними CMOS. Якщо ветеринарні методи комп'ютерних операцій тобі чужі або відкрити корпус проблематично (наприклад, він стоїть біля всіх на виду), то спробуй ввести інженерний пароль. Він гуглити по виробнику BIOS і загальний у всіх материнських плат однієї серії.

Інший спосіб софтового скидання пароля на вхід в BIOS - викликати помилку в контрольній сумі блоків даних. Для цього є утиліта Крістофа Греньє CmosPwd . Вона прямо з Windows робить запис в CMOS. Метод не спрацює, якщо утиліту заблокує антивірус або якщо перезапис CMOS була попередньо відключена на низькому рівні.

INFO

На деяких ноутбуках, ультрабуках і неттопах тимчасове знеструмлення CMOS не приводить до скидання пароля входу в BIOS / UEFI, оскільки він зберігається в окремій мікросхемі незалежній пам'яті. У таких випадках можна відновити пароль за кодом помилки. Цей код відображається після триразового введення неправильного пароля і являє собою хеш від збереженого пароля. Оскільки хеш-функції незворотні, то обчислити пароль безпосередньо не можна. Однак існують програми, що підбирають пароль з таким самим значенням згортки. Це може бути як заданий пароль, так і інша комбінація символів, що дає такий же хеш при перевірці. Зайти в налаштування можна за допомогою одного з них, так як перевіряється саме хеш. Зверни увагу, що на деяких ноутбуках Dell при введенні пароля треба натискати Ctrl + Enter. Якщо нічого не допомогло, то залишається скористатися паяльником і програматором, але це вже хардкор для інженерів сервіс-центрів.

Відкриваємо доступ до диска

Отже, припустимо, що ми успішно завантажилися з флешки і готові до подвигів. З чого почнемо? Перше обмеження, з яким стикається звичайний користувач, - відсутність прав читання і записи в певних каталогах. Вільно використовувати він може тільки домашню папку, що не дуже зручно.

Такі обмеження задані на рівні списків управління доступом в файлової системі NTFS, але звірятися з ними зобов'язана тільки сама вінда. Інші ОС та окремі утиліти здатні ігнорувати ці обмеження. Наприклад, Linux і програми для відновлення даних не використовують WinAPI, а звертаються до диска або через свої драйвери, або безпосередньо. Тому вони просто не бачать виставлені в NTFS атрибути безпеки і читають все підряд.

Зробити копію будь-яких даних ти можеш вже на цьому етапі. Єдине можливе перешкоду - шифрування розділів. Вбудований захист BitLocker допоможуть подолати утиліти ElcomSoft (до речі кажучи, як і багато інших віртуальні паркани), а ось TrueCrypt, VeraCrypt і інші серйозні криптографічні контейнери доведеться розкривати інакше. Найпростіше робити це методами соціального інжинірингу, оскільки технічний захист у цих коштів на порядок вище, ніж психологічна у власника, - см. реальні приклади з життя .

Замінити права доступу теж нескладно. Завантажившись з флешки, ти стаєш адміном в тій же Windows PE і робиш з диском що хочеш. Однак цікавіше зберегти права в основній системі, для чого треба стати адміном саме в ній. Для цього найзручніше скористатися однією з утиліт для скидання паролів. Наприклад, найпростіша програма NT Password Edit Вадима Дружина була написана більше десяти років тому, але актуальна до сих пір. З її допомогою можна видалити або задати новий пароль будь-якого облікового запису Windows.

NT Password Edit

У більшості випадків цієї утиліти виявляється досить. Далі залишаються лише рутинні операції на зразок зміни власника і переустановлення дозволів для обраних каталогів. Трохи більше можливостей дає ще одна подібна утиліта - Active @ Password Changer . Разом з іншими утилітами Active @ вона додається на флешку як крихітний образ .ima, тому запуск безкоштовної старої (але ще корисною) версії можливий навіть без завантаження WinPE.

Активуємо відключені акаунти

Password Changer також дозволяє скинути пароль будь-якого облікового запису і вміє розблокувати її, якщо вона була відключена раніше.

Ще більше функцій у програми Reset Windows Password. З її допомогою можна не тільки скидати паролі, але і замітати сліди злому.

Скидання, дамп і замітання слідів

Подібно SAMInside, вона дозволяє копіювати паролі і хеши для їх аналізу на іншій машині - так їх простіше розкрити вже в спокійній обстановці (див. Статтю «Великий парольний коллайдер» в номері 194 ). Підібрати адмінських пароль куди цікавіше, ніж просто скинути його: з вихідним паролем ти будеш менше світитися в логах, тоді як грубий злом можуть швидко помітити.

Ще один тонкий варіант - додати в систему нового користувача, наділити його бажаними правами і приховати цей обліковий запис. Якщо користувачів десятки, то зайвого побачать нескоро. Проробивши це, ти зможеш логінитися під звичайним обліковим записом, не викликаючи підозр, а при необхідності запускати будь-яку програму від імені одного тобі відомої учеткі з повним доступом. Звичайно, повністю сховати її не вдасться, але хоча б на екрані вітання вона маячити не буде. Для цього достатньо змінити підрозділ UserList в реєстрі.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Шукаємо розділ SpecialAccounts або створюємо його, якщо не знайшовся. В цьому розділі шукаємо або створюємо підрозділ UserList, а в ньому - новий параметр типу DWORD з ім'ям прихованою учеткі. Якщо привласнити йому нульове значення, то відповідна обліковий запис не буде доступний широкому ні на екрані вітання, ні в загальному списку з панелі управління.

Можна піти далі і посилити конспірацію. Для цього знаходимо ключі з промовистою назвою dontdisplaylastusername і DontDisplayLockedUserId в цій гілці:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Першому присвоюємо значення 0x00000001, а другого - 0x00000002. Поточний і останній використаний аккаунт також зникнуть з екрану блокування.

Потоки NTFS допоможуть отримати доступ до файлів

Як вже зазначалося вище, більшість прав доступу на робочих комп'ютерах з Windows задається на рівні файлової системи NTFS. Тут саме час згадати про файлові потоки і особливості синтаксису. Згідно універсального угоди про іменування файлів (UNC), двокрапка відокремлює букву диска від подальшої долі. В NTFS цей знак використовується ще і як роздільник між власне ім'ям файлу і пов'язаним з ним файловим потоком.

Якщо настройки прав для кожного файлу і каталогу Windows коректні, то немає різниці, як саме звертаються до об'єктів файлової системи. Доступ завжди буде блокуватися при відсутності необхідних дозволів. Однак настройка прав - довга рутинна операція, яку в останні роки адміни часто стали спрощувати, використовуючи сторонні програми. Далеко не всі з них (навіть сертифіковані) коректно працюють з файловими потоками. Тому, якщо не вдається прочитати filename.ext, спробуй звернутися до потоку даних цього файлу за допомогою конструкції filename.ext: stream: $ DATA або filename.ext :: $ DATA.

Наприклад, якщо у тебе немає доступу до файлу passwords.txt, то наступна команда все одно виведе його вміст на екран:

more & lt; passwords.txt :: $ DATA

Приблизно так само можна скопіювати вміст файлу, перенаправивши висновок команди more нема на екран, а в інший файл.

more & lt; passwords.txt :: $ DATA & gt; pass.txt

Це не повинно спрацьовувати при коректному виставленні обмежень читання / запису, але адміни частенько не обтяжують себе аудитом прав доступу на кожен об'єкт файлової системи. На реальному комп'ютері нерідко виходить гримуча суміш з явно заданих і успадкованих прав, протиріччями в яких можна скористатися в своїх інтересах.

Читаємо файл з потоку даних прямо в консоль

До речі, про механізми успадкування. Трапляються ситуації, коли адмін забороняє доступ до подкаталогу для певних користувачів, але залишає для них же повний доступ до тек верхнього рівня. При цьому виникає явне протиріччя, і обмеження перестають діяти. Наприклад, відсутність прав на читання файлу не працює, якщо дозволено читати список містить його каталогу. Аналогічно і з видаленням.

Створюємо секретний розділ без підтримки прав доступу

Іноді адміни забороняють тільки виконання файлів. Наприклад, щоб користувач не зміг запустити якусь програму. Обійти це обмеження можна, просто скопіювавши її на розділ FAT32 (як варіант - на ту ж флешку), де права доступу вже задати неможливо. Їх просто не підтримує сама файлова система. Якщо ж постійно користуватися флешкою ​​занадто ризиковано, то можна зробити хитріше. Один раз запустити з неї будь-редактор дискових розділів, зменшити розмір системного, а на звільненому місці створити новий том FAT32 і (опціонально) приховати його.

Створюємо прихований розділ FAT32

Прихованим майданчиках не присвоюється літера диска, тому вони не відображаються в «Провіднику» і файлових менеджерах. Змонтувати його в Windows можна через Управління дисками - diskmgmt.msc. Необхідні права для запуску цього інструменту ти вже призначив собі на минулому етапі, коли дізнавався пароль адміна або створював нового.

Якщо на розділ FAT32 копіювалися документи, бази або мультимедійні дані, то вони будуть відкриватися без проблем. Ніщо не завадить і запускати простий софт, який ставиться розпакуванням: на новому місці все буде працювати, як і раніше. Ось з встановленими програмами не все так просто. У них доведеться міняти шляху в налаштуваннях. Це або файли .cfg і .ini в тому ж каталозі, або ключі реєстру. Змінити ключі можна за допомогою віддаленого редактора реєстру, що запускається з флешки в тій же WinPE.

Редагуємо реєстр іншої ОС

З таким інструментом можна обійти і інші обмеження, прописані в реєстрі.

Обходимо антивірус Касперського

Велика частина заборон на дії користувача в Windows реалізована через реєстр і права доступу в NTFS. Однак є й інший варіант: установка спеціалізованих програм контролю.

Наприклад, софт «Лабораторії Касперського» завантажує власні драйвери з \ windows \ system32 \ drivers \ і sysnative \ drivers. З їх допомогою він перехоплює системні виклики і звернення до файлової системи, контролюючи як роботу програм, так і дії користувача. Зазвичай адмін закриває зміна налаштувань антивірусного софту паролем. Гарна новина полягає в тому, що є прості процедури скидання такого пароля.

«Антивірус Касперського SOS» і версії для Windows Workstation перевіряють ім'я головного файлу. Тому досить виконати наступне:

• перейменувати avp.exe (завантажившись в WinPE або в безпечному режимі);
• запустити перейменований файл після звичайного входу в систему;
• зайти в меню «Налаштування → Параметри», відключити самозахист і захист паролем;
• зберегти настройки, вивантажити антивирь і перейменувати його назад.

При бажанні можна задати власний пароль, щоб адмін зрозумів, як ти мучився, не знаючи його.

Цей метод не спрацює, якщо антивірус на твоєму компі налаштовується централізовано. Однак ти завжди можеш тимчасово нейтралізувати сторожа описаним вище способом.

З новими продуктами Касперського все ще простіше. Італійський консультант Kaspersky Lab Маттео Рівойра написав скрипт , Який автоматично визначає встановлену версію антивіруса і обнуляє заданий пароль. З батника видно, що в 32-бітних і 64-розрядних версіях вінди він зберігається в різних гілках реєстру:

HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ protected \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ KasperskyLab \ [імя_продукта] \ settings

Тому або просто запусти цей bat, або правуй реєстр вручну з-під WinPE. Просто перевір ці гілки і присв параметру EnablePasswordProtect нульове значення DWORD.

Додаємо троянську ятати

Мультізагрузочний флешка - справжній швейцарський ніж. Після завантаження з неї можна розблокувати приховані облікові записи, скидати паролі, правити реєстр і взагалі творити що завгодно. Проблема одна: її можуть помітити. Тому зробимо собі додатковий лаз, який не вимагає зовнішніх інструментів. Створити його можна в тому числі і через консоль відновлення. Так чи інакше, ти можеш зробити копію файлу utilman.exe, а потім замінити його на cmd.exe. Спочатку зробимо копію вихідного файлу.

copy% windir% \ system32 \ utilman.exe% windir% \ system32 \ utilman-new.exe

Потім Перезаписуємо вихідний файл utilman.exe файлом cmd.exe:

copy% windir% \ system32 \ cmd.exe% windir% \ system32 \ utilman.exe

Буква диска (системного розділу) в змінної% windir% не обов'язково буде C: \. Її можна дізнатися за допомогою утиліти diskpart - командою list volume.

