Elcomsoft System Recovery поставляется в виде программы, которая позволяет быстро создать загрузочный диск (CD или USB). Вы сможете создавать загрузочные устройства для компьютеров с 32- и 64-разрядные BIOS, а также для всех устройств с 32- и 64-разрядными UEFI.

Система Windows PE предоставляет удобный и привычный интерфейс Windows. Никаких скриптов, никакой командной строки, никаких сложных настроек!

Elcomsoft System Recovery поддерживает широчайший спектр аппаратного обеспечения, включая контроллеры SATA, SCSI и RAID от большинства производителей. Даже в том случае, если используется какой-то экзотический контроллер, вы можете подгрузить необходимый драйвер (обычно поставляется вместе с оборудованием) с CD или флеш-диска.

В отличие от других продуктов, использующих собственный код надёжность и совместимость которого не гарантируется, Elcomsoft System Recovery включает нативную (от Microsoft) поддержку всех файловых систем Microsoft: FAT, FAT32 и NTFS.

Если на компьютере нет данных, зашифрованных с использованием EFS, сброс пароля является самым быстрым и эффективным способом восстановления доступа. Elcomsoft System Recovery позволяет поменять пароль на любой другой – при этом не нужно знать оригинальный. Нет необходимости производить сложные атаки для восстановления пароля (которые к тому же не гарантируют результат) – проще задать новый.

Пароли SYSKEY использовались в старых версиях Windows в качестве дополнительного уровня защиты. Если пароль SYSKEY установлен, он запрашивался на этапе загрузки системы ещё до того, как система запросит пароль от учётной записи пользователя. Пароли SYSKEY активно использовались мошенниками-вымогателями; в результате разработчики Microsoft исключили возможность установки таких паролях в операционных системах Windows 10 и Windows Server 2016 (сборка 1709). Пользователи более старых версий Windows всё ещё могут пострадать от действий мошенников. Elcomsoft System Recovery позволяет найти или сбросить пароли SYSKEY, восстановив работоспособность системы.

Для случаев, если сохраненный в системе пароль всё-таки нужен, в Elcomsoft System Recovery есть средства для его восстановления. При этом не нужно задавать никакие специальные параметры - мы уже подготовили для вас ряд эффективных атак, включающий как перебор «в лоб», так и проверку наиболее часто используемых паролей – при этом они занимают всего несколько минут, а вероятность восстановления очень высока.

Elcomsoft System Recovery знает, где система хранит системные пароли и как они зашифрованы, и в ряде случаев может вытащить их мгновенно.

Если же пароль оказался длинным и сложным, шансы на восстановление всё равно есть. В ESR доступна атака по словарю, позволяющая использовать любой словарь (к примеру, содержащий пароли пользователя с других устройств) и до 4 уровней мутаций.

В сложных случаях программа позволяет извлечь хэши паролей (как для локальных пользователей, так и для пользователей в домене, т.е. из базы Active Directory) и сохранить их в файле, чтобы потом можно было провести более продвинутые атаки уже на другом компьютере. Мы рекомендуем использовать для этого наше решение – мощный инструмент, масштабируемый на сети из тысяч компьютеров, с аппаратным ускорением с использованием видеокарт NVIDIA.

В Windows 8 появилась возможность авторизоваться онлайн -- с использованием учетной записи Microsoft (Live!); этот же механизм теперь активно используется и в Windows 10. Аутентификация происходит на серверах Microsoft; однако, в Elcomsoft System Recovery есть возможность подменить сохраненный в системе хэш пароля для таких учетных записей и временно переключить для них аутентификацию на локальную.

