Как найти пароль в памяти компьютера

Из данной статьи Вы сможете узнать: где можно посмотреть сохраненные пароли доступа для браузеров, а также способы восстановления забытой информации для входа в аккаунты.

Содержание

1. Узнать или Восстановить пароли после удаления браузера
2. Данные для входа в аккаунты Google Chrome
3. Данные для входа в аккаунты Opera
4. Данные для входа в аккаунты Mozilla Firefox
5. Данные для входа в аккаунты в браузере Yandex
6. Данные для входа в аккаунты в Microsoft Edge
7. Заключение

Практически все популярные браузеры оборудованы системой автоматического сохранения логинов и паролей для быстрого входа в аккаунты на различных сайтах. Это позволяет не тратить время на постоянное введение данных для входа, делая процесс использования браузера более удобным.

Помимо положительных сторон, данная функция имеет и две негативные. При очистке истории, кэша и coockie файлов, пользователь может банально забыть свой пароль, что приведет к необходимости восстановления через службу поддержки. Другим негативным элементом является то, что при проникновении в компьютер третьих лиц, они смогут использовать данные для входа в своих корыстных целях, поэтому многие опытные пользователи предпочитают отказываться от функции автоматического входа через браузер.

Ниже мы расскажем где можно посмотреть, удалить или настроить информацию для входа в самых популярных интернет обозревателях.

Узнать или Восстановить пароли после удаления браузера

Если, по каким-то причинам, вы удалили браузер и у Вас возникли какие-либо проблемы с просмотром данных для входа и паролей, рекомендуем воспользоваться специальной программой для восстановления истории и паролей браузеров RS Browser Forensics.

Скачайте программу и сможете быстро восстановить историю, закладки и вернуть пароли для всех популярных браузеров.

Из ключевых преимуществ RS Browser Forensics следует выделить:

• Высокую скорость и эффективность работы;
• Интуитивно понятный интерфейс;
• Возможность восстановления истории и данных для входа во всех популярных интернет обозревателях (Chrome, Mozilla FireFox, Opera, Yandex.Browser, UC Browser и т.д.);
• Возможность восстановления удаленных данных, хранящих историю, пароли и другую важную информацию.

Данные для входа в аккаунты Google Chrome

Если браузер Google Chrome имеет стандартные настройки, он будет автоматических сохранять данные для автоматического входа в аккаунты.

Посмотреть логины и пароли, а также настроить автоматический вход можно следующим образом:

1. В открытом Google Chrome в правом верхнем углу находим три вертикальных точки, по которым следует нажать левой кнопкой мыши.

   В открывшемся выпадающем окне выбираем пункт «Настройки».

   

2. В открывшемся меню настроек опускаемся к пункту «Автозаполнение» и нажимаем по графе «Пароли».
   
3. В открывшемся меню настроек можно посмотреть свои пароли для входа на разные ресурсы.

   Данная информация находится в графе «Сайты с сохраненными паролями». В первом столбце написан адрес ресурса, во втором пункте расположены логины, а место третьего занимают пароли. Изначально пароли скрыты точками, а для их отображения следует нажать левой кнопкой мыши по иконке с глазом.

   Помимо этого, здесь располагается уже знакомая кнопка с тремя вертикальными точками. Если нажать по ней, можно посмотреть дополнительные сведения или удалить выбранный пароль.

   

Также в данном меню можно включить или отключить функцию автоматического входа в аккаунты, добавить или убрать сайты исключения, для которых пароли не будут сохраняться даже при включенной функции автоматического входа, что может быть полезно для онлайн кошельков, банков и т.д. (данная функция находится в самом низу страницы). В верхней части можно воспользоваться поиском, чтобы быстро найти пароли. Для этого достаточно ввести имя сайта в строке поиска.