Після заміни utilman.exe файлом cmd.exe при наступному завантаженні Windows ти побачиш звичний екран вітання. Тільки при кліці на «Спеціальні можливості» тепер буде відкриватися командний рядок.

Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері

Зміст статті

Коли ти приходиш на роботу і виявляєш, що на комп'ютері щось заборонено, а в Мережі - заблоковано, це сприймається майже як виклик. У своїй статті я розповім, які бувають методи обмежень і як з ними боротися. Багато з описаних трюків мені доводилося проробляти самостійно - звичайно ж, виключно з благими намірами.

Зрозуміло, що обмеження важливі для безпеки і зниження навантаження на енікейщіков, але зазвичай рівень технічної підготовки у співробітників різний, а правила одні на всіх. Якщо ти відчуваєш, що обмеження заважають роботі і особистої свободи, а також розсудливо оцінивши наслідки, то у тебе є всі шанси власноруч поліпшити умови.

У чужий монастир зі своєю флешкою

Отримання потрібних прав на робочому комп'ютері в загальному випадку починається з завантаження іншої ОС з набором «хакерських» утиліт. Ми вже писали про те, як створити Мультизавантажувальний флешку , А зараз пройдемося по важливих деталей.

Буває, що завантажитися з перевіреною флешки або Live CD дуже непросто навіть при наявності фізичного доступу до комп'ютера. Завантаження з довільного носія не уявляла проблем до появи EFI. Просто входиш в настройки BIOS і міняєш порядок завантаження в розділі Boot. На одних компах для цього треба було натиснути Delete, на інших F2 - в будь-якому випадку потрібна клавіша вказувалася на екрані або в мануалі. Зараз же в UEFI використовується список довірених загрузчиков і два різних режиму стартовою послідовності, а завантаження Windows 8, 8.1 і 10 для прискорення може відбуватися прямо з EFI без жодних пропозицій увійти в налаштування.

Якщо ти відразу бачиш завантаження Windows і не встигаєш нічого зробити, то дочекайся її запуску і виконай одну з таких дій:

1. Натисни «перезавантажити» на екрані привітання Windows, утримуючи ліву кнопку Shift.
2. Уже після завантаження зайди в «Параметри → Оновлення та безпеку → Відновлення → Особливі варіанти завантаження». Натисни «Перезавантажити зараз → Пошук і усунення несправностей → Додаткові параметри → Параметри завантаження».
3. Як варіант - можеш ввести shutdown.exe / R / O в командному рядку.

Незалежно від обраного способу відбудеться перезавантаження з вибором параметрів, і ти зможеш опинитися в налаштуваннях BIOS / UEFI.

Якщо права жорстко обмежені і увійти в налаштування Windows 10 СОФТОВА методом неможливо, можеш спробувати фізично відключити HDD / SSD. Тоді при наступному завантаженні з'явиться повідомлення про помилку і відобразиться пункт для входу в UEFI.

Може здатися, що відключити харчування HDD на робочому комп'ютері складно, особливо якщо корпус опечатаний. Просто натисни на пластикову заглушку слота 5,25 ", яка зазвичай розташовується на фронтальній панелі. Трохи сильніше. Я сказав: «трохи»! Відчуваєш, як прогинається? Продавивши її міліметра на три, спробуй ухопити край і витягнути заглушку. У отвір спокійно пролазить рука до середини передпліччя, навіть якщо ти регулярно ходиш в гойдалку. Через цю амбразуру при належній вправності можна не тільки кабель відключити, але і майже весь комп перебрати. Метод нагадує ремонт двигуна через вихлопну трубу, але діє в реальному житті. Виняток становлять нестандартні корпусу - наприклад, повністю алюмінієві.

Швидке завантаження з флешки

Полегшити життя може опція швидкого вибору завантажувального пристрою, реалізована в деяких прошивках. Якщо вона є і активна, то при включенні комп'ютера крім повідомлення "Press [key] to enter setup» з'явиться ще одне: «... or [key] for boot menu». Зазвичай це клавіші Enter, F1 - F12, їх поєднання з клавішами Alt, Ctrl, Ins і Esc. Повний список варіантів зайняв би не одну сторінку, так що краще шукати відповідь в мануалі до конкретної материнської плати.

Так чи інакше, ти потрапляєш в настройки BIOS. З великою ймовірністю для завантаження з флешки також доведеться змінити параметр Boot List Option. За замовчуванням він зазвичай коштує в новому режимі UEFI, а на флешці використовується GRUB з запуском через MBR. Тому нам потрібен або старий режим Legacy / CSM, або обидва, але з пріоритетом класичного: Legacy / CSM + UEFI. Іноді цей пункт відсутній в списку. Тоді підтримку Legacy доведеться попередньо активувати на іншій вкладці. Зазвичай цей пункт називається Load Legacy Option Rom. Там же відключається захищений метод завантаження Secure Boot. При бажанні можна не відключати його, а додати власні ключі довірених загрузчиков, але опис цього методу виходить за рамки статті.

Іншою перешкодою може стати парольний захист BIOS / UEFI. Нагадую, що пароль зазвичай записаний на зворотному боці батарейки на материнській платі. Просто витягни її і переверни. Як не бачиш пароля? Дивно ... Гаразд, вставляй назад. Поки ти крутив батарейку, він випарувався разом з іншими даними CMOS. Якщо ветеринарні методи комп'ютерних операцій тобі чужі або відкрити корпус проблематично (наприклад, він стоїть біля всіх на виду), то спробуй ввести інженерний пароль. Він гуглити по виробнику BIOS і загальний у всіх материнських плат однієї серії.

Інший спосіб софтового скидання пароля на вхід в BIOS - викликати помилку в контрольній сумі блоків даних. Для цього є утиліта Крістофа Греньє CmosPwd . Вона прямо з Windows робить запис в CMOS. Метод не спрацює, якщо утиліту заблокує антивірус або якщо перезапис CMOS була попередньо відключена на низькому рівні.

INFO

На деяких ноутбуках, ультрабуках і неттопах тимчасове знеструмлення CMOS не приводить до скидання пароля входу в BIOS / UEFI, оскільки він зберігається в окремій мікросхемі незалежній пам'яті. У таких випадках можна відновити пароль за кодом помилки. Цей код відображається після триразового введення неправильного пароля і являє собою хеш від збереженого пароля. Оскільки хеш-функції незворотні, то обчислити пароль безпосередньо не можна. Однак існують програми, що підбирають пароль з таким самим значенням згортки. Це може бути як заданий пароль, так і інша комбінація символів, що дає такий же хеш при перевірці. Зайти в налаштування можна за допомогою одного з них, так як перевіряється саме хеш. Зверни увагу, що на деяких ноутбуках Dell при введенні пароля треба натискати Ctrl + Enter. Якщо нічого не допомогло, то залишається скористатися паяльником і програматором, але це вже хардкор для інженерів сервіс-центрів.

Відкриваємо доступ до диска

Отже, припустимо, що ми успішно завантажилися з флешки і готові до подвигів. З чого почнемо? Перше обмеження, з яким стикається звичайний користувач, - відсутність прав читання і записи в певних каталогах. Вільно використовувати він може тільки домашню папку, що не дуже зручно.

Такі обмеження задані на рівні списків управління доступом в файлової системі NTFS, але звірятися з ними зобов'язана тільки сама вінда. Інші ОС та окремі утиліти здатні ігнорувати ці обмеження. Наприклад, Linux і програми для відновлення даних не використовують WinAPI, а звертаються до диска або через свої драйвери, або безпосередньо. Тому вони просто не бачать виставлені в NTFS атрибути безпеки і читають все підряд.

Зробити копію будь-яких даних ти можеш вже на цьому етапі. Єдине можливе перешкоду - шифрування розділів. Вбудований захист BitLocker допоможуть подолати утиліти ElcomSoft (до речі кажучи, як і багато інших віртуальні паркани), а ось TrueCrypt, VeraCrypt і інші серйозні криптографічні контейнери доведеться розкривати інакше. Найпростіше робити це методами соціального інжинірингу, оскільки технічний захист у цих коштів на порядок вище, ніж психологічна у власника, - см. реальні приклади з життя .

Замінити права доступу теж нескладно. Завантажившись з флешки, ти стаєш адміном в тій же Windows PE і робиш з диском що хочеш. Однак цікавіше зберегти права в основній системі, для чого треба стати адміном саме в ній. Для цього найзручніше скористатися однією з утиліт для скидання паролів. Наприклад, найпростіша програма NT Password Edit Вадима Дружина була написана більше десяти років тому, але актуальна до сих пір. З її допомогою можна видалити або задати новий пароль будь-якого облікового запису Windows.

NT Password Edit

У більшості випадків цієї утиліти виявляється досить. Далі залишаються лише рутинні операції на зразок зміни власника і переустановлення дозволів для обраних каталогів. Трохи більше можливостей дає ще одна подібна утиліта - Active @ Password Changer . Разом з іншими утилітами Active @ вона додається на флешку як крихітний образ .ima, тому запуск безкоштовної старої (але ще корисною) версії можливий навіть без завантаження WinPE.

Активуємо відключені акаунти

Password Changer також дозволяє скинути пароль будь-якого облікового запису і вміє розблокувати її, якщо вона була відключена раніше.

Ще більше функцій у програми Reset Windows Password. З її допомогою можна не тільки скидати паролі, але і замітати сліди злому.

Скидання, дамп і замітання слідів

Подібно SAMInside, вона дозволяє копіювати паролі і хеши для їх аналізу на іншій машині - так їх простіше розкрити вже в спокійній обстановці (див. Статтю «Великий парольний коллайдер» в номері 194 ). Підібрати адмінських пароль куди цікавіше, ніж просто скинути його: з вихідним паролем ти будеш менше світитися в логах, тоді як грубий злом можуть швидко помітити.

Ще один тонкий варіант - додати в систему нового користувача, наділити його бажаними правами і приховати цей обліковий запис. Якщо користувачів десятки, то зайвого побачать нескоро. Проробивши це, ти зможеш логінитися під звичайним обліковим записом, не викликаючи підозр, а при необхідності запускати будь-яку програму від імені одного тобі відомої учеткі з повним доступом. Звичайно, повністю сховати її не вдасться, але хоча б на екрані вітання вона маячити не буде. Для цього достатньо змінити підрозділ UserList в реєстрі.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Шукаємо розділ SpecialAccounts або створюємо його, якщо не знайшовся. В цьому розділі шукаємо або створюємо підрозділ UserList, а в ньому - новий параметр типу DWORD з ім'ям прихованою учеткі. Якщо привласнити йому нульове значення, то відповідна обліковий запис не буде доступний широкому ні на екрані вітання, ні в загальному списку з панелі управління.

Можна піти далі і посилити конспірацію. Для цього знаходимо ключі з промовистою назвою dontdisplaylastusername і DontDisplayLockedUserId в цій гілці:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Першому присвоюємо значення 0x00000001, а другого - 0x00000002. Поточний і останній використаний аккаунт також зникнуть з екрану блокування.

Потоки NTFS допоможуть отримати доступ до файлів

Як вже зазначалося вище, більшість прав доступу на робочих комп'ютерах з Windows задається на рівні файлової системи NTFS. Тут саме час згадати про файлові потоки і особливості синтаксису. Згідно універсального угоди про іменування файлів (UNC), двокрапка відокремлює букву диска від подальшої долі. В NTFS цей знак використовується ще і як роздільник між власне ім'ям файлу і пов'язаним з ним файловим потоком.