В дополнение к сбросу пароля, в продукте есть возможность экспортировать хэши паролей таких учетных записей, что дает возможным (в точности как для локальных записей) восстановить оригинальные пароли (например, с помощью Elcomsoft Distributed Password Recovery . Имея пароль к учетной записи Microsoft, появляется возможность доступа к другим сервисам Microsoft, привязанным к данной учетной записи: Skype, Hotmail, OneDrive и другим. Кроме того, появляется и доступ к облачным резервным копиям Windows Phone и Windows 10 Mobile, детальной информации о пользователе, списку привязанных устройств (включая их текущее местоположение), а в некоторых случаях и к истории посещений, закладкам, введенным в браузере данным, и даже сохраненным паролям к онлайн-сервисам и социальным сетям. Наконец, в учетной записи может храниться резервный ключ восстановления для дисков, зашифрованных с помощью BitLocker.

Elcomsoft System Recovery создаёт резервные копии всех системных файлов, в которых производятся изменения – при необходимости можно будет откатиться назад, вернув систему в исходное состояние.

Видео о продукте

Восстанавливаем доступ к заблокированным учетным записям Windows

Безмалый В.Ф.

Microsoft Security Trusted

Не так давно мне принесли чужой ноутбук, хозяин которого забыл пароль входа в свою учетную запись Microsoft Account. С одной стороны – ничего страшного, можно сменить on-line. Но как оказалось, по какой-то неизвестной мне причине сделать он этого не смог и попросил меня просто сбросить его пароль на ноутбуке. Достаточно тривиальная задача, я был в этом уверен, ведь рано или поздно всем нам приходится сталкиваться с тем, что нужно восстанавливать забытый или утерянный пароль для входа в систему.

Вместе с тем я столкнулся с сложностью ы том, что на компьютере используется UEFI и диск уже отформатирован именно под такую загрузку.

То есть вроде как существует целый ряд инструментов, а воспользоваться мне нечем, тем более что инструмент, к которому я привык - Elcomsoft System Recovery, в тот момент еще не поддерживал загрузку и работу с UEFI.

Зная, что это в принципе достаточно широко известная проблема, тем более что до 40% обращений в службы технической поддержки связаны с забытыми или утерянными паролями для входа в систему, я решил обратиться к разработчикам в компанию Elcomsoft. В ответ мне была любезно предоставлена для тестирования новая версия продукта. Что сказать?

С помощью данного приложения вы сможете мгновенно вернуть доступ путем сброса паролей или разблокирования учетных записей, поддерживая как локальные учетные записи (включая Microsoft accounts), так и записи на контроллере домена. Но главное, что сегодня этот инструмент уже может обращаться с UEFI. На всякий случай повторим что значит эта аббревиатура.

Что такое UEFI

Система BIOS, разработанная свыше тридцати лет назад, уже лет пятнадцать считается реликтом, однако достаточно долго не было соответствующих альтернатив.

Система UEFI (Unified Extensible Firmware Interface) появилась в далеком 1998 году как Intel Boot Initiative. В 2005 году был специально создан консорциум UEFI Forum, основными членами которого помимо Intel, стали AMD, Apple, IBM, Microsoft и ряд других.

В отличие от загрузочного кода BIOS, который всегда жестко прошит в соответствующем чипе на системной плате, куда более обширные по размеру коды UEFI находятся в специальной директории /EFI/, место физического расположения которой может быть самым разнообразным - от микросхемы памяти на плате или раздела на жестком диске компьютера и до внешнего сетевого хранилища.

Стандартно, разметка диска при применении UEFI выглядит следующим образом.

Рисунок 1 Создание структуры разделов в разметке GPT на ПК с UEFI

Рисунок 2 Диск 0 Разметка под GPT

Для нас основной проблемой будет то, что загрузочный диск под Elcomsoft System Recovery просто не увидит данный жесткий диск.

Именно поэтому была создана новая версия ESR с поддержкой UEFI. Фактически, если исходить из набора функций, мы имеем перед собой все тот же набор, но уже созданный на базе загрузки под Windows 10 с поддержкой UEFI.

Elcomsoft System Recovery позволяет сбросить пароли к учётным записям, в то же время включая ряд атак, с помощью которых в ряде случаев за короткое время могут быть найдены оригинальные пароли.

