13 лет назад 16 апреля 2006 в 1:21 71

Некоторые пользователи очень любят понатыкать паролей на каждом шагу, да еще таких заковыристых, что потом их ни за что не вспомнить. В результате ни верная подруга “аська”, ни старый товарищ the bat! Не признают хозяина.

Нет-нет, нам даже в голову прийти не могло обвинить вас в том, что вы как нерадивый пользователь разбрасываете пароли направо и налево, а потом забываете их. Конечно же, вы пользователь радивый и храните все свои пароли в надежной программе-менеджере или в зашифрованном файле. Просто на днях вы малость переусердствовали с безопасностью пароля администратора на вход в систему, и вам пришлось его сбрасывать в ноль.

Как продвинутый юзер вы сделали это легко, вот только ваши шифрованные данные после этого накрылись то ли медным тазом, то ли еще чем-то более интересным – в общем, доступ к ним вы потеряли. Может, все было несколько иначе, и вы не можете вспомнить хитроумный пароль к своему хранилищу паролей. А может, вы как раз горюете по поводу того, что ответственный сотрудник уволился или того хуже – помер, и все пароли унес с собою в мир иной.

ЧТО ТАМ ЗА ЗВЕЗДОЧКАМИ?
Конечно, это очень удобно подключаться к интернету, к сетевым дискам и другим защищенным ресурсам без ввода паролей, установив флажок “Больше не спрашивать этот пароль”. И Windows действительно спрашивать ничего не будет и заботливо скроет пароли за специальными символами – звездочками и кружочками. Однако как же легко эти символы превращаются в настоящие пароли! Стоит лишь запустить программу, аналогичную знаменитой OpenPass (softoboz.com.ua/openpass.htm), и навести указатель мыши на звездочки – пароль тут же отобразится в окне утилиты.

Если вам нужно вытащить всего два-три таких пароля, то бесплатной утилиты OpenPass может оказаться вполне достаточно. Но если таких паролей десятки, стоит поискать более серьезную программу, позволяющую копировать эти пароли – например, одну утилиту из пакета NirSoft (www.nirsoft.net). AsterWin из этого набора не только откроет “звезды” в диалоговых окнах, но и соберет все открытые пароли в отдельный список. Asterisk Logger вообще можно назвать автоматическим сборщиком паролей. Эта программа сама выдирает пароли из всех открытых окон и записывает их в текстовый файл с указанием соответствующих процессов.

Справедливости ради нужно сказать, что Microsoft постоянно работает над повышением безопасности своих разработок, и параметры диалап-соединений в Windows XP подсмотреть вышеназванными средствами уже не получится. А вот с помощью Dialupass можно не только увидеть для каждой учетной записи название соединения, номер дозвона, имя и пароль, но и записать все эти параметры в файл и даже изменить их тут же на месте! “Звезды” в веб-формах обычно контролируются браузером и не по зубам ни одной из упомянутых выше программ. Здесь нужны специальные средства. Например, для сканирования форм из окон браузеров, работающих на движке MSIE, можно взять AsterWin IE. Никакой автоматизации процесса эта утилита не имеет, и открытые пароли придется копировать вручную.

ВОТ ЭТО МУЛЬТИПАРОЛЬНОСТЬ!
Даже для вытаскивания собственных паролей из-под астериксов понадобится не одна бесплатная утилита – их придется подобрать целый комплект. Если вам жаль тратить время на поиск подобных “открывашек”, то взгляните на Multi Password Recovery (MPR) (passrecovery.com). MPR поддерживает впечатляющее количество приложений (мы насчитали больше 40), плагины от сторонних разработчиков и умеет сохранять работу в файл.

Поражает сам принцип работы программы и то, с какой оперативностью она выполняет задачу. Сразу после запуска она предъявляет подробнейший отчет, а все обнаруженные пароли и другую полезную информацию раскладывает по модулям. Что же содержат эти модули?

– Системные – System Info – общие данные о системе: пользователь, процессор, ОС, память, IP-адреса, диски, системные папки, список процессов и установленных программ. Из всей этой информации для нас особо полезным был ключ к установленной на компьютере Windows, поскольку он давно считался утерянным.