Якщо настройки прав для кожного файлу і каталогу Windows коректні, то немає різниці, як саме звертаються до об'єктів файлової системи. Доступ завжди буде блокуватися при відсутності необхідних дозволів. Однак настройка прав - довга рутинна операція, яку в останні роки адміни часто стали спрощувати, використовуючи сторонні програми. Далеко не всі з них (навіть сертифіковані) коректно працюють з файловими потоками. Тому, якщо не вдається прочитати filename.ext, спробуй звернутися до потоку даних цього файлу за допомогою конструкції filename.ext: stream: $ DATA або filename.ext :: $ DATA.

Наприклад, якщо у тебе немає доступу до файлу passwords.txt, то наступна команда все одно виведе його вміст на екран:

more & lt; passwords.txt :: $ DATA

Приблизно так само можна скопіювати вміст файлу, перенаправивши висновок команди more нема на екран, а в інший файл.

more & lt; passwords.txt :: $ DATA & gt; pass.txt

Це не повинно спрацьовувати при коректному виставленні обмежень читання / запису, але адміни частенько не обтяжують себе аудитом прав доступу на кожен об'єкт файлової системи. На реальному комп'ютері нерідко виходить гримуча суміш з явно заданих і успадкованих прав, протиріччями в яких можна скористатися в своїх інтересах.

Читаємо файл з потоку даних прямо в консоль

До речі, про механізми успадкування. Трапляються ситуації, коли адмін забороняє доступ до подкаталогу для певних користувачів, але залишає для них же повний доступ до тек верхнього рівня. При цьому виникає явне протиріччя, і обмеження перестають діяти. Наприклад, відсутність прав на читання файлу не працює, якщо дозволено читати список містить його каталогу. Аналогічно і з видаленням.

Створюємо секретний розділ без підтримки прав доступу

Іноді адміни забороняють тільки виконання файлів. Наприклад, щоб користувач не зміг запустити якусь програму. Обійти це обмеження можна, просто скопіювавши її на розділ FAT32 (як варіант - на ту ж флешку), де права доступу вже задати неможливо. Їх просто не підтримує сама файлова система. Якщо ж постійно користуватися флешкою ​​занадто ризиковано, то можна зробити хитріше. Один раз запустити з неї будь-редактор дискових розділів, зменшити розмір системного, а на звільненому місці створити новий том FAT32 і (опціонально) приховати його.

Створюємо прихований розділ FAT32

Прихованим майданчиках не присвоюється літера диска, тому вони не відображаються в «Провіднику» і файлових менеджерах. Змонтувати його в Windows можна через Управління дисками - diskmgmt.msc. Необхідні права для запуску цього інструменту ти вже призначив собі на минулому етапі, коли дізнавався пароль адміна або створював нового.

Якщо на розділ FAT32 копіювалися документи, бази або мультимедійні дані, то вони будуть відкриватися без проблем. Ніщо не завадить і запускати простий софт, який ставиться розпакуванням: на новому місці все буде працювати, як і раніше. Ось з встановленими програмами не все так просто. У них доведеться міняти шляху в налаштуваннях. Це або файли .cfg і .ini в тому ж каталозі, або ключі реєстру. Змінити ключі можна за допомогою віддаленого редактора реєстру, що запускається з флешки в тій же WinPE.

Редагуємо реєстр іншої ОС

З таким інструментом можна обійти і інші обмеження, прописані в реєстрі.

Обходимо антивірус Касперського

Велика частина заборон на дії користувача в Windows реалізована через реєстр і права доступу в NTFS. Однак є й інший варіант: установка спеціалізованих програм контролю.

Наприклад, софт «Лабораторії Касперського» завантажує власні драйвери з \ windows \ system32 \ drivers \ і sysnative \ drivers. З їх допомогою він перехоплює системні виклики і звернення до файлової системи, контролюючи як роботу програм, так і дії користувача. Зазвичай адмін закриває зміна налаштувань антивірусного софту паролем. Гарна новина полягає в тому, що є прості процедури скидання такого пароля.

«Антивірус Касперського SOS» і версії для Windows Workstation перевіряють ім'я головного файлу. Тому досить виконати наступне:

• перейменувати avp.exe (завантажившись в WinPE або в безпечному режимі);
• запустити перейменований файл після звичайного входу в систему;
• зайти в меню «Налаштування → Параметри», відключити самозахист і захист паролем;
• зберегти настройки, вивантажити антивирь і перейменувати його назад.

При бажанні можна задати власний пароль, щоб адмін зрозумів, як ти мучився, не знаючи його.

Цей метод не спрацює, якщо антивірус на твоєму компі налаштовується централізовано. Однак ти завжди можеш тимчасово нейтралізувати сторожа описаним вище способом.

З новими продуктами Касперського все ще простіше. Італійський консультант Kaspersky Lab Маттео Рівойра написав скрипт , Який автоматично визначає встановлену версію антивіруса і обнуляє заданий пароль. З батника видно, що в 32-бітних і 64-розрядних версіях вінди він зберігається в різних гілках реєстру:

HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ protected \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ KasperskyLab \ [імя_продукта] \ settings

Тому або просто запусти цей bat, або правуй реєстр вручну з-під WinPE. Просто перевір ці гілки і присв параметру EnablePasswordProtect нульове значення DWORD.

Додаємо троянську ятати

Мультізагрузочний флешка - справжній швейцарський ніж. Після завантаження з неї можна розблокувати приховані облікові записи, скидати паролі, правити реєстр і взагалі творити що завгодно. Проблема одна: її можуть помітити. Тому зробимо собі додатковий лаз, який не вимагає зовнішніх інструментів. Створити його можна в тому числі і через консоль відновлення. Так чи інакше, ти можеш зробити копію файлу utilman.exe, а потім замінити його на cmd.exe. Спочатку зробимо копію вихідного файлу.

copy% windir% \ system32 \ utilman.exe% windir% \ system32 \ utilman-new.exe

Потім Перезаписуємо вихідний файл utilman.exe файлом cmd.exe:

copy% windir% \ system32 \ cmd.exe% windir% \ system32 \ utilman.exe

Буква диска (системного розділу) в змінної% windir% не обов'язково буде C: \. Її можна дізнатися за допомогою утиліти diskpart - командою list volume.

Після заміни utilman.exe файлом cmd.exe при наступному завантаженні Windows ти побачиш звичний екран вітання. Тільки при кліці на «Спеціальні можливості» тепер буде відкриватися командний рядок.

Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері

Зміст статті

Коли ти приходиш на роботу і виявляєш, що на комп'ютері щось заборонено, а в Мережі - заблоковано, це сприймається майже як виклик. У своїй статті я розповім, які бувають методи обмежень і як з ними боротися. Багато з описаних трюків мені доводилося проробляти самостійно - звичайно ж, виключно з благими намірами.

Зрозуміло, що обмеження важливі для безпеки і зниження навантаження на енікейщіков, але зазвичай рівень технічної підготовки у співробітників різний, а правила одні на всіх. Якщо ти відчуваєш, що обмеження заважають роботі і особистої свободи, а також розсудливо оцінивши наслідки, то у тебе є всі шанси власноруч поліпшити умови.

У чужий монастир зі своєю флешкою

Отримання потрібних прав на робочому комп'ютері в загальному випадку починається з завантаження іншої ОС з набором «хакерських» утиліт. Ми вже писали про те, як створити Мультизавантажувальний флешку , А зараз пройдемося по важливих деталей.

Буває, що завантажитися з перевіреною флешки або Live CD дуже непросто навіть при наявності фізичного доступу до комп'ютера. Завантаження з довільного носія не уявляла проблем до появи EFI. Просто входиш в настройки BIOS і міняєш порядок завантаження в розділі Boot. На одних компах для цього треба було натиснути Delete, на інших F2 - в будь-якому випадку потрібна клавіша вказувалася на екрані або в мануалі. Зараз же в UEFI використовується список довірених загрузчиков і два різних режиму стартовою послідовності, а завантаження Windows 8, 8.1 і 10 для прискорення може відбуватися прямо з EFI без жодних пропозицій увійти в налаштування.

Якщо ти відразу бачиш завантаження Windows і не встигаєш нічого зробити, то дочекайся її запуску і виконай одну з таких дій:

1. Натисни «перезавантажити» на екрані привітання Windows, утримуючи ліву кнопку Shift.
2. Уже після завантаження зайди в «Параметри → Оновлення та безпеку → Відновлення → Особливі варіанти завантаження». Натисни «Перезавантажити зараз → Пошук і усунення несправностей → Додаткові параметри → Параметри завантаження».
3. Як варіант - можеш ввести shutdown.exe / R / O в командному рядку.

Незалежно від обраного способу відбудеться перезавантаження з вибором параметрів, і ти зможеш опинитися в налаштуваннях BIOS / UEFI.

Якщо права жорстко обмежені і увійти в налаштування Windows 10 СОФТОВА методом неможливо, можеш спробувати фізично відключити HDD / SSD. Тоді при наступному завантаженні з'явиться повідомлення про помилку і відобразиться пункт для входу в UEFI.

Може здатися, що відключити харчування HDD на робочому комп'ютері складно, особливо якщо корпус опечатаний. Просто натисни на пластикову заглушку слота 5,25 ", яка зазвичай розташовується на фронтальній панелі. Трохи сильніше. Я сказав: «трохи»! Відчуваєш, як прогинається? Продавивши її міліметра на три, спробуй ухопити край і витягнути заглушку. У отвір спокійно пролазить рука до середини передпліччя, навіть якщо ти регулярно ходиш в гойдалку. Через цю амбразуру при належній вправності можна не тільки кабель відключити, але і майже весь комп перебрати. Метод нагадує ремонт двигуна через вихлопну трубу, але діє в реальному житті. Виняток становлять нестандартні корпусу - наприклад, повністю алюмінієві.

Швидке завантаження з флешки

Полегшити життя може опція швидкого вибору завантажувального пристрою, реалізована в деяких прошивках. Якщо вона є і активна, то при включенні комп'ютера крім повідомлення "Press [key] to enter setup» з'явиться ще одне: «... or [key] for boot menu». Зазвичай це клавіші Enter, F1 - F12, їх поєднання з клавішами Alt, Ctrl, Ins і Esc. Повний список варіантів зайняв би не одну сторінку, так що краще шукати відповідь в мануалі до конкретної материнської плати.

Так чи інакше, ти потрапляєш в настройки BIOS. З великою ймовірністю для завантаження з флешки також доведеться змінити параметр Boot List Option. За замовчуванням він зазвичай коштує в новому режимі UEFI, а на флешці використовується GRUB з запуском через MBR. Тому нам потрібен або старий режим Legacy / CSM, або обидва, але з пріоритетом класичного: Legacy / CSM + UEFI. Іноді цей пункт відсутній в списку. Тоді підтримку Legacy доведеться попередньо активувати на іншій вкладці. Зазвичай цей пункт називається Load Legacy Option Rom. Там же відключається захищений метод завантаження Secure Boot. При бажанні можна не відключати його, а додати власні ключі довірених загрузчиков, але опис цього методу виходить за рамки статті.

Іншою перешкодою може стати парольний захист BIOS / UEFI. Нагадую, що пароль зазвичай записаний на зворотному боці батарейки на материнській платі. Просто витягни її і переверни. Як не бачиш пароля? Дивно ... Гаразд, вставляй назад. Поки ти крутив батарейку, він випарувався разом з іншими даними CMOS. Якщо ветеринарні методи комп'ютерних операцій тобі чужі або відкрити корпус проблематично (наприклад, він стоїть біля всіх на виду), то спробуй ввести інженерний пароль. Він гуглити по виробнику BIOS і загальний у всіх материнських плат однієї серії.

Інший спосіб софтового скидання пароля на вхід в BIOS - викликати помилку в контрольній сумі блоків даних. Для цього є утиліта Крістофа Греньє CmosPwd . Вона прямо з Windows робить запис в CMOS. Метод не спрацює, якщо утиліту заблокує антивірус або якщо перезапис CMOS була попередньо відключена на низькому рівні.