Elcomsoft System Recovery разблокирует учётные записи Администратора и других пользователей в системах Windows Windows 7, Windows 8/8.1, Windows 10, а также множество устаревших систем, включая Windows Vista, Windows XP, Windows 2000 и Windows NT, включая все серверные редакции. Поддерживаются как 32-битные, так и 64-битные версии.

Как это работает?

Для создания EsrBoot диска вы должны запустить соответствующее программное обеспечение, в котором вам предложат либо создать загрузочную флешку либо iso-образ загрузочного диска.

Рисунок 3 Создание загрузочной флешки

По окончании форматирования и копирования вы получите загрузочную флешку.

После загрузки, в случае если вам необходим драйвер для IDE/SCSI/RAID жестких дисков, вы можете его загрузить.

Рисунок 4 Загрузите необходимый драйвер

После загрузки вы должны выбрать с какой учетной записью (локальной или доменной) вы хотите работать.

Рисунок 5 Выбор дальнейших действий

Для моей задачи потребовалось управление локальной учетной записью. Поэтому я сохранил резервную копию SAMи сохранил для будущей расшифровки дамп хэша SAM.

А после этого просто сбросил пароль учетной записи, вернее заменил его другим, ведь уверенно знал, что EFS-шифрование хозяин не применял.

Рисунок 6 Изменение SAM

Рисунок 7 Изменить пароль

Рисунок 8 Редактор базы SAM

Естественно необходимо вспомнить о возможностях данного ПО.

Возможности Elcomsoft System Recovery

Готов к загрузке – базируется на системе Windows PE (Preinstallation Environment)
Восстановление или сброс паролей к учётным записям как Администратора, так и всех других пользователей
Восстановление оригинальных паролей (в некоторых случаях), обеспечивающее доступ к данным, зашифрованным с использованием EFS
Разблокирование учётных записей (имеющих статус locked или disabled)
Поднятие привилегий (до уровня администратора) для любой учётной записи
Доступ к учётным записям, у которых истёк срок действия пароля
Поддержка широкого спектра аппаратного обеспечения; нативная поддержка файловых систем FAT, FAT32 и NTFS
Привычный графический интерфейс Windows – легко и удобно использовать
Поддержка всего спектра операционных систем вплоть до Windows 10 и Windows Server 2012
Поддержка американской, русской и других локализованных версий Windows; работа с именами пользователей и паролями на всех языках
Автоматическое определение всех установленных копий Windows
Возможность выгрузки хэшей паролей (для дальнейшего анализа и восстановления) как из локального реестра, так и из Active Directory

Если на исследуемом ПК нет данных, зашифрованных с помощью EFS, то самым простым вариантом будет сброс пароля для восстановления доступа. Проще всего сменить пароль для данной учетной записи, более того, при этом вам не нужно знать оригинальный. А кроме того нет необходимости проводить атаки для восстановления пароля, ведь это может быть, как затратным по времени и ресурсам, так и не гарантировать результат вообще. Гораздо проще задать новый. Еще раз повторю, у вас на ПК не должно быть EFS-шифрования.

Если же вам по какой-то причине нужен сохраненный пароль, то в составе ESR есть средства для восстановления. Более того, вы не нуждаетесь в том, чтобы задавать специальные параметры. ПО умеет проводить как простой перебор возможных паролей, так и проверку по спискам наиболее часто используемых паролей. Если же атака не удалась, вы сможете извлечь хеши паролей и сохранить их для последующего исследования.

Кроме того, необходимо знать, что Elcomsoft System Recovery позволяет не только восстанавливать или сбрасывать пароли, но поможет и при некоторых других проблемах, связанных с доступом в систему. Например:

Присвоить привилегии Администратора учётной записи любого пользователя
Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля)
Сбросить или поменять пароль к учётной записи пользователя
Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора
Показать список привилегий пользователя
Найти учётные записи с пустым паролем
Мгновенно восстановить пароли к некоторым специальным/системным учетным записям (например, IUSR_, HelpAssistant и т.д.)
Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)

Таким образом, в руки исследователя приходит новый, весьма интересный инструмент, позволяющий решать задачи по восстановлению паролей.