– E-mail-клиенты – пароли к восьми ящикам The Bat! Другие клиенты на нашем компьютере просто не использовались.
– Browsers – пароли, сохраненные в Internet Explorer. Здесь и сохраненные формы, и активные формы, и автозаполнение.

– IM – пароли ICQ версий 2003a/b и Lite.

– Звонилки – диалап-пароли Windows и Vdialer.

Три модуля: FTP-клиенты, Менеджеры закачек и Другие – даже не появились в списке, поскольку программа не обнаружила на нашем компьютере соответствующих им приложений. Впечатлившись тем, как легко программа прощелкала все наши самые важные пароли, мы тут же заменили их более непробиваемыми, воспользовавшись местным генератором паролей. Обновленные данные мы сохранили в файл, записали на CD и положили в сейф.

Единственное небольшое неудобство при работе с программой было связано с необходимостью отключения постоянной защиты антивирусов, которые ругаются на MPR.exe как могут. Dr.Web “кричит”, что нашел BACKDOOR.PWS.Trojan. NOD32 прямо сообщает, что обнаружил вирус, правда, неизвестный. “Антивирус Касперского Personal” хоть и причисляет его к not-a-virus, но удалить все же очень рекомендует. Не удаляйте MPR! И не верьте шутникам, утверждающим, что это действительно троян!

МНОГОФУНКЦИОНАЛЬНЫЕ ПРОГРАММЫ
Password Recovery Toolkit
С помощью MPR мы буквально за считанные секунды восстановили свой джентльменский парольный набор. Однако за бортом этой программы осталось многое – в основном это пароли к архивам, документам Microsoft Office, программам фирмы Adobe, базам данных и более экзотичным приложениям. Точно так же, как мы открывали пароли за звездочками, мы могли бы отправиться в Сеть и для каждого типа запароленного документа подыскать свою “открывашку”. Если таких документов раз, два – и обчелся, то так и нужно сделать. А если таких “шифровок” на компьютере тьма-тьмущая, да они еще и в архивы под паролями упрятаны, то лучше сразу воспользоваться универсальной программой-взломщиком.

Password Recovery Toolkit (PRTK, www.accessdata.com) входит в большой пакет с аппаратной защитой Ultimate Toolkit от фирмы AccessData и поставляется в основном правоохранительным органам и организациям, расследующим компьютерные преступления. Сама программа стоит порядка $500 и за эти деньги обеспечивает возможность восстановления паролей не только для хорошо известных приложений, но и для множества других, в том числе экзотических. Мы насчитали более пятидесяти форматов, которые программа поддерживает.

В отличие от MPR, PRTK при запуске не выполняет никаких действий и ждет указаний. Можно заставить программу работать в автоматическом режиме, задав для анализа хоть все жесткие и съемные диски компьютера и даже доступные сетевые объекты. Перед запуском процесса стоит выбрать для включения в отчет только файлы, защищенные паролем (Passwords protected files), а в качестве действия – “Восстанавливать пароли” (Recover Passwords).

Программа сразу же делит файлы на легкие и трудные, пароли у первых она восстанавливает практически мгновенно, а с остальными просит подождать – пока пароль не подберется. Именно так – “не подберется”. Не удивляйтесь, если вы смутно помните, что защищали книгу Excel чем-то напоминающим “Собака123#”, а PRTK вам предложит для снятия этой защиты что-то вроде “HIHIN21234KNMLO”. Этот набор символов тоже подойдет.

За редким исключением (базы PARADOX) PRTK подбирает пароли на все виды защиты, обнаруженные в файле. Для книги Excel это и пароль на открытие файла, и защита книги, листа и содержимого ячеек, и защита на общий доступ с исправлениями. Кстати, если такую “Собаку123#” вы поставите на открытие файла XLS, то PRTK придется изрядно потрудиться, а вот эта же “собака” в качестве пароля для защиты листа или ячеек моментально подменяется альтернативной цепочкой символов. Методы для подбора паролей в PRTK используются те же, что и во всех подобных программах – и простой перебор, и метод грубой силы (Brute Force Attacks), и атака по словарю.

