Sådan dekrypteres StandardPassword-værdien, der er gemt i registreringsdatabasen for AutoLogon

I et tidligere indlæg har vi set, hvordan du omgå loginskærmen i Windows 7 og ældre versioner ved at udnytte AutoLogon værktøj, der tilbydes af Microsoft. Det blev også nævnt, at hovedfordelen ved at bruge AutoLogon-værktøjet er, at dit kodeord ikke er gemt i almindelig tekstformular, som det sker, når du manuelt tilføjer registreringsdatabasen. Den er først krypteret og gemmes så, at selv PC-administratoren ikke har adgang til det samme. I dagens indlæg vil vi snakke om, hvordan du dekrypterer DefaultPassword -værdien, der er gemt i registreringseditoren, ved hjælp af AutoLogon værktøjet.

Først skal du først have Administrator privilegier for at dekryptere værdien DefaultPassword. Årsagen til denne åbenlyse begrænsning er, at sådanne krypterede system- og brugerdata styres af en særlig sikkerhedspolitik, kender som Local Security Authority (LSA) , som kun giver adgang til systemadministratoren. Så før vi gør vores flyt på dekryptering af adgangskoderne, lad os tage et kig på denne sikkerhedspolitik, og det er sammenhængende know-how.

LSA - Hvad det er og hvordan det gemmer data

LSA bruges af Windows at styre systemets lokale sikkerhedspolitik og udføre revisions- og godkendelsesprocessen for brugerne, der logger ind i systemet, mens de gemmer deres private data til en særlig lagerplacering. Denne lagerplacering kaldes LSA Secrets , hvor vigtige data, der bruges af LSA-politikken, gemmes og beskyttes. Disse data gemmes i en krypteret form i registreringseditoren, i HKEY_LOCAL_MACHINE / Security / Policy / Secrets -tasten, som ikke er synlig for generelle brugerkonti på grund af begrænsede Adgangskontrollister (ACL) . Hvis du har de lokale administrative rettigheder og kender din vej omkring LSA Secrets, kan du få adgang til RAS / VPN-adgangskoderne, Autologon-adgangskoderne og andre systemadgangskoder / nøgler. Nedenfor er en liste for at nævne et par.

• $ MACHINE.ACC : Relateret til Domæneautentificering
• DefaultPassword : Krypteret adgangskodeværdi, hvis AutoLogon er aktiveret
• NL $ KM : Hemmelig nøgle bruges til at kryptere cachelagrede domæneadgangskoder
• L $ RTMTIMEBOMB : For at gemme den sidste dataværdi for Windows-aktivering

For at oprette eller redigere hemmelighederne er der et særligt sæt API`er til rådighed for softwareudviklere. Enhver applikation kan få adgang til LSA Secrets-placeringen, men kun i forbindelse med den nuværende brugerkonto.

Sådan dekrypteres AutoLogon-adgangskoden

Nu for at dekryptere og forstyrre værdien DefaultPassword gemt i LSA Secrets, kan man simpelthen udstede et Win32 API-opkald. Der er et simpelt eksekverbart program til rådighed for at få den dekrypterede værdi af DefaultPassword-værdien. Følg nedenstående trin for at gøre det:

1. Download den eksekverbare fil herfra - det er kun 2 KB i størrelse.
2. Uddrag indholdet af DeAutoLogon.zip filen.
3. Højreklik på DeAutoLogon.exe filen og kør den som administrator.
4. Hvis du har AutoLogon-funktionen aktiveret, skal DefaultPassword-værdien være der lige foran dig.

Hvis du forsøger at køre programmet uden administratorrettigheder, du vil løbe ind i en fejl. Sørg derfor for at erhverve lokale administratorrettigheder, før du kører værktøjet. Håber det hjælper!

Skub i kommentarfeltet nedenfor, hvis du har noget spørgsmål.