Filed under: ИТ-безопасность , Статьи , IT-Security , Windows 10 , Windows 8

По данным опросов, у среднего пользователя интернет есть как минимум 27 учётных записей. В то же время запомнить 27 уникальных, стойких с точки зрения криптографии пароля – задача не для среднего пользователя. Сложилась ситуация, в которой количество учётных записей (и других ресурсов, доступ к которым защищается посредством паролей) в разы превышает количество паролей, которые в состоянии запомнить пользователь. В период с 2012 по 2016 год был проведён ряд исследований, однозначно показавших, что 59-61% пользователей использует одни и те же пароли для защиты разных ресурсов.

Вооружившись статистикой, можно сместить вектор атаки на зашифрованные данные и защищённые паролем ресурсы, потратив время на поиск и извлечение существующих паролей пользователя вместо попыток увеличить вычислительную мощь «лобовых» атак.

Как узнать пароли пользователя и как их правильно использовать для расшифровки данных – тема этой статьи.

Ищем пароли пользователей

По данным опроса , в котором приняли участие порядка 2,000 человек, средний пользователь заходит в 27 учётных записей. В то же время, число уникальных паролей у среднего пользователя намного меньше. Этот факт позволяет рассчитывать на то, что один из паролей (или его модификация) подойдёт для расшифровки файлов, лобовая атака на защиту которых будет чрезвычайно ресурсоёмкой. В действительности порядка 60% пользователей использует набор из одних и тех же паролей для защиты разных ресурсов. Если же считать и тех пользователей, которые варьируют свои пароли в минимальных пределах (например, используя вариации разряда password<>Password<>Password1<>password1967), то их число достигает 70%.

Что это нам даёт? Мы получаем возможность за несколько минут вскрыть до 70% паролей, защищающих файлы и документы с сильным шифрованием. Если вспомнить о том, что скорость перебора паролей к документам в формате Microsoft Office 2013 – всего 7,000 паролей в секунду даже с использованием высококлассного ускорителя NVIDIA GTX 1080, то важность такого подхода станет очевидной.

Для извлечения паролей пользователя с его компьютера воспользуемся приложением Elcomsoft Internet Password Recovery. Нам потребуется версия 3.0 или более новая, т.к. именно в ней появился режим автоматического сканирования компьютера с сохранением найденных паролей в файл, подходящий для словарных атак (формат Unicode, убраны дубликаты). Для того, чтобы создать словарь, составленный из паролей пользователя, достаточно воспользоваться кнопкой “Export Passwords” и указать имя файла, в который будут сохранены пароли.

Буквально через несколько секунд все имеющиеся пароли будут сохранены в текстовый файл. Откуда они берутся? Elcomsoft Internet Password Breaker анализирует защищённые хранилища веб-браузеров и почтовых клиентов, включая Chrome, Internet Explorer, Edge, Outlook, Windows Mail и некоторых других. Из браузеров извлекаются данные сохранённых паролей и форм автозаполнения, из почтовых клиентов – пароли к учётным записям POP3/IMAP/SMTP.

Итак, файл создан и готов к использованию. Его можно просмотреть с помощью любого приложения, поддерживающего текстовый формат Unicode, а можно сразу использовать с Elcomsoft Distributed Password Recovery или аналогичным инструментом.

Сколько уникальных паролей нашлось у вас? На моём компьютере – 83!

Как правильно использовать список паролей

Как известно, подбор пароля к некоторым форматам данных может быть чрезвычайно ресурсоёмким. Даже использование последних поколений графических ускорителей не спасёт: скорость атак на тома BitLocker – всего несколько сотен паролей в секунду. Документы Office 2013 взламываются ненамного быстрее – 7,100 паролей в секунду при использовании NVIDIA GTX 1080 в качестве ускорителя.