Удобно то, что найденные пароли можно копировать из окна с подробностями для каждого обработанного файла, прямо отсюда же файл можно открыть в родном приложении, естественно, не затрудняясь ручным набором паролей. Еще одно удобство PRTK состоит в возможности сохранения каждой сессии работы в специальном файле, что позволяет прервать работу в любое время и продолжить ее с того же места позже. Обратите также внимание на утилиту PassView (www.nht-team.ru/forum/downloads.php) – она поддерживает не так много типов паролей, но тоже довольно удобна.

МНОГОФУНКЦИОНАЛЬНЫЕ НАБОРЫ УТИЛИТ
Passware Kit
Наборы утилит для подбора паролей отличаются от PRTK разве что тем, что каждая из утилит представляет собой отдельное программное решение и запускается в своем окне. Passware Kit (www.LostPassword.com) – именно такой комплект. Это более демократичное средство для подбора паролей, но и возможности у Passware Kit скромнее – он поддерживает немногим больше тридцати типов файлов. Понятно, что из всей этой кучи отдельных утилит нужно запустить соответствующую – например, Office Key для восстановления паролей к офисным приложениям, Zip Key – к архивам семейства ZIP, Acrobat Key – к PDF-файлам, Outlook Key и Outlook Express Key – к почтовым аккаунтам и так далее.

В отличие от предыдущих программ здесь нет никакой автоматизации – файлы поштучно нужно “скармливать” подходящей утилите и запускать процесс Recover. Кроме стандартных методов атак – по словарю и грубой силой – нами был замечен дополнительный: brute-force for xieve optimization. Что за “ксива-оптимизация”? Оказывается, это суперускорение атаки методом прямого перебора. Однако, как выяснилось, действенной эта “ксива” может быть только в случае, если предполагается, что искомый пароль был читабельным – вроде имени незабвенного Васи или его же дня рождения. В этом случае при атаке brute-force отбрасываются все “неправильные” цепочки, и скорость перебора возрастает до сумасшедшей величины – 1,5 миллиарда паролей в минуту. Жаль только, что для кириллицы этот метод недейственен.

Password Recovery
Набор программных продуктов Password Recovery от компании “Элкомсофт” (passwords.ru) поддерживает большее число форматов (по нашим подсчетам их 80), чем вышеназванные средства. При этом весь набор совершенно не обязателен – можно выбрать только одну из программ (например, для восстановления потерянных паролей к документам, созданным в Microsoft Office). Добавим, что многие программы этой серии имеют русифицированный интерфейс, поддерживают кириллицу и любые известные языки. Работают программы “Элкомсофта” значительно быстрее зарубежных аналогов, и это является их основным преимуществом. “Скорострельность” доказана тестами от независимых исследователей, с некоторыми отчетами которых можно познакомиться на www.password-crackers.com.

В отличие от Passware Kit в программах от “Элкомсофт” значительно больше настроек, причем действительно необходимых. Например, в состав символов для перебора можно добавить собственный набор или использовать только его. Комбинация такого подхода с атакой по маске приводит к почти мгновенному подбору пароля. Да и сам процесс отображается довольно наглядно – и текущая скорость показывается, и подбираемый пароль, и прогресс (сколько времени все это безобразие будет еще продолжаться). То, что вы делали в один присест, у этих программ называется проектом и сохраняется со всеми сделанными изменениями при выходе из программы. Это позволяет так же, как при работе с PRTK, прервать работу в любой момент и потом продолжить выполнение.

ПАРОЛИ К ПРОГРАММАМ ИЗ MICROSOFT OFFICE
В интернете (www.predatorsoft.com/soft/recovery-password) можно найти множество бесплатных программ для взлома паролей к приложениям MS Office. Однако обольщаться и радоваться преждевременно не стоит – у всей этой кучи программ есть, по крайней мере, три основных недостатка. Во-первых, они бессильны при работе с небольшими документами, которые содержат всего пару строк. Во-вторых, основная масса этих программ не справляется с защитой приложений MS Office от версии 97 и выше. В-третьих, доверять ценнейшие документы каким-то малоизвестным программам всегда нужно с опаской. Вот почему для подбора офисных паролей вам, скорее всего, придется воспользоваться PRTK или утилитами из наборов Passware Kit и элкомсофтовского Password Recovery.