INFO

На деяких ноутбуках, ультрабуках і неттопах тимчасове знеструмлення CMOS не приводить до скидання пароля входу в BIOS / UEFI, оскільки він зберігається в окремій мікросхемі незалежній пам'яті. У таких випадках можна відновити пароль за кодом помилки. Цей код відображається після триразового введення неправильного пароля і являє собою хеш від збереженого пароля. Оскільки хеш-функції незворотні, то обчислити пароль безпосередньо не можна. Однак існують програми, що підбирають пароль з таким самим значенням згортки. Це може бути як заданий пароль, так і інша комбінація символів, що дає такий же хеш при перевірці. Зайти в налаштування можна за допомогою одного з них, так як перевіряється саме хеш. Зверни увагу, що на деяких ноутбуках Dell при введенні пароля треба натискати Ctrl + Enter. Якщо нічого не допомогло, то залишається скористатися паяльником і програматором, але це вже хардкор для інженерів сервіс-центрів.

Відкриваємо доступ до диска

Отже, припустимо, що ми успішно завантажилися з флешки і готові до подвигів. З чого почнемо? Перше обмеження, з яким стикається звичайний користувач, - відсутність прав читання і записи в певних каталогах. Вільно використовувати він може тільки домашню папку, що не дуже зручно.

Такі обмеження задані на рівні списків управління доступом в файлової системі NTFS, але звірятися з ними зобов'язана тільки сама вінда. Інші ОС та окремі утиліти здатні ігнорувати ці обмеження. Наприклад, Linux і програми для відновлення даних не використовують WinAPI, а звертаються до диска або через свої драйвери, або безпосередньо. Тому вони просто не бачать виставлені в NTFS атрибути безпеки і читають все підряд.

Зробити копію будь-яких даних ти можеш вже на цьому етапі. Єдине можливе перешкоду - шифрування розділів. Вбудований захист BitLocker допоможуть подолати утиліти ElcomSoft (до речі кажучи, як і багато інших віртуальні паркани), а ось TrueCrypt, VeraCrypt і інші серйозні криптографічні контейнери доведеться розкривати інакше. Найпростіше робити це методами соціального інжинірингу, оскільки технічний захист у цих коштів на порядок вище, ніж психологічна у власника, - см. реальні приклади з життя .

Замінити права доступу теж нескладно. Завантажившись з флешки, ти стаєш адміном в тій же Windows PE і робиш з диском що хочеш. Однак цікавіше зберегти права в основній системі, для чого треба стати адміном саме в ній. Для цього найзручніше скористатися однією з утиліт для скидання паролів. Наприклад, найпростіша програма NT Password Edit Вадима Дружина була написана більше десяти років тому, але актуальна до сих пір. З її допомогою можна видалити або задати новий пароль будь-якого облікового запису Windows.

NT Password Edit

У більшості випадків цієї утиліти виявляється досить. Далі залишаються лише рутинні операції на зразок зміни власника і переустановлення дозволів для обраних каталогів. Трохи більше можливостей дає ще одна подібна утиліта - Active @ Password Changer . Разом з іншими утилітами Active @ вона додається на флешку як крихітний образ .ima, тому запуск безкоштовної старої (але ще корисною) версії можливий навіть без завантаження WinPE.

Активуємо відключені акаунти

Password Changer також дозволяє скинути пароль будь-якого облікового запису і вміє розблокувати її, якщо вона була відключена раніше.

Ще більше функцій у програми Reset Windows Password. З її допомогою можна не тільки скидати паролі, але і замітати сліди злому.

Скидання, дамп і замітання слідів

Подібно SAMInside, вона дозволяє копіювати паролі і хеши для їх аналізу на іншій машині - так їх простіше розкрити вже в спокійній обстановці (див. Статтю «Великий парольний коллайдер» в номері 194 ). Підібрати адмінських пароль куди цікавіше, ніж просто скинути його: з вихідним паролем ти будеш менше світитися в логах, тоді як грубий злом можуть швидко помітити.

Ще один тонкий варіант - додати в систему нового користувача, наділити його бажаними правами і приховати цей обліковий запис. Якщо користувачів десятки, то зайвого побачать нескоро. Проробивши це, ти зможеш логінитися під звичайним обліковим записом, не викликаючи підозр, а при необхідності запускати будь-яку програму від імені одного тобі відомої учеткі з повним доступом. Звичайно, повністю сховати її не вдасться, але хоча б на екрані вітання вона маячити не буде. Для цього достатньо змінити підрозділ UserList в реєстрі.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Шукаємо розділ SpecialAccounts або створюємо його, якщо не знайшовся. В цьому розділі шукаємо або створюємо підрозділ UserList, а в ньому - новий параметр типу DWORD з ім'ям прихованою учеткі. Якщо привласнити йому нульове значення, то відповідна обліковий запис не буде доступний широкому ні на екрані вітання, ні в загальному списку з панелі управління.

Можна піти далі і посилити конспірацію. Для цього знаходимо ключі з промовистою назвою dontdisplaylastusername і DontDisplayLockedUserId в цій гілці:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Першому присвоюємо значення 0x00000001, а другого - 0x00000002. Поточний і останній використаний аккаунт також зникнуть з екрану блокування.

Потоки NTFS допоможуть отримати доступ до файлів

Як вже зазначалося вище, більшість прав доступу на робочих комп'ютерах з Windows задається на рівні файлової системи NTFS. Тут саме час згадати про файлові потоки і особливості синтаксису. Згідно універсального угоди про іменування файлів (UNC), двокрапка відокремлює букву диска від подальшої долі. В NTFS цей знак використовується ще і як роздільник між власне ім'ям файлу і пов'язаним з ним файловим потоком.

Якщо настройки прав для кожного файлу і каталогу Windows коректні, то немає різниці, як саме звертаються до об'єктів файлової системи. Доступ завжди буде блокуватися при відсутності необхідних дозволів. Однак настройка прав - довга рутинна операція, яку в останні роки адміни часто стали спрощувати, використовуючи сторонні програми. Далеко не всі з них (навіть сертифіковані) коректно працюють з файловими потоками. Тому, якщо не вдається прочитати filename.ext, спробуй звернутися до потоку даних цього файлу за допомогою конструкції filename.ext: stream: $ DATA або filename.ext :: $ DATA.

Наприклад, якщо у тебе немає доступу до файлу passwords.txt, то наступна команда все одно виведе його вміст на екран:

more & lt; passwords.txt :: $ DATA

Приблизно так само можна скопіювати вміст файлу, перенаправивши висновок команди more нема на екран, а в інший файл.

more & lt; passwords.txt :: $ DATA & gt; pass.txt

Це не повинно спрацьовувати при коректному виставленні обмежень читання / запису, але адміни частенько не обтяжують себе аудитом прав доступу на кожен об'єкт файлової системи. На реальному комп'ютері нерідко виходить гримуча суміш з явно заданих і успадкованих прав, протиріччями в яких можна скористатися в своїх інтересах.

Читаємо файл з потоку даних прямо в консоль

До речі, про механізми успадкування. Трапляються ситуації, коли адмін забороняє доступ до подкаталогу для певних користувачів, але залишає для них же повний доступ до тек верхнього рівня. При цьому виникає явне протиріччя, і обмеження перестають діяти. Наприклад, відсутність прав на читання файлу не працює, якщо дозволено читати список містить його каталогу. Аналогічно і з видаленням.

Створюємо секретний розділ без підтримки прав доступу

Іноді адміни забороняють тільки виконання файлів. Наприклад, щоб користувач не зміг запустити якусь програму. Обійти це обмеження можна, просто скопіювавши її на розділ FAT32 (як варіант - на ту ж флешку), де права доступу вже задати неможливо. Їх просто не підтримує сама файлова система. Якщо ж постійно користуватися флешкою ​​занадто ризиковано, то можна зробити хитріше. Один раз запустити з неї будь-редактор дискових розділів, зменшити розмір системного, а на звільненому місці створити новий том FAT32 і (опціонально) приховати його.

Створюємо прихований розділ FAT32

Прихованим майданчиках не присвоюється літера диска, тому вони не відображаються в «Провіднику» і файлових менеджерах. Змонтувати його в Windows можна через Управління дисками - diskmgmt.msc. Необхідні права для запуску цього інструменту ти вже призначив собі на минулому етапі, коли дізнавався пароль адміна або створював нового.

Якщо на розділ FAT32 копіювалися документи, бази або мультимедійні дані, то вони будуть відкриватися без проблем. Ніщо не завадить і запускати простий софт, який ставиться розпакуванням: на новому місці все буде працювати, як і раніше. Ось з встановленими програмами не все так просто. У них доведеться міняти шляху в налаштуваннях. Це або файли .cfg і .ini в тому ж каталозі, або ключі реєстру. Змінити ключі можна за допомогою віддаленого редактора реєстру, що запускається з флешки в тій же WinPE.

Редагуємо реєстр іншої ОС

З таким інструментом можна обійти і інші обмеження, прописані в реєстрі.

Обходимо антивірус Касперського

Велика частина заборон на дії користувача в Windows реалізована через реєстр і права доступу в NTFS. Однак є й інший варіант: установка спеціалізованих програм контролю.

Наприклад, софт «Лабораторії Касперського» завантажує власні драйвери з \ windows \ system32 \ drivers \ і sysnative \ drivers. З їх допомогою він перехоплює системні виклики і звернення до файлової системи, контролюючи як роботу програм, так і дії користувача. Зазвичай адмін закриває зміна налаштувань антивірусного софту паролем. Гарна новина полягає в тому, що є прості процедури скидання такого пароля.

«Антивірус Касперського SOS» і версії для Windows Workstation перевіряють ім'я головного файлу. Тому досить виконати наступне:

• перейменувати avp.exe (завантажившись в WinPE або в безпечному режимі);
• запустити перейменований файл після звичайного входу в систему;
• зайти в меню «Налаштування → Параметри», відключити самозахист і захист паролем;
• зберегти настройки, вивантажити антивирь і перейменувати його назад.

При бажанні можна задати власний пароль, щоб адмін зрозумів, як ти мучився, не знаючи його.

Цей метод не спрацює, якщо антивірус на твоєму компі налаштовується централізовано. Однак ти завжди можеш тимчасово нейтралізувати сторожа описаним вище способом.

З новими продуктами Касперського все ще простіше. Італійський консультант Kaspersky Lab Маттео Рівойра написав скрипт , Який автоматично визначає встановлену версію антивіруса і обнуляє заданий пароль. З батника видно, що в 32-бітних і 64-розрядних версіях вінди він зберігається в різних гілках реєстру:

HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ protected \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ KasperskyLab \ [імя_продукта] \ settings

Тому або просто запусти цей bat, або правуй реєстр вручну з-під WinPE. Просто перевір ці гілки і присв параметру EnablePasswordProtect нульове значення DWORD.

Додаємо троянську ятати

Мультізагрузочний флешка - справжній швейцарський ніж. Після завантаження з неї можна розблокувати приховані облікові записи, скидати паролі, правити реєстр і взагалі творити що завгодно. Проблема одна: її можуть помітити. Тому зробимо собі додатковий лаз, який не вимагає зовнішніх інструментів. Створити його можна в тому числі і через консоль відновлення. Так чи інакше, ти можеш зробити копію файлу utilman.exe, а потім замінити його на cmd.exe. Спочатку зробимо копію вихідного файлу.

copy% windir% \ system32 \ utilman.exe% windir% \ system32 \ utilman-new.exe

Потім Перезаписуємо вихідний файл utilman.exe файлом cmd.exe:

copy% windir% \ system32 \ cmd.exe% windir% \ system32 \ utilman.exe

Буква диска (системного розділу) в змінної% windir% не обов'язково буде C: \. Її можна дізнатися за допомогою утиліти diskpart - командою list volume.

Після заміни utilman.exe файлом cmd.exe при наступному завантаженні Windows ти побачиш звичний екран вітання. Тільки при кліці на «Спеціальні можливості» тепер буде відкриватися командний рядок.

Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері

Зміст статті

Коли ти приходиш на роботу і виявляєш, що на комп'ютері щось заборонено, а в Мережі - заблоковано, це сприймається майже як виклик. У своїй статті я розповім, які бувають методи обмежень і як з ними боротися. Багато з описаних трюків мені доводилося проробляти самостійно - звичайно ж, виключно з благими намірами.

Зрозуміло, що обмеження важливі для безпеки і зниження навантаження на енікейщіков, але зазвичай рівень технічної підготовки у співробітників різний, а правила одні на всіх. Якщо ти відчуваєш, що обмеження заважають роботі і особистої свободи, а також розсудливо оцінивши наслідки, то у тебе є всі шанси власноруч поліпшити умови.

У чужий монастир зі своєю флешкою

Отримання потрібних прав на робочому комп'ютері в загальному випадку починається з завантаження іншої ОС з набором «хакерських» утиліт. Ми вже писали про те, як створити Мультизавантажувальний флешку , А зараз пройдемося по важливих деталей.

Буває, що завантажитися з перевіреною флешки або Live CD дуже непросто навіть при наявності фізичного доступу до комп'ютера. Завантаження з довільного носія не уявляла проблем до появи EFI. Просто входиш в настройки BIOS і міняєш порядок завантаження в розділі Boot. На одних компах для цього треба було натиснути Delete, на інших F2 - в будь-якому випадку потрібна клавіша вказувалася на екрані або в мануалі. Зараз же в UEFI використовується список довірених загрузчиков і два різних режиму стартовою послідовності, а завантаження Windows 8, 8.1 і 10 для прискорення може відбуватися прямо з EFI без жодних пропозицій увійти в налаштування.

Якщо ти відразу бачиш завантаження Windows і не встигаєш нічого зробити, то дочекайся її запуску і виконай одну з таких дій:

1. Натисни «перезавантажити» на екрані привітання Windows, утримуючи ліву кнопку Shift.
2. Уже після завантаження зайди в «Параметри → Оновлення та безпеку → Відновлення → Особливі варіанти завантаження». Натисни «Перезавантажити зараз → Пошук і усунення несправностей → Додаткові параметри → Параметри завантаження».
3. Як варіант - можеш ввести shutdown.exe / R / O в командному рядку.

Незалежно від обраного способу відбудеться перезавантаження з вибором параметрів, і ти зможеш опинитися в налаштуваннях BIOS / UEFI.

Якщо права жорстко обмежені і увійти в налаштування Windows 10 СОФТОВА методом неможливо, можеш спробувати фізично відключити HDD / SSD. Тоді при наступному завантаженні з'явиться повідомлення про помилку і відобразиться пункт для входу в UEFI.

Може здатися, що відключити харчування HDD на робочому комп'ютері складно, особливо якщо корпус опечатаний. Просто натисни на пластикову заглушку слота 5,25 ", яка зазвичай розташовується на фронтальній панелі. Трохи сильніше. Я сказав: «трохи»! Відчуваєш, як прогинається? Продавивши її міліметра на три, спробуй ухопити край і витягнути заглушку. У отвір спокійно пролазить рука до середини передпліччя, навіть якщо ти регулярно ходиш в гойдалку. Через цю амбразуру при належній вправності можна не тільки кабель відключити, але і майже весь комп перебрати. Метод нагадує ремонт двигуна через вихлопну трубу, але діє в реальному житті. Виняток становлять нестандартні корпусу - наприклад, повністю алюмінієві.

Швидке завантаження з флешки

Полегшити життя може опція швидкого вибору завантажувального пристрою, реалізована в деяких прошивках. Якщо вона є і активна, то при включенні комп'ютера крім повідомлення "Press [key] to enter setup» з'явиться ще одне: «... or [key] for boot menu». Зазвичай це клавіші Enter, F1 - F12, їх поєднання з клавішами Alt, Ctrl, Ins і Esc. Повний список варіантів зайняв би не одну сторінку, так що краще шукати відповідь в мануалі до конкретної материнської плати.

Так чи інакше, ти потрапляєш в настройки BIOS. З великою ймовірністю для завантаження з флешки також доведеться змінити параметр Boot List Option. За замовчуванням він зазвичай коштує в новому режимі UEFI, а на флешці використовується GRUB з запуском через MBR. Тому нам потрібен або старий режим Legacy / CSM, або обидва, але з пріоритетом класичного: Legacy / CSM + UEFI. Іноді цей пункт відсутній в списку. Тоді підтримку Legacy доведеться попередньо активувати на іншій вкладці. Зазвичай цей пункт називається Load Legacy Option Rom. Там же відключається захищений метод завантаження Secure Boot. При бажанні можна не відключати його, а додати власні ключі довірених загрузчиков, але опис цього методу виходить за рамки статті.

Іншою перешкодою може стати парольний захист BIOS / UEFI. Нагадую, що пароль зазвичай записаний на зворотному боці батарейки на материнській платі. Просто витягни її і переверни. Як не бачиш пароля? Дивно ... Гаразд, вставляй назад. Поки ти крутив батарейку, він випарувався разом з іншими даними CMOS. Якщо ветеринарні методи комп'ютерних операцій тобі чужі або відкрити корпус проблематично (наприклад, він стоїть біля всіх на виду), то спробуй ввести інженерний пароль. Він гуглити по виробнику BIOS і загальний у всіх материнських плат однієї серії.

Інший спосіб софтового скидання пароля на вхід в BIOS - викликати помилку в контрольній сумі блоків даних. Для цього є утиліта Крістофа Греньє CmosPwd . Вона прямо з Windows робить запис в CMOS. Метод не спрацює, якщо утиліту заблокує антивірус або якщо перезапис CMOS була попередньо відключена на низькому рівні.

INFO

На деяких ноутбуках, ультрабуках і неттопах тимчасове знеструмлення CMOS не приводить до скидання пароля входу в BIOS / UEFI, оскільки він зберігається в окремій мікросхемі незалежній пам'яті. У таких випадках можна відновити пароль за кодом помилки. Цей код відображається після триразового введення неправильного пароля і являє собою хеш від збереженого пароля. Оскільки хеш-функції незворотні, то обчислити пароль безпосередньо не можна. Однак існують програми, що підбирають пароль з таким самим значенням згортки. Це може бути як заданий пароль, так і інша комбінація символів, що дає такий же хеш при перевірці. Зайти в налаштування можна за допомогою одного з них, так як перевіряється саме хеш. Зверни увагу, що на деяких ноутбуках Dell при введенні пароля треба натискати Ctrl + Enter. Якщо нічого не допомогло, то залишається скористатися паяльником і програматором, але це вже хардкор для інженерів сервіс-центрів.

Відкриваємо доступ до диска

Отже, припустимо, що ми успішно завантажилися з флешки і готові до подвигів. З чого почнемо? Перше обмеження, з яким стикається звичайний користувач, - відсутність прав читання і записи в певних каталогах. Вільно використовувати він може тільки домашню папку, що не дуже зручно.

Такі обмеження задані на рівні списків управління доступом в файлової системі NTFS, але звірятися з ними зобов'язана тільки сама вінда. Інші ОС та окремі утиліти здатні ігнорувати ці обмеження. Наприклад, Linux і програми для відновлення даних не використовують WinAPI, а звертаються до диска або через свої драйвери, або безпосередньо. Тому вони просто не бачать виставлені в NTFS атрибути безпеки і читають все підряд.

Зробити копію будь-яких даних ти можеш вже на цьому етапі. Єдине можливе перешкоду - шифрування розділів. Вбудований захист BitLocker допоможуть подолати утиліти ElcomSoft (до речі кажучи, як і багато інших віртуальні паркани), а ось TrueCrypt, VeraCrypt і інші серйозні криптографічні контейнери доведеться розкривати інакше. Найпростіше робити це методами соціального інжинірингу, оскільки технічний захист у цих коштів на порядок вище, ніж психологічна у власника, - см. реальні приклади з життя .

Замінити права доступу теж нескладно. Завантажившись з флешки, ти стаєш адміном в тій же Windows PE і робиш з диском що хочеш. Однак цікавіше зберегти права в основній системі, для чого треба стати адміном саме в ній. Для цього найзручніше скористатися однією з утиліт для скидання паролів. Наприклад, найпростіша програма NT Password Edit Вадима Дружина була написана більше десяти років тому, але актуальна до сих пір. З її допомогою можна видалити або задати новий пароль будь-якого облікового запису Windows.

NT Password Edit

У більшості випадків цієї утиліти виявляється досить. Далі залишаються лише рутинні операції на зразок зміни власника і переустановлення дозволів для обраних каталогів. Трохи більше можливостей дає ще одна подібна утиліта - Active @ Password Changer . Разом з іншими утилітами Active @ вона додається на флешку як крихітний образ .ima, тому запуск безкоштовної старої (але ще корисною) версії можливий навіть без завантаження WinPE.

Активуємо відключені акаунти

Password Changer також дозволяє скинути пароль будь-якого облікового запису і вміє розблокувати її, якщо вона була відключена раніше.

Ще більше функцій у програми Reset Windows Password. З її допомогою можна не тільки скидати паролі, але і замітати сліди злому.

Скидання, дамп і замітання слідів

Подібно SAMInside, вона дозволяє копіювати паролі і хеши для їх аналізу на іншій машині - так їх простіше розкрити вже в спокійній обстановці (див. Статтю «Великий парольний коллайдер» в номері 194 ). Підібрати адмінських пароль куди цікавіше, ніж просто скинути його: з вихідним паролем ти будеш менше світитися в логах, тоді як грубий злом можуть швидко помітити.

Ще один тонкий варіант - додати в систему нового користувача, наділити його бажаними правами і приховати цей обліковий запис. Якщо користувачів десятки, то зайвого побачать нескоро. Проробивши це, ти зможеш логінитися під звичайним обліковим записом, не викликаючи підозр, а при необхідності запускати будь-яку програму від імені одного тобі відомої учеткі з повним доступом. Звичайно, повністю сховати її не вдасться, але хоча б на екрані вітання вона маячити не буде. Для цього достатньо змінити підрозділ UserList в реєстрі.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Шукаємо розділ SpecialAccounts або створюємо його, якщо не знайшовся. В цьому розділі шукаємо або створюємо підрозділ UserList, а в ньому - новий параметр типу DWORD з ім'ям прихованою учеткі. Якщо привласнити йому нульове значення, то відповідна обліковий запис не буде доступний широкому ні на екрані вітання, ні в загальному списку з панелі управління.

Можна піти далі і посилити конспірацію. Для цього знаходимо ключі з промовистою назвою dontdisplaylastusername і DontDisplayLockedUserId в цій гілці:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Першому присвоюємо значення 0x00000001, а другого - 0x00000002. Поточний і останній використаний аккаунт також зникнуть з екрану блокування.

Потоки NTFS допоможуть отримати доступ до файлів

Як вже зазначалося вище, більшість прав доступу на робочих комп'ютерах з Windows задається на рівні файлової системи NTFS. Тут саме час згадати про файлові потоки і особливості синтаксису. Згідно універсального угоди про іменування файлів (UNC), двокрапка відокремлює букву диска від подальшої долі. В NTFS цей знак використовується ще і як роздільник між власне ім'ям файлу і пов'язаним з ним файловим потоком.

Якщо настройки прав для кожного файлу і каталогу Windows коректні, то немає різниці, як саме звертаються до об'єктів файлової системи. Доступ завжди буде блокуватися при відсутності необхідних дозволів. Однак настройка прав - довга рутинна операція, яку в останні роки адміни часто стали спрощувати, використовуючи сторонні програми. Далеко не всі з них (навіть сертифіковані) коректно працюють з файловими потоками. Тому, якщо не вдається прочитати filename.ext, спробуй звернутися до потоку даних цього файлу за допомогою конструкції filename.ext: stream: $ DATA або filename.ext :: $ DATA.