Использование словарных атак заметно повышает вероятность успешного взлома. Но атака по орфографическому словарю помогает не всегда: с одной стороны, количество возможных вариаций очень велико, с другой – именно ту вариацию, которую придумал конкретный пользователь, автоматическая атака может и пропустить.
Проблему решает использование сверхкомпактного словаря, состоящего исключительно из паролей того же пользователя. По статистике, такой словарь поможет примерно в 60% случаев даже без вариаций. Использование простейшей вариации, добавляющей до 4 цифр в конец каждого пароля (обратите внимание, даже в этом простейшем случае число вариантов для перебора станет больше в 10,000 раз!) заметно увеличивает вероятность успеха. Добавьте вариации с использованием заглавных букв, и вероятность успеха возрастёт до 70%.

Практическая реализация атаки

Атака по словарю, составленному из паролей пользователя, показана на примере Elcomsoft Distributed Password Recovery. Последовательность атак необходимо настроить следующим образом.

Первый этап будет отработан практически мгновенно. Второй этап проверяет в 10,000 раз больше паролей, чем содержится в самом словаре, поэтому может занять несколько секунд. Последний этап заметно расширяет количество вариантов для проверки, и может занять от нескольких минут до нескольких часов в зависимости от количества паролей в словаре и скорости перебора. У среднестатистического пользователя с помощью данной последовательности раскрывается до 70% паролей.

Заключение

До 70% паролей может быть вскрыто за несколько минут. Идея использовать известные пароли пользователя для расшифровки документов не нова, но до сих пор не была реализована производителями в полном объёме. Совместное использование Elcomsoft Internet Password Breaker и Elcomsoft Distributed Password Recovery позволяет автоматизировать процесс атаки с использованием паролей, извлечённых из компьютера пользователя. В статье упоминаются следующие продукты:

— Elcomsoft Internet Password Breaker (извлечение списка паролей, составление словаря)

— Elcomsoft Distributed Password Recovery (подбор пароля по словарю или методом полного перебора)

— Elcomsoft Advanced Office Password Recovery (восстановление паролей к документам)

Привет, друзья. И снова статья, посвящённая вопросу запароленного доступа к Windows. На страницах сайта мы не единожды решали вопрос забытого, потерянного или изначально неизвестного пароля к учётным записям операционной системы, вот даже есть. Но всё это время мы приводили инструкции, как сбросить пароль. А как его узнать, не оставляя следов взлома учётной записи Windows? Такого рода услуги могут предложить две специализированные программы, они есть на борту двух популярных реанимационных и AdminPE10. Посмотрим, как с их помощью решить поставленную задачу.

Но, увы, хочу огорчить тех, кто собирается шпионить за пользователями Windows 10: ни одна из предлагаемых программ не поможет, если вы хотите втихую подглядеть пароль того, кто пользуется последней версией системы от Microsoft. И также не порадую тех, кто захочет узнать пароль от чьей-то учётной записи Microsoft. Всё предложенное ниже будет касаться только простых паролей для локальных учётных записей. Сложные пароли программы не отображают, лишь могут предложить классику жанра – их сброс.

Elcomsoft System Recovery на борту Live-диска AdminPE10

Первая программа - Elcomsoft System Recovery. Это профильный многофункциональный продукт, который может:

Сбрасывать и менять пароли к учётным записям – локальным, Microsoft, Active Directory;

Подсматривать несложные пароли;

Управлять учётными записями, в частности, блокировать их, разблокировывать, отключать;

Резервировать специальные системные файлы для возможности восстановления впоследствии сброшенных или изменённых паролей;

А такие прочие возможности.

Elcomsoft System Recovery работает с загрузочного носителя, её дистрибутив можно скачать с официального сайта www.elcomsoft.ru. Также эта программа в числе прочих инструментов для решения вопросов с запароленным доступом представлена на борту Live-диска для системных администраторов – AdminPE10. Его ISO-образ для записи на флешку можно скачать на сайте проекта:

http://adminpe.ru/download/

Загружаемся, к примеру, с AdminPE10. Запускаем Elcomsoft System Recovery.

Принимаем лицензионное соглашение.

И вот получаем перечень учётных записей с их паролями, если они, конечно же, есть.

