Меню

Soft Elcomsoft System Recovery сброс и восстановление оригинальных паролей

Soft Elcomsoft System Recovery (сброс и восстановление оригинальных паролей)

Sunnych

Sunnych

Mod. Forensics

Рассмотрим как работают платные решения для восстановление доступа к учётным записям и не только.

Возможности Elcomsoft System Recovery:

  • Сброс паролей к учётным записям Windows и Microsoft Account
  • Извлечение хэшей из SAM/SYSTEM и Active Directory для последующей атаки в режиме офлайн
  • Извлечение метаданных шифрования TrueCrypt, VeraCrypt, Bitlocker, FileVault (HFS+/APFS), PGP Disk и LUKS
  • Создание образов дисков для последующего анализа
  • Восстановление как локальных паролей, так и паролей к учётным записям Microsoft Account
  • Доработанная среда Windows PE с расширенной поддержкой аппаратного обеспечения и полной поддержкой всех версий FAT и NTFS

Не далее как сегодня меня окончательно порадовали нововведения в загрузочном образе ESR (Elcomsoft System Recovery):
Дисковые утилиты, инструмент «Создания образа диска» и многое другое, но лучше один раз увидить чем сто раз услышать, далее начнём по порядку.

Первое что нам нужно будет сделать это создать свою загрузочную или флешку или сохранить образ на устройство загрузки типа IODD2531

Elcomsoft System Recovery.jpg

END USER LICENSE AGREEMENT.jpg

Activation key.jpg

Вот мы с Вами и добрались до момента создания загрузочного образа

usb_iso.jpg

x64_x86.jpg

Мы получим файл esr.iso , который скопировал себе на IODD2531 и выбрал его загрузочным.

В результате у нас есть свой Windows PE ранее одну из моих сборок уже я описывал WinPE Forensics

Windows PE.png

Если у нас не стандартное оборудование то мы можем указать и установить нужные драйвера.

Теперь мы можем выбирать источники данных

ESR ESR Источник данных.png

База SAM (англ. Security Account Manager — Диспетчер учётных записей безопасности)

База SAM.png

Как видно мы можем:

  • Изменить локальную учетную запись -> Изменить/сбросить пароль, свойства или статус учетной записи;
  • Дамп парольных хэшей -> Сделать дамп хзшей SAM для последующего анализа или восстановления;
  • Сохранить SAM -> Сохранить файлы реестра SAM (SAM и SYSTEM) в архив;
  • Восстановить SAM -> Восстановление SAM из бэкапа;
  • Редактор SAM -> Редактор базы SAM;

Изменить сбросить пароль, свойства или статус учетной записи.png

Так же нам доступна атака по словарю

словари.png

Я использовал уж очень элементарные даже не пароли и это видно

простые пароли.png

Но в практике мы смотрим и копируем «NTLM хэш» который потом брутим

Источник



Восстанавливаем доступ к заблокированным учетным записям Windows

Восстанавливаем доступ к заблокированным учетным записям Windows

Microsoft Security Trusted

Не так давно мне принесли чужой ноутбук, хозяин которого забыл пароль входа в свою учетную запись Microsoft Account. С одной стороны – ничего страшного, можно сменить on-line. Но как оказалось, по какой-то неизвестной мне причине сделать он этого не смог и попросил меня просто сбросить его пароль на ноутбуке. Достаточно тривиальная задача, я был в этом уверен, ведь рано или поздно всем нам приходится сталкиваться с тем, что нужно восстанавливать забытый или утерянный пароль для входа в систему.

Вместе с тем я столкнулся с сложностью ы том, что на компьютере используется UEFI и диск уже отформатирован именно под такую загрузку.

То есть вроде как существует целый ряд инструментов, а воспользоваться мне нечем, тем более что инструмент, к которому я привык — Elcomsoft System Recovery, в тот момент еще не поддерживал загрузку и работу с UEFI.

Зная, что это в принципе достаточно широко известная проблема, тем более что до 40% обращений в службы технической поддержки связаны с забытыми или утерянными паролями для входа в систему, я решил обратиться к разработчикам в компанию Elcomsoft. В ответ мне была любезно предоставлена для тестирования новая версия продукта. Что сказать?

С помощью данного приложения вы сможете мгновенно вернуть доступ путем сброса паролей или разблокирования учетных записей, поддерживая как локальные учетные записи (включая Microsoft accounts), так и записи на контроллере домена. Но главное, что сегодня этот инструмент уже может обращаться с UEFI. На всякий случай повторим что значит эта аббревиатура.