Наприклад, якщо у тебе немає доступу до файлу passwords.txt, то наступна команда все одно виведе його вміст на екран:

more & lt; passwords.txt :: $ DATA

Приблизно так само можна скопіювати вміст файлу, перенаправивши висновок команди more нема на екран, а в інший файл.

more & lt; passwords.txt :: $ DATA & gt; pass.txt

Це не повинно спрацьовувати при коректному виставленні обмежень читання / запису, але адміни частенько не обтяжують себе аудитом прав доступу на кожен об'єкт файлової системи. На реальному комп'ютері нерідко виходить гримуча суміш з явно заданих і успадкованих прав, протиріччями в яких можна скористатися в своїх інтересах.

Читаємо файл з потоку даних прямо в консоль

До речі, про механізми успадкування. Трапляються ситуації, коли адмін забороняє доступ до подкаталогу для певних користувачів, але залишає для них же повний доступ до тек верхнього рівня. При цьому виникає явне протиріччя, і обмеження перестають діяти. Наприклад, відсутність прав на читання файлу не працює, якщо дозволено читати список містить його каталогу. Аналогічно і з видаленням.

Створюємо секретний розділ без підтримки прав доступу

Іноді адміни забороняють тільки виконання файлів. Наприклад, щоб користувач не зміг запустити якусь програму. Обійти це обмеження можна, просто скопіювавши її на розділ FAT32 (як варіант - на ту ж флешку), де права доступу вже задати неможливо. Їх просто не підтримує сама файлова система. Якщо ж постійно користуватися флешкою ​​занадто ризиковано, то можна зробити хитріше. Один раз запустити з неї будь-редактор дискових розділів, зменшити розмір системного, а на звільненому місці створити новий том FAT32 і (опціонально) приховати його.

Створюємо прихований розділ FAT32

Прихованим майданчиках не присвоюється літера диска, тому вони не відображаються в «Провіднику» і файлових менеджерах. Змонтувати його в Windows можна через Управління дисками - diskmgmt.msc. Необхідні права для запуску цього інструменту ти вже призначив собі на минулому етапі, коли дізнавався пароль адміна або створював нового.

Якщо на розділ FAT32 копіювалися документи, бази або мультимедійні дані, то вони будуть відкриватися без проблем. Ніщо не завадить і запускати простий софт, який ставиться розпакуванням: на новому місці все буде працювати, як і раніше. Ось з встановленими програмами не все так просто. У них доведеться міняти шляху в налаштуваннях. Це або файли .cfg і .ini в тому ж каталозі, або ключі реєстру. Змінити ключі можна за допомогою віддаленого редактора реєстру, що запускається з флешки в тій же WinPE.

Редагуємо реєстр іншої ОС

З таким інструментом можна обійти і інші обмеження, прописані в реєстрі.

Обходимо антивірус Касперського

Велика частина заборон на дії користувача в Windows реалізована через реєстр і права доступу в NTFS. Однак є й інший варіант: установка спеціалізованих програм контролю.

Наприклад, софт «Лабораторії Касперського» завантажує власні драйвери з \ windows \ system32 \ drivers \ і sysnative \ drivers. З їх допомогою він перехоплює системні виклики і звернення до файлової системи, контролюючи як роботу програм, так і дії користувача. Зазвичай адмін закриває зміна налаштувань антивірусного софту паролем. Гарна новина полягає в тому, що є прості процедури скидання такого пароля.

«Антивірус Касперського SOS» і версії для Windows Workstation перевіряють ім'я головного файлу. Тому досить виконати наступне:

• перейменувати avp.exe (завантажившись в WinPE або в безпечному режимі);
• запустити перейменований файл після звичайного входу в систему;
• зайти в меню «Налаштування → Параметри», відключити самозахист і захист паролем;
• зберегти настройки, вивантажити антивирь і перейменувати його назад.

При бажанні можна задати власний пароль, щоб адмін зрозумів, як ти мучився, не знаючи його.

Цей метод не спрацює, якщо антивірус на твоєму компі налаштовується централізовано. Однак ти завжди можеш тимчасово нейтралізувати сторожа описаним вище способом.

З новими продуктами Касперського все ще простіше. Італійський консультант Kaspersky Lab Маттео Рівойра написав скрипт , Який автоматично визначає встановлену версію антивіруса і обнуляє заданий пароль. З батника видно, що в 32-бітних і 64-розрядних версіях вінди він зберігається в різних гілках реєстру:

HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ protected \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ KasperskyLab \ [імя_продукта] \ settings

Тому або просто запусти цей bat, або правуй реєстр вручну з-під WinPE. Просто перевір ці гілки і присв параметру EnablePasswordProtect нульове значення DWORD.

Додаємо троянську ятати

Мультізагрузочний флешка - справжній швейцарський ніж. Після завантаження з неї можна розблокувати приховані облікові записи, скидати паролі, правити реєстр і взагалі творити що завгодно. Проблема одна: її можуть помітити. Тому зробимо собі додатковий лаз, який не вимагає зовнішніх інструментів. Створити його можна в тому числі і через консоль відновлення. Так чи інакше, ти можеш зробити копію файлу utilman.exe, а потім замінити його на cmd.exe. Спочатку зробимо копію вихідного файлу.

copy% windir% \ system32 \ utilman.exe% windir% \ system32 \ utilman-new.exe

Потім Перезаписуємо вихідний файл utilman.exe файлом cmd.exe:

copy% windir% \ system32 \ cmd.exe% windir% \ system32 \ utilman.exe

Буква диска (системного розділу) в змінної% windir% не обов'язково буде C: \. Її можна дізнатися за допомогою утиліти diskpart - командою list volume.

Після заміни utilman.exe файлом cmd.exe при наступному завантаженні Windows ти побачиш звичний екран вітання. Тільки при кліці на «Спеціальні можливості» тепер буде відкриватися командний рядок.

Розкриваємо Windows. Легкі способи отримати права адміністратора на робочому комп'ютері

Зміст статті

Коли ти приходиш на роботу і виявляєш, що на комп'ютері щось заборонено, а в Мережі - заблоковано, це сприймається майже як виклик. У своїй статті я розповім, які бувають методи обмежень і як з ними боротися. Багато з описаних трюків мені доводилося проробляти самостійно - звичайно ж, виключно з благими намірами.

Зрозуміло, що обмеження важливі для безпеки і зниження навантаження на енікейщіков, але зазвичай рівень технічної підготовки у співробітників різний, а правила одні на всіх. Якщо ти відчуваєш, що обмеження заважають роботі і особистої свободи, а також розсудливо оцінивши наслідки, то у тебе є всі шанси власноруч поліпшити умови.

У чужий монастир зі своєю флешкою

Отримання потрібних прав на робочому комп'ютері в загальному випадку починається з завантаження іншої ОС з набором «хакерських» утиліт. Ми вже писали про те, як створити Мультизавантажувальний флешку , А зараз пройдемося по важливих деталей.

Буває, що завантажитися з перевіреною флешки або Live CD дуже непросто навіть при наявності фізичного доступу до комп'ютера. Завантаження з довільного носія не уявляла проблем до появи EFI. Просто входиш в настройки BIOS і міняєш порядок завантаження в розділі Boot. На одних компах для цього треба було натиснути Delete, на інших F2 - в будь-якому випадку потрібна клавіша вказувалася на екрані або в мануалі. Зараз же в UEFI використовується список довірених загрузчиков і два різних режиму стартовою послідовності, а завантаження Windows 8, 8.1 і 10 для прискорення може відбуватися прямо з EFI без жодних пропозицій увійти в налаштування.

Якщо ти відразу бачиш завантаження Windows і не встигаєш нічого зробити, то дочекайся її запуску і виконай одну з таких дій:

1. Натисни «перезавантажити» на екрані привітання Windows, утримуючи ліву кнопку Shift.
2. Уже після завантаження зайди в «Параметри → Оновлення та безпеку → Відновлення → Особливі варіанти завантаження». Натисни «Перезавантажити зараз → Пошук і усунення несправностей → Додаткові параметри → Параметри завантаження».
3. Як варіант - можеш ввести shutdown.exe / R / O в командному рядку.

Незалежно від обраного способу відбудеться перезавантаження з вибором параметрів, і ти зможеш опинитися в налаштуваннях BIOS / UEFI.

Якщо права жорстко обмежені і увійти в налаштування Windows 10 СОФТОВА методом неможливо, можеш спробувати фізично відключити HDD / SSD. Тоді при наступному завантаженні з'явиться повідомлення про помилку і відобразиться пункт для входу в UEFI.

Може здатися, що відключити харчування HDD на робочому комп'ютері складно, особливо якщо корпус опечатаний. Просто натисни на пластикову заглушку слота 5,25 ", яка зазвичай розташовується на фронтальній панелі. Трохи сильніше. Я сказав: «трохи»! Відчуваєш, як прогинається? Продавивши її міліметра на три, спробуй ухопити край і витягнути заглушку. У отвір спокійно пролазить рука до середини передпліччя, навіть якщо ти регулярно ходиш в гойдалку. Через цю амбразуру при належній вправності можна не тільки кабель відключити, але і майже весь комп перебрати. Метод нагадує ремонт двигуна через вихлопну трубу, але діє в реальному житті. Виняток становлять нестандартні корпусу - наприклад, повністю алюмінієві.

Швидке завантаження з флешки

Полегшити життя може опція швидкого вибору завантажувального пристрою, реалізована в деяких прошивках. Якщо вона є і активна, то при включенні комп'ютера крім повідомлення "Press [key] to enter setup» з'явиться ще одне: «... or [key] for boot menu». Зазвичай це клавіші Enter, F1 - F12, їх поєднання з клавішами Alt, Ctrl, Ins і Esc. Повний список варіантів зайняв би не одну сторінку, так що краще шукати відповідь в мануалі до конкретної материнської плати.

Так чи інакше, ти потрапляєш в настройки BIOS. З великою ймовірністю для завантаження з флешки також доведеться змінити параметр Boot List Option. За замовчуванням він зазвичай коштує в новому режимі UEFI, а на флешці використовується GRUB з запуском через MBR. Тому нам потрібен або старий режим Legacy / CSM, або обидва, але з пріоритетом класичного: Legacy / CSM + UEFI. Іноді цей пункт відсутній в списку. Тоді підтримку Legacy доведеться попередньо активувати на іншій вкладці. Зазвичай цей пункт називається Load Legacy Option Rom. Там же відключається захищений метод завантаження Secure Boot. При бажанні можна не відключати його, а додати власні ключі довірених загрузчиков, але опис цього методу виходить за рамки статті.

Іншою перешкодою може стати парольний захист BIOS / UEFI. Нагадую, що пароль зазвичай записаний на зворотному боці батарейки на материнській платі. Просто витягни її і переверни. Як не бачиш пароля? Дивно ... Гаразд, вставляй назад. Поки ти крутив батарейку, він випарувався разом з іншими даними CMOS. Якщо ветеринарні методи комп'ютерних операцій тобі чужі або відкрити корпус проблематично (наприклад, він стоїть біля всіх на виду), то спробуй ввести інженерний пароль. Він гуглити по виробнику BIOS і загальний у всіх материнських плат однієї серії.

Інший спосіб софтового скидання пароля на вхід в BIOS - викликати помилку в контрольній сумі блоків даних. Для цього є утиліта Крістофа Греньє CmosPwd . Вона прямо з Windows робить запис в CMOS. Метод не спрацює, якщо утиліту заблокує антивірус або якщо перезапис CMOS була попередньо відключена на низькому рівні.

INFO

На деяких ноутбуках, ультрабуках і неттопах тимчасове знеструмлення CMOS не приводить до скидання пароля входу в BIOS / UEFI, оскільки він зберігається в окремій мікросхемі незалежній пам'яті. У таких випадках можна відновити пароль за кодом помилки. Цей код відображається після триразового введення неправильного пароля і являє собою хеш від збереженого пароля. Оскільки хеш-функції незворотні, то обчислити пароль безпосередньо не можна. Однак існують програми, що підбирають пароль з таким самим значенням згортки. Це може бути як заданий пароль, так і інша комбінація символів, що дає такий же хеш при перевірці. Зайти в налаштування можна за допомогою одного з них, так як перевіряється саме хеш. Зверни увагу, що на деяких ноутбуках Dell при введенні пароля треба натискати Ctrl + Enter. Якщо нічого не допомогло, то залишається скористатися паяльником і програматором, але це вже хардкор для інженерів сервіс-центрів.