Reset Windows Password на борту Live-диска Сергея Стрельца

Reset Windows Password – аналог предыдущей программы, она может то же самое, что и Elcomsoft System Recovery, но в довесок предусматривает ещё и дополнительные функции как то: определение паролей веб-аккаунтов, расшифровка Bitlocker, удаление персональной пользовательской информации и пр. Reset Windows Password также работает с загрузочного носителя, дистрибутив программы доступен на её официальном сайте www.passcape.com . И она также входит в состав ПО для решения вопросов с запароленным доступом Windows на борту Live-диска от Сергея Стрельца. Скачать его ISO-образ можно на сайте Сергея:

http://sergeistrelec.ru/

Запускаем компьютер, к примеру, с Live-диска Стрельца. Находим на нём программу Reset Windows Password.

В её окне выбираем русский язык. А в графе «Что вы хотите сделать» - «Поиск паролей пользователей».

Если вам известно, что пароль относительно сложный, на этом этапе вместо быстрого поиска можем выбрать глубокий. Это увеличит время сканирования программой паролей, но не факт, что результат будет успешным. Простые же пароли найдутся и при быстром поиске. Жмём «Далее».

Если на компьютере стоит одна Windows, то просто жмём «Далее». Если несколько – из выпадающего списка указываем пути к файлам на соответствующем разделе диска, где установлена нужная система.

Жмём «Поиск паролей».

Через время получаем результат.

Как быть в случае с Windows 10 и сложными паролями

Итак, друзья, простым юзабильным способом с помощью предложенных выше программ можем получить только простые пароли от локальных учётных записей Windows 7 и 8.1. Возможно, существуют какие-нибудь витиеватые способы, как подсмотреть сложные пароли во всех версиях Windows. Но те же программы Elcomsoft System Recovery и Reset Windows Password, как упоминалось, предлагают возможности по созданию бэкапа паролей и отката к значениям, запечатлённым в этих бэкапах. А это значит, что, создав бэкап, мы можем сбросить пароль, сделать свои дела, а потом снова загрузиться с Live-диска и восстановить пароль, по сути, даже не зная его. Но это уже тема для отдельной статьи, если, конечно же, вы, друзья, будете заинтересованы в ней.

Да и в принципе процедура подглядывания пароля для серьёзного шпионажа всё равно не годится.

Во-первых, пользователь в любой момент может сменить пароль.

Во-вторых, содержимое компьютера и, в частности, конкретного пользовательского профиля, прекрасно просматривается с тех же Live-дисков. Ну а если нужно, к примеру, покопаться в чьей-то интернет-переписке, просто копируем в облако или на съёмный носитель папки браузера внутри . И заменяем ими те же папки того же браузера на своём компьютере. Но есть ещё лучше способ незаметно отследить чужую интернет-активность, он включает всё возможное ПО, посредством которого проводились какие-либо интернет-коммуникации:

Делаем бэкап Windows на компьютере объекта шпионажа с помощью программ-бэкаперов Acronis или AOMEI. Они, кстати, есть на борту AdminPE10 и диска Стрельца;

Заходим в учётку, открываем все имеющиеся браузеры, мессенджеры, прочее клиентское ПО. И неспешно исследуем всё, чем объект занимался в Интернете. Вне запуска , конечно же.

Способ с бэкапом Windows не оставляет следов, но он в плане эффективности, естественно, уступает профильному софту для шпионажа, который может предложить и удобный формат поставки информации, и её актуальность при настройке доставки данных в режиме реального времени по Интернету.

Сколько бы мы с вами не предупреждали пользователей – они все равно теряли и теряют пароли. В принципе, страшного в этом ничего нет. Существует масса способов смены пароля. Однако иногда нужно не просто сменить пароль, а восстановить его. В первую очередь это необходимо в случае, если пользователь использовал EFS-шифрование и, увы, как обычно, забыл сделать резервную копию. В этом случае вам необходимо именно восстановить пароль.