При этом утилиты от “Элкомсофт” гарантируют нахождение паролей для всех документов, защищенных мудреным паролем на открытие и созданных в любом приложении Office 97/2000/XP/2003 (около двух недель на процессоре P-III). Две другие программы тоже дают стопроцентную гарантию, только время не определяют. Пароли на VBA-макросы Word/Excel PRTK подбирает автоматически, а из комплектов утилит нужно опять же запустить отдельно VBA Key или Advanced VBA Password Recovery. Последняя утилита обещает открытие любого макроса VBA через “backdoor”.

ВОССТАНОВЛЕНИЕ ПАРОЛЕЙ К АРХИВАМ
Добавим еще пару слов в пользу предпочтения серьезных продуктов над кустарными “открывашками”. Главный минус последних – сильная зависимость времени подбора пароля от его длины и сложности. К тому же многие из них работают только при наличии в архиве не меньше пяти файлов. Если же выбирать из серьезных, то стоит остановиться на Advanced Archive Password Recovery (AAPR) от “Элкомсофт”, и мы скажем почему. PRTK и Password Recovery подбирают пароли только к RAR– и ZIP-архивам и делают это традиционными методами (по словарю и грубой силой), не предлагая ничего для ускорения этого дела. Разве что ту же “ксива-оптимизацию”.

AAPR поддерживает больше архивов: RAR, ZIP, ACE, ARJ – в том числе самораспаковывающиеся (SFX). Дается гарантия вскрытия архивов WinZIP независимо от сложности установленного пароля примерно за час. Для ZIP– и ARJ-архивов есть возможность ускоренной атаки по известному содержимому (known plaintext attack). Если известно содержимое хотя бы одного файла в архиве, восстановление пароля происходит за несколько часов независимо от его сложности и длины. При этом программе все равно, сколько там файлов находится в архиве. Можно задать любую длину пароля для перебора и использовать дополнительные наборы символов, в том числе и русские, что особенно ценно.
Русские символы можно добавить как вручную, так и из файла, любой набор символов программа сохраняет в файл, а русский словарь можно взять на сайте “Элкомсофта” в разделе “Словари”. Добавим, что AAPR может работать в фоновом режиме, не отнимая процессорное время, когда оно требуется для выполнения других задач.

ПАРОЛИ К ПОЧТЕ И ПОЧТОВЫМ ЯЩИКАМ
Бесплатные варианты восстановления паролей к почтовым ящикам в отличие от предыдущих случаев работают наверняка и за считанные секунды. Конечно, при условии, что вы пользуетесь более-менее распространенными почтовыми программами, а не чем-то сильно экзотическим. Пароли и логины к Outlook Express, Microsoft Outlook, Eudora и некоторым другим “забугровым” почтовикам подберет Mail PassView от того же Nir Sofer (www.nirsoft.net). Эта утилита при запуске автоматически определяет поддерживаемые ею и установленные на компьютере почтовые программы, собирает комплекты параметров аутентификации ко всем аккаунтам в единый список и сохраняет его в текстовый файл. The Bat! UnPass (tbup.boom.ru) – программа, которая поможет получить свои пароли ко всем учетным записям популярной в России почтовой программы The Bat!. Десять почтовиков оприходует MPR.

Конечно же, есть средства для восстановления забытых паролей к аккаунтам электронной почты и в наших многофункциональных программах и наборах – об одной особенности Advanced Mailbox Password Recovery (AMBPR) от “Элкомсофт” нужно сказать. В программу включен эмулятор POP3/IMAP-сервера, позволяющий восстановить пароль, сохраненный в любом e-mail-клиенте! Принцип работы этого эмулятора состоит в получении почты через LocalHost и запоминании обнаруженных при этом имени и пароля к ящику. Добавим, что AMBPR в обычном порядке и так поддерживает почти все (16 штук) современные e-mail-клиенты.

ПАРОЛИ К ИНТЕРНЕТ-МЕССЕНДЖЕРАМ
Для восстановления аськиного пароля можно, конечно же, воспользоваться запросом пароля на e-mail через специальный сервис ICQ (www.icq.com/password). Однако следует иметь в виду, что с марта прошлого года порядок восстановления номеров ICQ изменился, и вам не пришлют пароль от номера на указанный почтовый ящик, как раньше. Вы должны знать ответы на вопросы, которые задавали при регистрации номера. Если вы регистрировали номер до марта 2005 года, то, естественно, не проходили подобной процедуры, и вам предложат выполнить ее сейчас.

