Использование chntpw если «windows заблокирован»

Использование chntpw если «windows заблокирован»

31.01.2018 Безопасность Вирус Пароли 0
сброс пароля

Windows заблокирован, отправьте смс на такой-то номер…

Знакомая ситуация. В Сети предлагается множество решений для избавления от этой пакости. Пакость, хотя на самом деле это продукт интеллектуального труда, представляет собою механизм замены исполняемой на старте ОС Windows программы explorer.exe, которая в свою очередь является оболочкой, предоставляющей возможность использования графического интерфейса на файл, расположенный в одной из директорий пользователя, например

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

или

%SystemRoot%\system32\user32.exe

все зависит от модификации программы. При посещении пользователем, входящим в привилегированную группу на локальном компьютере определенных веб-ресурсов (не обязательно сомнительного содержания) происходит копирование программы на диск компьютера и ее запуск, после чего она создает свою копию в одной из директорий пользователя с произвольным именем и прописывает себя в реестре Windows по адресу

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

где Shell заменяется на созданный вирусом файл.

В итоге, при включении (перезагрузке) компьютера, вместо привычного рабочего стола и остальных принадлежностей, обрабатываемых программой explorer.exe пользователь видит то, что несет в себе вирус, а именно графическое изображение и текст произвольного содержания, с просьбой (назовем это так) отправить (читай заплатить) определенную сумму денег на конкретный номер телефона.

Сейчас мы не будем обсуждать судьбу переведенных денежных средств и их счастливого обладателя, а постараемся избавиться от вируса и запустить операционную систему.

Сложность заключается в том, что пока нам недоступен графический интерфейс, как и консоль Windows.

Я поведу речь об использовании системы Linux и программы chntpw, являющейся редактором реестра ОС Windows. Действия, производимые мною будут происходить исключительно в консоли и к графическому интерфейсу отношения не имеют.

Для монтирования зараженного жесткого диска можно поступить различными способами:

  • загрузить компьютер с live-cd
  • Смонтировать удаленный жесткий диск по сети в локальную директорию, можно и через интернет
  • Снять зараженный жесткий диск и подключить его к Linux системе

Итак, мы имеем доступ к диску С, где находятся файлы SAM, system, software, security, обычно это директория %SystemRoot%\System32\config.

Перед началом работ рекомендую сохранить копию файлов. Директория /mnt/win0 сдержит монтированный раздел диска С с ОС Windows.

chntpw -e /mnt/win0/WINDOWS/system32/config/software
chntpw version 0.99.6 100627 (vacation), (c) Petter N Hagen
Hive /win0/WINDOWS/system32/config/software> name (from header):
ROOT KEY at offset: 0x001020 * Subkey indexing type is: 686c
Page at 0x1bfa000 is not ‘hbin’, assuming file contains garbage at end
File size 29360128 [1c00000] bytes, containing 6547 pages (+ 1 headerpage)
Used for data: 500892/29092120 blocks/bytes, unused: 3477/29832 blocks/bytes.

Simple registry editor. ? for help.

Нам требуется ветка Microsoft\Windows NT\CurrentVersion\Winlogon, переходим

> cd Microsoft\Windows NT\CurrentVersion\Winlogon
(…)\Windows NT\CurrentVersion\Winlogon> dir
Node has 3 subkeys and 31 values
key name

size type value name [value if type DWORD]
4 REG_DWORD 1 [0x1]
32 REG_SZ
12 REG_SZ
2 REG_SZ
2 REG_SZ
4 REG_SZ
4 REG_SZ
132 REG_SZ
4 REG_SZ
2 REG_SZ
68 REG_SZ
88 REG_SZ
4 REG_DWORD 0 [0x0]
4 REG_SZ
4 REG_SZ
4 REG_SZ
6 REG_SZ
4 REG_DWORD 0 [0x0]
4 REG_DWORD
14 [0xe]
4 REG_SZ
4 REG_DWORD 1 [0x1]
24 REG_EXPAND_SZ
4 REG_DWORD 1 [0x1]
12 REG_SZ
6 REG_SZ
4 REG_DWORD 0 [0x0]
4 REG_SZ
4 REG_DWORD 1 [0x1]
4 REG_DWORD 0 [0x0]
12 REG_SZ
32 REG_SZ

приступаем к редактированию

ed Shell
(…)\Windows NT\CurrentVersion\Winlogon> ed Shell
EDIT: of type REG_SZ with length 132 [0x84]
[ 0]: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Now enter new strings, one by one.
Enter nothing to keep old.
[ 0]: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Собственно вот и наш гость 22CC6C32.exe это он занял место explorer.exe.

Остается только произвести замену на проводника, и сохранить сделанную запись. Желательно сразу удалить вирус, пока вы не забыли путь к нему

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Как правило, если раздел диска смонтирован в локальную директорию, можно произвести проверку на вирусы, хотя, можно и отложить это действие. Размонтируем раздел жесткого диска и пробуем перезагрузить Windows компьютер. Если все прошло гладко, система загрузится и мы увидим рабочий стол, следующий шаг — тотальная антивирусная проверка со свежими базами всех разделов HDD компьютера.

Это не единственное, что умеет программа chntpw, с ее помощью можно просматривать и редактировать любые разделы реестра, также она способна считывать и менять пароли системных учетных записей.

chntpw -l /mnt/win2/WINDOWS/system32/config/SAM
chntpw version 0.99.6 110511 , (c) Petter N Hagen
Hive /win2/WINDOWS/system32/config/SAM> name (from header):
ROOT KEY at offset: 0x001020 * Subkey indexing type is: 666c
File size 262144 [40000] bytes, containing 6 pages (+ 1 headerpage)
Used for data: 252/20704 blocks/bytes, unused: 8/3680 blocks/bytes.

* SAM policy limits:
Failed logins before lockout is: 0
Minimum password length : 0
Password history count : 0
| RID -|———- Username ————| Admin? |- Lock? —|
| 03ec | ASPNET | | |
| 03e8 | HelpAssistant | | dis/lock |
| 03ea | SUPPORT_388945a0 | | dis/lock |
| 03eb | user | ADMIN | |
| 01f4 | 4@ | ADMIN | |
| 01f5 | >ABL | | *BLANK* |

На примере видно присутствующие учетные записи, в нашем случае они не заблокированы паролем. Программа chntpw хорошо задокументирована, при вызове справки можно ознакомиться с дополнительными опциями запуска.