Рассмотрим несколько программ с помощью которых мы сможем восстановить (сменить) пароль. Вы потеряли (забыли) свой пароль пользователя Windows? Что дальше? На самом деле существует три способа получить доступ к вашей ОС:

Правильный (рекомендованный Microsoft) путь
Бесплатный, но «грязный» взлом пароля
"Элегантный взлом", за который требуется заплатить

Необходимо понимать огромную разницу между восстановлением паролей и их сменой.

Восстановление пароля – это восстановление старого пароля, а смена - это создание нового рабочего пароля не зная старый, оригинальный.

Если вы не используете Windows Encrypting File System (EFS), то для последующего использования ОС и информации практически нет разницы между восстановлением и сменой пароля. Однако в случае использования EFS, вы нуждаетесь именно в восстановлении пароля. В противном случае вы рискуете потерять некоторые файлы.

Вместе с тем, если вы злоумышленник, то восстановить утерянный пароль для вас гораздо важнее чем просто сменить его.

Хотелось бы напомнить неизменный закон компьютерной безопасности:

Если у злоумышленника есть неограниченный физический доступ к вашему компьютеру, то это больше не ваш компьютер.

Даже если у вас есть сомнения, то рассмотрев детали методов восстановления (смены) паролей, вы убедитесь в том, что я прав. Рассмотрим возможные методы восстановления (смены) паролей.

Диск сброса пароля

Итак, вы забыли свой пароль Windows. Что далее?

Опытные пользователи скажут, что сменить пароль легко, нужно использовать диск сброса пароля. Однако будем откровенны. Так ли уж много пользователей Windows создают подобный диск и более того, так ли много пользователей знают о том, что такой диск вообще существует?

Если вы не знали, то дополнительным преимуществом создания этого диска является то, что его использование позволит возвратить вам не только доступ к своей системе, но и к файлам, зашифрованным с помощью EFS. Однако помните, что этот способ актуален лишь для Windows 7. Для создания диска сброса пароля вам необходимо:

Вставить сменный диск
Открыть Панель управления
Учетные записи

В случае Windows 8 вам необходимо просто восстановить пароль к вашему адресу Windows Live.

Elcomsoft System Recovery

Elcomsoft System Recovery может быть загружен в виде iso-файла, который должен быть записан на CD или DVD-диск и представляет собой загрузочный диск с Windows PE.

Задачи, решаемые с помощью ESR

Восстановление или сброс паролей пользователей и администраторов
Восстановление пароля может обеспечить автоматический доступ к файлам, зашифрованным с помощью EFS.
Разблокирование и включение отключенных учетных записей пользователей и администраторов.
Присвоение административных полномочий учетной записи любого пользователя
Сброс или отключение опции истечения пароля
Поддержка NTFS
Графический Windows-интерфейс
Поддерживаемые ОС:
- Windows NT 4.0
- Windows 2000
- Windows XP
- Windows Vista
- Windows 7/8/8.1
- Windows Server 2003
- Windows Server 2008
- Поддерживаются локализованные версии Windows
- Обнаруживает все установки Windows
- Позволяет сохранить хэши паролей для дальнейшего исследования

В случае, если у вас на исследуемом ПК нет DVD-привода (а такое на ноутбуках встречается все чаще), вам потребуется создать загружаемый USB-диск .

Создание загрузочного USB-диска

Для создания загрузочного USB-диска вам потребуется каким-либо образом смонтировать ISO-файл и запустить файл EsrBoot. Вам предложат выбрать USB-диск (рис.1)

Рисунок 1 Выберите сменный USB-диск

Как видите, создание загружаемого USB-диска сложностей не представляет.

Работа с ESR

Сразу же после загрузки вам будет предложено согласиться с лицензионным соглашением и выбрать язык интерфейса.

Рисунок 3 Выбор языка интерфейса

Если в вашем ПК используются нестандартные интерфейсы жесткого диска (SerialATA, SCSI, RAID или SAS) вы должны загрузить соответствующий драйвер. Для этого необходимо нажать кнопку «Загрузить драйвер» (рис.4).