Если же на руках имеется одно из описанных выше многофункциональных средств, то восстановить пароль к рабочей “Аське” можно за считанные секунды. Утилита из комплекта Passware Kit Messenger Key вообще распространяется бесплатно (www.lostpassword.com), правда, поддерживает только Mirabilis ICQ старше ICQ 99. В MPR реализована поддержка 13 популярных мессенджеров, в Advanced Instant Messengers Password Recovery (AIMPR) – 46.

ДРУГИЕ ПАРОЛИ
Если PDF-документ защищен owner-паролем, его нельзя то ли изменить, то ли распечатать, то ли текст из него скопировать – в зависимости от того, какие ограничения были установлены при вводе пароля. А без знания user-пароля PDF-документ вообще невозможно открыть. Воспользовавшись программами-взломщиками, можно снять всю эту защиту. Бесплатных инструментов для этого мало, и они не всегда помогают. Модули из вышеописанных комплектов и PRTK работают по тому же образу и подобию, как и при восстановлении паролей к другим типам файлов. Однако утилита “Элкомсофта” Advanced PDF Password Recovery (APDFPR) и здесь отличилась. Если файл создан в Adobe Acrobat 4.x или ниже, возможен гарантированный взлом документа путем поиска 40-битного ключа шифрования за три-четыре дня. Последние версии Acrobat со 128-битным ключом шифрования тоже поддерживаются, но без всяких гарантий и сроков – сколько сможете выждать.

Другая утилита – Advanced EFS Data Recovery (AEFSDR) – уникальное орудие для восстановления файлов, шифрованных средствами EFS (Encrypted File System). Для этого программе нужны три вещи: сам зашифрованный файл, ключи шифрования (находит сама, если они не удалены, например, при переустановке системы) и пароль для аккаунта, под которым файл шифровался. В нахождении этого пароля поможет еще одна элкомсофтовская программа – Proactive Password Auditor или, по сути единственный ее конкурент, SamInside Pro (www.insidepro.com/rus/saminside.shtml).
На восстановлении других паролей мы не будем подробно останавливаться. Сценарий работы тот же – найти в интернете отдельные специальные утилиты или воспользоваться одним из многофункциональных средств. Единственное, на что хотим обратить внимание – не спешите обращаться к “левым” кудесникам. Попробуйте сделать все сами – возможно, на это и времени меньше уйдет, и деньги будут целее, и секреты не нарушатся.

Сбрось пароль
Прислушавшись к советам умных людей по безопасному формированию паролей, вы заменили свой любимый пароль администратора “123” на непробиваемый “V5bЩ!ф!#&%efVuMr”. После этого вы то ли неправильно его записали, то ли попытались запомнить, но забыли. Как бы то ни было, пароль не проходит, и ни одна из программ его не может восстановить. Как выйти победителем из этой интересной ситуации?

Бесплатная утилита (home.eunet.no/~pnordahl/ntpasswd) создает загрузочную дискету, при загрузке с которой необходимо указать директорию, где ваша Windows хранит SAM файл, и ответить на другие несложные вопросы, в результате чего пароль для пользователя Administrator можно будет заменить, а еще лучше сделать пустым.

Если же дискету вставить некуда, воспользуйтесь программой ERDCommander и загрузите компьютер с CD, точно так же удалив пароль администратора. Если у вас нет доступа к флоппи и CD-ROM, сделайте аналогичный загрузочный диск для USB. Далеко ходить за “лекарством” не нужно, если комплект Passware Kit под рукой: утилита Windows Key создает такие же загрузочные диски на CD или USB.

Кстати, можно заранее подготовиться к подобным неприятностям и сделать вполне легальное средство для сбрасывания пароля учетной записи. Создайте дискету сброса пароля (Password Reset Disc) с помощью самой Windows. Минус любого сбрасывания паролей – возможная потеря доступа к файлам и папкам, зашифрованным с помощью средств операционной системы.