Відкриваємо доступ до диска

Отже, припустимо, що ми успішно завантажилися з флешки і готові до подвигів. З чого почнемо? Перше обмеження, з яким стикається звичайний користувач, - відсутність прав читання і записи в певних каталогах. Вільно використовувати він може тільки домашню папку, що не дуже зручно.

Такі обмеження задані на рівні списків управління доступом в файлової системі NTFS, але звірятися з ними зобов'язана тільки сама вінда. Інші ОС та окремі утиліти здатні ігнорувати ці обмеження. Наприклад, Linux і програми для відновлення даних не використовують WinAPI, а звертаються до диска або через свої драйвери, або безпосередньо. Тому вони просто не бачать виставлені в NTFS атрибути безпеки і читають все підряд.

Зробити копію будь-яких даних ти можеш вже на цьому етапі. Єдине можливе перешкоду - шифрування розділів. Вбудований захист BitLocker допоможуть подолати утиліти ElcomSoft (до речі кажучи, як і багато інших віртуальні паркани), а ось TrueCrypt, VeraCrypt і інші серйозні криптографічні контейнери доведеться розкривати інакше. Найпростіше робити це методами соціального інжинірингу, оскільки технічний захист у цих коштів на порядок вище, ніж психологічна у власника, - см. реальні приклади з життя .

Замінити права доступу теж нескладно. Завантажившись з флешки, ти стаєш адміном в тій же Windows PE і робиш з диском що хочеш. Однак цікавіше зберегти права в основній системі, для чого треба стати адміном саме в ній. Для цього найзручніше скористатися однією з утиліт для скидання паролів. Наприклад, найпростіша програма NT Password Edit Вадима Дружина була написана більше десяти років тому, але актуальна до сих пір. З її допомогою можна видалити або задати новий пароль будь-якого облікового запису Windows.

NT Password Edit

У більшості випадків цієї утиліти виявляється досить. Далі залишаються лише рутинні операції на зразок зміни власника і переустановлення дозволів для обраних каталогів. Трохи більше можливостей дає ще одна подібна утиліта - Active @ Password Changer . Разом з іншими утилітами Active @ вона додається на флешку як крихітний образ .ima, тому запуск безкоштовної старої (але ще корисною) версії можливий навіть без завантаження WinPE.

Активуємо відключені акаунти

Password Changer також дозволяє скинути пароль будь-якого облікового запису і вміє розблокувати її, якщо вона була відключена раніше.

Ще більше функцій у програми Reset Windows Password. З її допомогою можна не тільки скидати паролі, але і замітати сліди злому.

Скидання, дамп і замітання слідів

Подібно SAMInside, вона дозволяє копіювати паролі і хеши для їх аналізу на іншій машині - так їх простіше розкрити вже в спокійній обстановці (див. Статтю «Великий парольний коллайдер» в номері 194 ). Підібрати адмінських пароль куди цікавіше, ніж просто скинути його: з вихідним паролем ти будеш менше світитися в логах, тоді як грубий злом можуть швидко помітити.

Ще один тонкий варіант - додати в систему нового користувача, наділити його бажаними правами і приховати цей обліковий запис. Якщо користувачів десятки, то зайвого побачать нескоро. Проробивши це, ти зможеш логінитися під звичайним обліковим записом, не викликаючи підозр, а при необхідності запускати будь-яку програму від імені одного тобі відомої учеткі з повним доступом. Звичайно, повністю сховати її не вдасться, але хоча б на екрані вітання вона маячити не буде. Для цього достатньо змінити підрозділ UserList в реєстрі.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Шукаємо розділ SpecialAccounts або створюємо його, якщо не знайшовся. В цьому розділі шукаємо або створюємо підрозділ UserList, а в ньому - новий параметр типу DWORD з ім'ям прихованою учеткі. Якщо привласнити йому нульове значення, то відповідна обліковий запис не буде доступний широкому ні на екрані вітання, ні в загальному списку з панелі управління.

Можна піти далі і посилити конспірацію. Для цього знаходимо ключі з промовистою назвою dontdisplaylastusername і DontDisplayLockedUserId в цій гілці:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System

Першому присвоюємо значення 0x00000001, а другого - 0x00000002. Поточний і останній використаний аккаунт також зникнуть з екрану блокування.

Потоки NTFS допоможуть отримати доступ до файлів

Як вже зазначалося вище, більшість прав доступу на робочих комп'ютерах з Windows задається на рівні файлової системи NTFS. Тут саме час згадати про файлові потоки і особливості синтаксису. Згідно універсального угоди про іменування файлів (UNC), двокрапка відокремлює букву диска від подальшої долі. В NTFS цей знак використовується ще і як роздільник між власне ім'ям файлу і пов'язаним з ним файловим потоком.

Якщо настройки прав для кожного файлу і каталогу Windows коректні, то немає різниці, як саме звертаються до об'єктів файлової системи. Доступ завжди буде блокуватися при відсутності необхідних дозволів. Однак настройка прав - довга рутинна операція, яку в останні роки адміни часто стали спрощувати, використовуючи сторонні програми. Далеко не всі з них (навіть сертифіковані) коректно працюють з файловими потоками. Тому, якщо не вдається прочитати filename.ext, спробуй звернутися до потоку даних цього файлу за допомогою конструкції filename.ext: stream: $ DATA або filename.ext :: $ DATA.

Наприклад, якщо у тебе немає доступу до файлу passwords.txt, то наступна команда все одно виведе його вміст на екран:

more & lt; passwords.txt :: $ DATA

Приблизно так само можна скопіювати вміст файлу, перенаправивши висновок команди more нема на екран, а в інший файл.

more & lt; passwords.txt :: $ DATA & gt; pass.txt

Це не повинно спрацьовувати при коректному виставленні обмежень читання / запису, але адміни частенько не обтяжують себе аудитом прав доступу на кожен об'єкт файлової системи. На реальному комп'ютері нерідко виходить гримуча суміш з явно заданих і успадкованих прав, протиріччями в яких можна скористатися в своїх інтересах.

Читаємо файл з потоку даних прямо в консоль

До речі, про механізми успадкування. Трапляються ситуації, коли адмін забороняє доступ до подкаталогу для певних користувачів, але залишає для них же повний доступ до тек верхнього рівня. При цьому виникає явне протиріччя, і обмеження перестають діяти. Наприклад, відсутність прав на читання файлу не працює, якщо дозволено читати список містить його каталогу. Аналогічно і з видаленням.

Створюємо секретний розділ без підтримки прав доступу

Іноді адміни забороняють тільки виконання файлів. Наприклад, щоб користувач не зміг запустити якусь програму. Обійти це обмеження можна, просто скопіювавши її на розділ FAT32 (як варіант - на ту ж флешку), де права доступу вже задати неможливо. Їх просто не підтримує сама файлова система. Якщо ж постійно користуватися флешкою ​​занадто ризиковано, то можна зробити хитріше. Один раз запустити з неї будь-редактор дискових розділів, зменшити розмір системного, а на звільненому місці створити новий том FAT32 і (опціонально) приховати його.

Створюємо прихований розділ FAT32

Прихованим майданчиках не присвоюється літера диска, тому вони не відображаються в «Провіднику» і файлових менеджерах. Змонтувати його в Windows можна через Управління дисками - diskmgmt.msc. Необхідні права для запуску цього інструменту ти вже призначив собі на минулому етапі, коли дізнавався пароль адміна або створював нового.

Якщо на розділ FAT32 копіювалися документи, бази або мультимедійні дані, то вони будуть відкриватися без проблем. Ніщо не завадить і запускати простий софт, який ставиться розпакуванням: на новому місці все буде працювати, як і раніше. Ось з встановленими програмами не все так просто. У них доведеться міняти шляху в налаштуваннях. Це або файли .cfg і .ini в тому ж каталозі, або ключі реєстру. Змінити ключі можна за допомогою віддаленого редактора реєстру, що запускається з флешки в тій же WinPE.

Редагуємо реєстр іншої ОС

З таким інструментом можна обійти і інші обмеження, прописані в реєстрі.

Обходимо антивірус Касперського

Велика частина заборон на дії користувача в Windows реалізована через реєстр і права доступу в NTFS. Однак є й інший варіант: установка спеціалізованих програм контролю.

Наприклад, софт «Лабораторії Касперського» завантажує власні драйвери з \ windows \ system32 \ drivers \ і sysnative \ drivers. З їх допомогою він перехоплює системні виклики і звернення до файлової системи, контролюючи як роботу програм, так і дії користувача. Зазвичай адмін закриває зміна налаштувань антивірусного софту паролем. Гарна новина полягає в тому, що є прості процедури скидання такого пароля.

«Антивірус Касперського SOS» і версії для Windows Workstation перевіряють ім'я головного файлу. Тому досить виконати наступне:

• перейменувати avp.exe (завантажившись в WinPE або в безпечному режимі);
• запустити перейменований файл після звичайного входу в систему;
• зайти в меню «Налаштування → Параметри», відключити самозахист і захист паролем;
• зберегти настройки, вивантажити антивирь і перейменувати його назад.

При бажанні можна задати власний пароль, щоб адмін зрозумів, як ти мучився, не знаючи його.

Цей метод не спрацює, якщо антивірус на твоєму компі налаштовується централізовано. Однак ти завжди можеш тимчасово нейтралізувати сторожа описаним вище способом.

З новими продуктами Касперського все ще простіше. Італійський консультант Kaspersky Lab Маттео Рівойра написав скрипт , Який автоматично визначає встановлену версію антивіруса і обнуляє заданий пароль. З батника видно, що в 32-бітних і 64-розрядних версіях вінди він зберігається в різних гілках реєстру:

HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ KasperskyLab \ protected \ [імя_продукта] \ settings HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ KasperskyLab \ [імя_продукта] \ settings

Тому або просто запусти цей bat, або правуй реєстр вручну з-під WinPE. Просто перевір ці гілки і присв параметру EnablePasswordProtect нульове значення DWORD.

Додаємо троянську ятати

Мультізагрузочний флешка - справжній швейцарський ніж. Після завантаження з неї можна розблокувати приховані облікові записи, скидати паролі, правити реєстр і взагалі творити що завгодно. Проблема одна: її можуть помітити. Тому зробимо собі додатковий лаз, який не вимагає зовнішніх інструментів. Створити його можна в тому числі і через консоль відновлення. Так чи інакше, ти можеш зробити копію файлу utilman.exe, а потім замінити його на cmd.exe. Спочатку зробимо копію вихідного файлу.

copy% windir% \ system32 \ utilman.exe% windir% \ system32 \ utilman-new.exe

Потім Перезаписуємо вихідний файл utilman.exe файлом cmd.exe:

copy% windir% \ system32 \ cmd.exe% windir% \ system32 \ utilman.exe

Буква диска (системного розділу) в змінної% windir% не обов'язково буде C: \. Її можна дізнатися за допомогою утиліти diskpart - командою list volume.

Після заміни utilman.exe файлом cmd.exe при наступному завантаженні Windows ти побачиш звичний екран вітання. Тільки при кліці на «Спеціальні можливості» тепер буде відкриватися командний рядок.

У ній можна делать все ті ж, что и зазвічай. Например, можеш з'ясувати актуальний список обліковіх запісів командою net user и поміняти їх параметрами. Робиш з будь-яким профілем що завгодно - актівіруешь і деактівіруешь, міняєш паролі, змінюєш терміни їх дії і так далі. Детальніше про синтаксис читай .aspx) в довідці на сайті Microsoft.