Рисунок 4 Выбор диска

Режимы работы

Рисунок 5 Выбор режима работы

Источник учетных записей
- Работа с локальными учетными записями (SAM)
- Работа с учетными записями Active Directory (ntds.dit)
- Режим работы
  - Изменение паролей и свойств учетных записей
  - Дамп хэшей для дальнейшей расшифровки
  - Восстановление реестра или AD из сохраненной копии
  - Редактор базы SAM
  - Сохранить реестр или AD в архив

Внимание Для того чтобы работать с AD, вы должны использовать ESR на сервере (контроллере домена), работающем под управлением Windows 2000/2003/2008.

Если вы изменили некоторые свойства учетной записи или пароль и хотели откатить изменения, выберите опцию Восстановление реестра или AD из сохраненной копии.

После загрузки выберите пункт «Восстановление системы » (рис.14).

Рисунок 14 Параметры восстановления

После того, как система будет найдена, нажмите «Далее», в открывшемся окне (рис.15) выберите «Командная строка».

В окне командной строки наберите следующие команды:

Copy d:windowssystem32sethc.exe d:

Copy d:windowssystem32cmd.exe d:windowssystem32sethc.exe

Где d: - имя вашего раздела жесткого диска, на котором находится папка Windows. Учтите, если вы будете проводить данную операцию как и я, на компьютере с Windows 7 Ultimate или Windows 7 Enterprise с заранее подготовленным к шифрованию разделом, то ваш диск тоже будет обозначаться буквой D:.

После этого перезагрузите компьютер и, когда в окне потребуется ввести пароль пользователя, просто нажмите клавишу Shift 5 раз. Откроется окно командной строки, ведь вы заменили утилиту, отвечающую за «залипание» клавиш на файл, вызывающий командную строку.
В открывшемся окне командной строки (экран 3) введите:

Net user vlad anypassword, где vlad - имя пользователя, которому вы хотите сменить пароль, anypassword – новый пароль данного пользователя.

Рисунок 15 Выбор средства восстановления системы

Рисунок 16 Смена пароля пользователя

Copy d: sethc. exe d: windowssystem32 sethc. exe

Перезагрузите компьютер, воспользовавшись диском восстановления и снова выберите командную строку, чтобы вернуть сделанные ранее изменения (кроме пароля).

Снова перезагрузите компьютер и зарегистрируйтесь с помощью учетной записи, для которой вы меняли пароль, воспользовавшись новым паролем.

Смена пароля пользователя в Windows 8 с помощью диска восстановления системы

Если на вашем компьютере установлена операционная система Windows 8, действия будут аналогичные. Вы должны создать диск восстановления. Для этого нажмите комбинацию клавиш Alt+X для вызова панели управления и далее выберите «Восстановление Windows 7» – «Создание диска восстановления». Или же воспользуйтесь установочным диском Windows 8. Далее нужно загрузиться с полученного диска восстановления и выбрать параметр «Восстановление системы » (рис.17).

Рисунок 17 Восстановление Windows 8

Загрузившись, в открывшемся окне следует выбрать пункт «Диагностика» (рис.18).

Рисунок 18 Диагностика в Windows 8

В окне «Дополнительные параметры» выбрать пункт «Командная строка» (рис.19).

Рисунок 19 Окно «Дополнительные параметры» в Windows 8

Учтите, что по умолчанию ваш диск с операционной системой называется D:, так как С: - служебный диск емкостью 350 Мбайт, предназначенный для задач шифрования. Для смены пароля пользователя необходимо ввести следующие команды в окне командной строки:

Cd windows

Cd system32

Copy cmd.exe cmd.exe.original

Copy Utilman.exe Utilman.exe.original

Del Utilman.exe

Ren cmd.exe Utilman.exe

Shutdown –r –t 00

В открывшемся окне (рис.20) щелкните мышью на указанном красной стрелкой значке. Загрузится окно командной строки. В открывшемся окне (рис.21) введите следующую команду:

Net user vlad *