Что такое UEFI

Система BIOS, разработанная свыше тридцати лет назад, уже лет пятнадцать считается реликтом, однако достаточно долго не было соответствующих альтернатив.

Система UEFI (Unified Extensible Firmware Interface) появилась в далеком 1998 году как Intel Boot Initiative. В 2005 году был специально создан консорциум UEFI Forum, основными членами которого помимо Intel, стали AMD, Apple, IBM, Microsoft и ряд других.

Читайте также:  Инструкции PICCOLO KP100B10 Krups

В отличие от загрузочного кода BIOS, который всегда жестко прошит в соответствующем чипе на системной плате, куда более обширные по размеру коды UEFI находятся в специальной директории /EFI/, место физического расположения которой может быть самым разнообразным — от микросхемы памяти на плате или раздела на жестком диске компьютера и до внешнего сетевого хранилища.

Стандартно, разметка диска при применении UEFI выглядит следующим образом.

21

Рисунок 1 Создание структуры разделов в разметке GPT на ПК с UEFI

20

Для нас основной проблемой будет то, что загрузочный диск под Elcomsoft System Recovery просто не увидит данный жесткий диск.

Именно поэтому была создана новая версия ESR с поддержкой UEFI. Фактически, если исходить из набора функций, мы имеем перед собой все тот же набор, но уже созданный на базе загрузки под Windows 10 с поддержкой UEFI.

Elcomsoft System Recovery позволяет сбросить пароли к учётным записям, в то же время включая ряд атак, с помощью которых в ряде случаев за короткое время могут быть найдены оригинальные пароли.

Elcomsoft System Recovery разблокирует учётные записи Администратора и других пользователей в системах Windows Windows 7, Windows 8/8.1, Windows 10, а также множество устаревших систем, включая Windows Vista, Windows XP, Windows 2000 и Windows NT, включая все серверные редакции. Поддерживаются как 32-битные, так и 64-битные версии.

Как это работает?

Для создания EsrBoot диска вы должны запустить соответствующее программное обеспечение, в котором вам предложат либо создать загрузочную флешку либо iso-образ загрузочного диска.

1

Рисунок 3 Создание загрузочной флешки

По окончании форматирования и копирования вы получите загрузочную флешку.

После загрузки, в случае если вам необходим драйвер для IDE/SCSI/RAID жестких дисков, вы можете его загрузить.

2

Рисунок 4 Загрузите необходимый драйвер

После загрузки вы должны выбрать с какой учетной записью (локальной или доменной) вы хотите работать.

4

Рисунок 5 Выбор дальнейших действий

Для моей задачи потребовалось управление локальной учетной записью. Поэтому я сохранил резервную копию SAMи сохранил для будущей расшифровки дамп хэша SAM.

А после этого просто сбросил пароль учетной записи, вернее заменил его другим, ведь уверенно знал, что EFS-шифрование хозяин не применял.

7

11

12

Естественно необходимо вспомнить о возможностях данного ПО.

Возможности Elcomsoft System Recovery

  • Готов к загрузке – базируется на системе Windows PE (Preinstallation Environment)
  • Восстановление или сброс паролей к учётным записям как Администратора, так и всех других пользователей
  • Восстановление оригинальных паролей (в некоторых случаях), обеспечивающее доступ к данным, зашифрованным с использованием EFS
  • Разблокирование учётных записей (имеющих статус locked или disabled)
  • Поднятие привилегий (до уровня администратора) для любой учётной записи
  • Доступ к учётным записям, у которых истёк срок действия пароля
  • Поддержка широкого спектра аппаратного обеспечения; нативная поддержка файловых систем FAT, FAT32 и NTFS
  • Привычный графический интерфейс Windows – легко и удобно использовать
  • Поддержка всего спектра операционных систем вплоть до Windows 10 и Windows Server 2012
  • Поддержка американской, русской и других локализованных версий Windows; работа с именами пользователей и паролями на всех языках
  • Автоматическое определение всех установленных копий Windows
  • Возможность выгрузки хэшей паролей (для дальнейшего анализа и восстановления) как из локального реестра, так и из Active Directory

Если на исследуемом ПК нет данных, зашифрованных с помощью EFS, то самым простым вариантом будет сброс пароля для восстановления доступа. Проще всего сменить пароль для данной учетной записи, более того, при этом вам не нужно знать оригинальный. А кроме того нет необходимости проводить атаки для восстановления пароля, ведь это может быть, как затратным по времени и ресурсам, так и не гарантировать результат вообще. Гораздо проще задать новый. Еще раз повторю, у вас на ПК не должно быть EFS-шифрования.