Обходимо локальні групові політики

Детальніше про політиків поговоримо трохи пізніше (не люблю я їх, політиків), а поки розберемо найпростіший приклад - обмеження на запуск програм через адміністративні шаблони.

Адміни дуже люблять редактор gpedit.msc. Одна з найбільш затребуваних налаштувань в ньому називається «Виконувати тільки зазначені додатки Windows». Зазвичай за допомогою цього інструменту офісного планктону дозволяють запуск тільки додатків з білого списку. У нього вносять Word, Excel, калькулятор та інші прості речі. Всі інші імена виконуваних файлів автоматично потрапляють під заборону. Зверни увагу: саме імена. Тому беремо той же cmd.exe або totalcmd.exe, перейменовуємо в winword.exe і спокійно користуємося. Подивитися (і поміняти) обмеження можна через той же редактор віддаленого реєстру в WinPE. Вони записані в цій гілці:

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ RestrictRun

Струшуємо доменні політики

В домені комп'ютери управляються централізовано через групові політики, однак і цей заслін можна подолати. Найпростіший спосіб - не дати політикам завантажитися. Для цього запускаєш Windows в безпечному режимі або просто відключаєш машину від локальної мережі при включенні. У другому випадку ти зможеш залогінитися в домен навіть без фізичного підключення до нього, оскільки Windows кешує дані попереднього входу і при втраті зв'язку з контролером домену виконує перевірку локально.

Після входу можеш знову підключитися до локалке і працювати як зазвичай, тільки вже без активних політик. Мінус цього способу полягає в невибіркову підході. В політиках записані не тільки обмеження, але і додаткові ресурси, на зразок виділеної мережевий папки. Втім, до цього часу у тебе вже повинні бути достатні права, щоб відновити втрату самостійно.

Обходимо просунуті заборони на запуск програм

В домені використовується більш просунутий інструмент обмеження запуску програм - SRP. Він вміє перевіряти, крім імен виконуваних файлів, їх шляху, хеші та сертифікати. Простим перейменуванням файлів його НЕ обдурити. Як же бути? Аналогічно: просто не дати системі побачити ці обмеження.

За замовчуванням контролюється тільки запуск програм, але не динамічних бібліотек, оскільки тотальна перевірка забирає надто багато ресурсів.

Дефолтні настройки SRP

Ще в 2005 році Марк Руссинович написав утиліту Gpdisable . Вона виконує інжект бібліотеки в будь-який процес, і той перестає бачити заборони групової політики з відповідною гілки реєстру.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers

Потім схожу тактику реалізував Ерік Ракнер (Eric Rachner) в своїй утиліті Group Policy Bypassing Tool - тоді він ще був керівником команди Application Consulting Engineering (ACE team) в Microsoft.

Обидві програми мають однаковий недолік: щоб запустити їх і впровадити .dll, користувач вже повинен мати деякі адміністративні привілеї. Але якщо вони у нього є, то сенс в цих утиліти втрачається. Локального адміну ніщо не заважає прибрати обмеження доменних політик вручну.

У блозі ACROS Security років п'ять тому був описаний інший спосіб обходу доменних обмежень, який можна застосовувати в реальній ситуації з правами простого користувача.

1. Перейменовуємо впроваджується бібліотеку gpdisable.dll в deskpan.dll.
2. Створюємо нову папку з ім'ям files. {42071714-76d4-11d1-8b24-00a0c9068ff3}.
3. Розміщуємо в неї файл deskpan.dll і відкриваємо папку.
4. Створюємо в ній новий документ .rtf і відкриваємо його.

При цьому завантажується WordPad, який завантажує в пам'ять gpdisable.dll під виглядом deskpan.dll. Розберемо метод докладніше.

Deskpan.dll - це розширення CPL панорамування дисплея, стандартна бібліотека в Windows, на яку не поширюються обмеження SRP. В системі вона зареєстрована як COM-сервер з глобальним ідентифікатором класу {42071714-76d4-11d1-8b24-00a0c9068ff3}. Якщо ми запускаємо довірена додаток з папки, в назві якої є ID цього класу після точки, то воно створює екземпляр COM-сервера і виконує завантаження deskpan.dll з поточного робочого каталогу.

У викладеному варіанті цей метод працює тільки в Windows XP, але для більш свіжих версій вінди його нескладно модифікувати. Принцип залишається тим самим.

Наприклад, в Windows 7 можна використовувати COM-сервер AnalogCable Class (\ System32 \ PsisDecd.dll), зареєстрований з ідентифікатором CLSID {2E095DD0-AF56-47E4-A099-EAC038DECC24}. При зверненні до PsisDecd.dll завантажується бібліотека ehTrace.dll, пошуки якої починаються з поточного каталогу. Тому аналогічний сценарій впровадження gpdisable.dll можна реалізувати навіть за допомогою «Блокнота».

1. Перейменовуємо gpdisable.dll в ehTrace.dll.
2. Створюємо новий текстовий документ.
3. Створюємо каталог з ім'ям files. {2E095DD0-AF56-47E4-A099-EAC038DECC24} і поміщаємо в нього обидва файли (бібліотеку і текстовий документ).
4. Двічі натискаємо на текстовий файл і відкриваємо в «Блокноті» пункт «Зберегти як».

У цей момент в пам'ять завантажується gpdisable.dll.

Створюємо хитрі ярлики

Трюки з попереднього розділу можливі тому, що в Windows поряд зі звичайними папками використовуються папки-ярлики з зумовленими функціями. Наприклад, «Мій комп'ютер», «Панель управління» або «Принтери». Всі вони реалізовані як COM-сервери з відомими ідентифікаторами класу (CLSID). Всього їх більше ста, тому перерахую тільки нові в Windows 10:

• {3936E9E4-D92C-4EEE-A85A-BC16D5EA0819} - часто використовувані папки;
• {018D5C66-4533-4307-9B53-224DE2ED1FE6} - OneDrive;
• {679f85cb-0220-4080-b29b-5540cc05aab6} - панель швидкого доступу;
• {BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6} - безпека і обслуговування.

Будь-який з них можна використовувати для прихованого запуску своїх програм.

У прикладі нижче я створюю в призначеній для користувача директорії підпапку з ім'ям LPT3. {BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}. Ім'я до точки заборонено в Windows, оскільки збігається з назвою порту. Щоб його створити, потрібно запитати командний інтерпретатор послідовністю \\. \ І передати повний шлях до створюваного каталогу як аргумент в лапках.

Створюємо приховану видаляються папку

Після цієї команди отримуємо не видаляється штатними засобами каталог, який в провіднику відображається як LPT3. При подвійному натисканні на ньому вміст папки не відкривається. Замість цього запускається «Центр безпеки та обслуговування». При цьому лежать всередині папки файлів будуть доступні з командних файлів (.bat і .cmd) і з реєстру (наприклад, в секції автозавантаження).

Включаємо USB (7-ма різними способами)

Однією з перешкод для використання флешки може бути відключення адміном портів USB на твоєму комп'ютері. Зробити це можна різними способами, тому і методи протидії потрібні різні.

1. Порти фізично відключені

Таке можливо тільки з додатковими портами, які підключаються кабелем до материнської плати. Задні порти розпаяні на самій материнке, і їх мінімум дві штуки. Тому принеси з дому копійчаний хаб, застроми його замість мишки або клавіатури і підключай всю штатну периферію через нього. Другий залиш для завантажувальної флешки.

2. Порти відключені в BIOS / UEFI

Адмін може відключити як порти взагалі (рідкісний випадок), так і окрему опцію USB Boot. Саме вона відповідає за можливість завантаження з USB-носіїв. Як входити в налаштування BIOS, ми вже розібрали, а відшукати потрібну опцію не складе труднощів.

3. Вилучені драйвери контролера USB

Хитрі адміни просто зносять драйвери USB через диспетчер пристроїв, але тебе це не зупинить. Завантажитися з флешки відсутність драйверів не завадить. Ставши локальним адміном, ти легко доустановити відсутні драйвери - Windows сама запропонує це зробити.

4. Заблоковано окремі пристрої USB

Більш тонкий метод - заборона використання саме USB-накопичувачів. При цьому інші типи пристроїв з інтерфейсом USB продовжують працювати. Здається обмеження через гілку реєстру

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ USBSTOR

При значенні параметра Start 0x00000004 використання флешок і зовнішніх дисків заборонено, а при 0x00000003 - дозволено. Боротися з цим можна тим же методом, що і в попередньому пункті: завантажується з флешки і міняємо секцію USBSTOR через офлайновий редактор реєстру.

5. USB-накопичувачі заборонені через групову політику

Редактор групових політик дозволяє задати адміністративний шаблон, який забороняє доступ до знімних запам'ятовуючим пристроям. Знову завантажується з флешки, дізнаємося пароль локального адміністратора (або скидаємо, якщо не вдалося дізнатися), попутно активуємо учетку, якщо вона була відключена. Після цього запускаємо gpedit.msc і відключаємо заборона.

Відключаємо заборона на використання USB-накопичувачів

6. Обмежені права на читання файлів usbstor.inf і usbstor.pnf в каталозі \ Windows \ Inf

Черговий трюк з правами NTFS. Якщо неможливо звернутися до цих файлів в обмеженою облікового запису, то чи не будуть підключатися флешки. Використовуємо права локального адміна або просто переміщаємо ці файли через WinPE на тому FAT32. Після зворотного переміщення в \ inf \ права доступу злетять.

7. Підключення пристроїв по USB контролюється окремою програмою

На допомогу адмінам було написано безліч утиліт для обмеження використання флешок і зовнішніх дисків. Більшість таких програм просто змінює значення згаданої вище гілки реєстру, але є і просунуті варіанти. Такі вміють запам'ятовувати дозволені флешки за номером томи (VSN - Volume Serial Number) і блокувати інші. Можна просто вивантажити процеси цих програм з пам'яті або підмінити VSN. Це 32-бітове значення, яке присвоюється тому при його форматуванні за значенням поточної дати і часу.

Дізнаємося серійний номер тому

Дізнатися VSN довіреної флешки можна командою vol або dir. За допомогою програми Volume Serial Number Changer привласнюєш такий же номер своєї флешці і вільно їй користуєшся. Для надійності заміни ще й мітку тому (просто через властивості диска).

Інший варіант протидії - порушувати роботу програм контролю, часом завантажуючись з флешки і змінюючи назви її робочих файлів (або видаляючи з автозавантаження). Якщо робити все акуратно, адмін вважатиме програму глючной і сам видалить її.

Несподівана перешкода для використання флешок виникає на комп'ютерах з посереднім блоком живлення (читай - на більшості дешевих робочих машин) без жодних старань адміна. Справа в тому, що шина 5 В просаживается настільки, що флешці не вистачає живлення. В такому випадку відключи інший пристрій з сусіднього (парного) USB-порту або використовуй активний хаб з власним блоком живлення. Через нього можна живити хоч зовнішній вінчестер.

Підключаємося до інтернету

Маса обмежень на роботі стосується використання інтернету. У загальному випадку їх можна обійти, перенаправляючи весь трафік на непідконтрольний компанії сервер. Наприклад, використовувати анонімний проксі-сервер через браузерні аддон FoxyProxy або аналогічний. Якщо міняти адресу проксі частіше, то обчислити його використання буде складніше. Піднявши проксі-сервер будинку, ти підвищиш швидкість і захищеність з'єднання, а заодно і отримаєш доступ до своєї локалке.

Додаємо свій або публічний проксі

Іноді проблема полягає не стільки в забороні відвідування певних сайтів, скільки в квотою трафіку. Зробити безлімітне підключення сьогодні найпростіше за допомогою смартфона. Підключивши вигідний тариф на мобільний інтернет, можна роздавати трафік по Wi-Fi або використовувати USB-tethering. Підключений кабелем смартфон не світиться в ефірі і викликає менше підозр. Ти його заряджати від робочого комп'ютера, які проблеми?

Всі описані методи мають обмежене застосування через різноманіття варіантів конфігурації. Покрокові інструкції застарівають швидко, але загальні принципи залишаються незмінними роками.