Если же вам по какой-то причине нужен сохраненный пароль, то в составе ESR есть средства для восстановления. Более того, вы не нуждаетесь в том, чтобы задавать специальные параметры. ПО умеет проводить как простой перебор возможных паролей, так и проверку по спискам наиболее часто используемых паролей. Если же атака не удалась, вы сможете извлечь хеши паролей и сохранить их для последующего исследования.

Читайте также:  Rubit Рубит Санти Гербицид для борьбы с однолетними и многолетними растениями

Кроме того, необходимо знать, что Elcomsoft System Recovery позволяет не только восстанавливать или сбрасывать пароли, но поможет и при некоторых других проблемах, связанных с доступом в систему. Например:

  • Присвоить привилегии Администратора учётной записи любого пользователя
  • Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля)
  • Сбросить или поменять пароль к учётной записи пользователя
  • Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора
  • Показать список привилегий пользователя
  • Найти учётные записи с пустым паролем
  • Мгновенно восстановить пароли к некоторым специальным/системным учетным записям (например, IUSR_, HelpAssistant и т.д.)
  • Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)

Таким образом, в руки исследователя приходит новый, весьма интересный инструмент, позволяющий решать задачи по восстановлению паролей.

Источник

Самый простой способ сбросить пароль Windows 10

Дорогой читатель, в интернете масса способов и инструкций по сбросу пароля Windows, и на нашем блоге есть несколько записей, в основном я стараюсь добавлять проверенные и удобные программы, и писать сжато и по делу. Вот и сегодня, хочу поделится несколькими советами, как восстановить или сбросить пароль Windows , методы проверенные и максимально простые, — чтобы с ними мог справится любой пользователь персонального компьютера.

Для начала мой любимый

Первый способ, самый надёжный, простой и в тоже время мощный, это использование загрузочного диска с программным комплектом Elcomsoft System Recovery , ранее о нём уже упоминалось в нашем блоге, более подробно здесь .

Если кратко, то Elcomsoft System Recovery – простой способ подсмотреть или сбросить пароль в системах Windows 7,8,10.

Второй способ

Будем использовать программный комплекс Lazesoft Recovery Suite , в составе которого есть нужный нам инструмент Recover My Password ( скачать программу с нашего блога или с оф сайта)

Использование программы:

Программа на английском, если у вас с этим проблемы, лучше пропустить этот способ!

Скачайте, установите программу Lazesoft Recovery Suite на компьютере, к которому у вас есть доступ.

Далее, создаём загрузочную флешку в «Bern CD/USB Disk».

После того, как флешка создана, необходимо загрузится с неё на компьютере, на котором необходимо восстановить пароль.

Когда вы загрузитесь с флешки, следуйте указаниям мастера восстановления:

  • Lazesoft Live CD – Password Recovery – Reset Windows Password
  • В появившемся окне выбираем систему (для которой сбрасываем пароль), переходим далее и выбираем для какой учётной записи, после чего нажимаем «RESET/UNLOCK».

Пароль сбросится в считанные секунды, после чего вы сможете зайти на компьютер без пароля.

Третий способ

Способ для продвинутых пользователей, с использованием загрузочного диска Windows и командной строки.

Необходимо вооружится установочным образом Windows 10, здесь показываю где скачать .

Далее, создаём загрузочный диск или флешку, здесь показываю как просто создать загрузочную флешку, на которую очень легко добавлять любой загрузочный образ с системами и утилитами.

  1. Загружаемся с флешки с Windows 10 и переходим в «Дополнительные параметры».
  2. Переходим в «Командная строка», вводим regedit и жмакаем Энтер.
  3. В открывшемся редакторе реестра, проделываем следующие шаги:
  4. Выделяем папку HKEY_LOCAL_MACHINE, после жмём «Файл» – «Загрузить куст».
  5. В проводнике открываем файл C:\Windows\System32\config\SYSTEM, указываем имя для куста реестра (любой, к примеру softblog) и жмакаем «OK».
  6. Теперь в реестре открываем HKEY_LOCAL_MACHINE (слева в проводнике), переходим в softblog – Setup. Нам нужен параметр CmdLine, открываем его двойным щелчком и в поле «Значение» вводим «cmd.exe», жмакаем OK. Таким же образом в параметре SetupType пропишите значение 2 и снова жмите OK.
  7. Снова в проводнике выделите папку «softblog», нажмите «Файл» → «Выгрузить куст».

С загрузчиком закончили, перезагрузите компьютер, предварительно закрыв все окна.

Создание пароля для новой учётки

При первой загрузке, вместо логотипа появится командная строка, в которой необходимо ввести команду net user admin 778899 (вместо «admin» можете ввести любой другое имя, а вместо «778899» введите любой другой пароль) и нажать Enter .

Читайте также:  Пищеварочный кот л ABAT КПЭМ‑160‑ОМР со сливным краном

Теперь нам нужно вернуть нормальную загрузку, здесь же в командной строке введите знакомую нам команду regedit, после открыть раздел HKEY_LOCAL_MACHINE/System/Setup и в параметре «CmdLine» удалить cmd.exe, а в параметре «SetupType» установить значение 0.

Теперь можете перезагрузить компьютер и зайти в систему под новым именем и паролем, уже сменить его на любой другой или убрать вовсе.

Есть ещё масса способов, но данные три это тот максимум, дольше которого нет смысла что то искать и пробовать, но как всегда, выбор за вами, а может быть вы предложите более простой способ или удобную программу для сброса/восстановления пароля Windows 10.

Для старичков

Если хотите понастальгировать, а под рукой нет старого «железа», попробуйте на вашем компьютере старую добрую Windows 95 , она у вас запустится ))

А у меня всё, не забывайте подписываться и ставить пальцы вверх, мы стараемся для вас. Комментарии открыты для конструктивной критики и наводящих вопросов!

Источник

Elcomsoft system recovery инструкция

Elcomsoft System Recovery Pro 3.0

Итак, для начала качаем этот диск.

Перечислим основные возможности диска:

  • Диск готов к загрузке – базируется на системе Microsoft Windows Preinstallation Environment.
  • Восстановление или сброс паролей к учётным записям системы как Администратора, так и всех других пользователей.
  • Восстановление оригинальных паролей (в некоторых случаях), обеспечивает доступ к данным, зашифрованным с использованием EFS.
  • Разблокирование учётных записей (имеющих статус locked или disabled).
  • Поднятие привилегий (до уровня администратора) для любой учётной записи.
  • Доступ к учётным записям, у которых истёк срок действия пароля.
  • Поддержка широкого спектра аппаратного обеспечения; нативная поддержка файловых систем FAT, FAT32 и NTFS.
  • Привычный графический интерфейс Windows – позволяет пользоваться программой легко и удобно, без необходимости знаний DOS-команд.
  • Поддержка операционных систем: Windows NT 4.0, Windows 2000, Windows XP, Windows 2003 Server, Windows Vista и Windows 2008 Server.
  • Поддержка американской, русской и других локализованных версий Windows; работа с именами пользователей и паролями на всех языках.
  • Автоматическое определение всех установленных копий Windows.
  • Возможность выгрузки хэшей паролей (для дальнейшего анализа и восстановления) как из локального реестра, так и из Active Directory.

Так, теперь у вас, наверно, появилось желание прицепить этот диск к флешке. Нет ничего проще! Диск стартует с использованием мапинга в ОЗУ. Копируй образ диска в папку BOOT и пропиши следующие команды в menu.lst

Также, прицепил мануал по этому диску, как с ним работать. Мануал сделан в виде exe файла, взят с сайта производителя Elcomsoft. Скачать мануал

Источник

Скачать elcomsoft system recovery professional 3 0 0 466

Программа elcomsoft system recovery professional создана для снятия паролей в учётной записи администратора и других пользователей

elcomsoft system recovery скачать бесплатно

Скачать elcomsoft system recovery pro для взлома пароля на компьютере

Особенности установки

  • Elcomsoft System Recovery имеет русский интерфейс.
  • Elcomsoft System Recovery Professional работает со многими операционными системами windows.
  • Программе Elcomsoft System Recovery Pro ключ для активации не требуется.
  • Программа находится в образе который надо записать на диск.

Особенности программы

  • С помощью программы можно восстановить оригинальные пароли.
  • Elcomsoft System Recovery Pro 3 0 автоматически определяет все установленные копии windows на компьютере.
  • Формат программы Elcomsoft System Recovery Professional ISO который записывается на флешку с помощью программы UltraISO.
  • Программа Elcomsoft System Recovery бесплатно даёт доступ к учётным записям с истёкшим сроком действия.
  • Программой Elcomsoft System Recovery можно поднять уровень любой учётной записи до уровня администратор.
  • Может разблокировать учётные записи со статусом locked или disabled.

Подробно как создать Elcomsoft System Recovery Professional usb флешку написано в статье создать загрузочную флешку.
Подробно как пользоваться Elcomsoft System Recovery написано в статье Как разблокировать компьютер от пароля.

Видео

В этом видео показано как программа Elcomsoft System Recovery снимает пароль с компьютера.

Источник