После отключения функции автоматического ввода паролей, следует провести очистку браузера и его истории, а также удалить пароли сохраненные в браузере Google Chrome:

1. Нажимаем по иконке с тремя точками в правом верхнем углу, в открывшемся окне выбираем пункт «История» и в открывшейся вкладке переходим в «История». Данное действие также можно выполнить сочетанием клавиш Ctrl+h.
   
2. В окне истории переходим в пункт «Очистить историю».
   
3. В открывшемся меню переходим в графу сверху «Дополнительные» и ставим галочку возле пункта «Пароли и другие данные для входа». Для удаления всех паролей, следует обязательно поставить пункт «За все время». После чего удаляем информацию при помощи кнопки «Удалить данные».
   

После этого пароли на текущем устройстве будут удалены, а пользователю придется использовать ручной ввод логина и пароля для всех аккаунтов.

Данные для входа в аккаунты Opera

Пользователям браузера Opera также доступна функция автоматического сохранения паролей для быстрого входа.

Для настройки работы автосохранения и просмотра сохраненных паролей в Opera следует выполнить следующее:

1. В запущенном браузере нажимаем по иконке браузера в левом верхнем углу. В выпадающем окне настроек выбираем пункт «Настройки». Также данная функция доступна при нажатии сочетания клавиш Ctrl+P.
   
2. В меню настроек переходим в пункт «Дополнительно», после чего выбираем «Безопасность» и опускаемся вниз по странице до графы «Пароли и формы», где следует выбрать «Пароли».
   
3. Открывшееся окно с паролями имеет схожий с Google Chrome внешний вид. Здесь можно увидеть свои сохраненные пароли, найти адреса сайтов с сохраненными данными для входа при помощи поиска, а также настроить функции сохранения паролей и автоматического входа. Помимо этого, здесь доступна функция добавления исключений для выбранных сайтов.

Для удаления паролей из браузера Opera и данных для входа необходимо:

1. Нажимаем сочетание клавиш Ctrl+h и в открывшемся окне переходим в пункт «Очистить историю…».
   
2. В новом окне переходим в пункт «Дополнительно», устанавливаем временной диапазон «За все время» и отмечаем галочкой пункт «Пароли и другие данные для входа». После этого достаточно подтвердить действие кнопкой «Удалить данные».
   

Данные для входа в аккаунты Mozilla Firefox

В популярном браузере Mozilla Firefox сохраненная информация для входа в аккаунты находится по следующему пути:

1. В открытом браузере нажимаем по иконке шестеренки, которая ведет в настройки обозревателя.

   Иконку можно обнаружить в правом верхнем углу. Также в настройки можно зайти, воспользовавшись символом трех полосок, который ведет в выпадающее меню, где следует выбрать пункт «Настройки».

   

2. В открывшемся окне переходим в пункт «Приватность и защита», после чего опускаемся в центральном окне до графы «Логины и пароли».

   Чтобы просмотреть сохраненную информацию для входа следует нажать кнопку «Сохраненные логины…».

   
   

3. В открывшемся окне можно просмотреть сайты и логины, а также отобразить пароли, воспользовавшись кнопкой «Отобразить пароли».

   Помимо этого, здесь можно удалить все пароли и найти необходимые данные при помощи строки поиска.

   

Данные для входа в аккаунты в браузере Yandex

Аналогично с предыдущими обозревателями в браузере Yandex присутствует функция автоматического сохранения данных для входа.

Чтобы настроить и просмотреть данные для входа в браузере Yandex необходимо:

1. В открытом браузере в правом верхнем углу нажать левой кнопкой мышки по символу трех горизонтальных полосок.

   В выпадающем меню выбрать пункт «Настройки».

   

2. В открывшемся окне переходим в графу «Пароли и карты», открываем подпункт «Пароли», где будет доступна информация про автоматически сохраненные пароли.
   

Чтобы просмотреть детальные данные про логины и пароли, следует нажать по необходимому пункту левой кнопкой мыши, после чего откроется окно с адресом сайта, логином и паролем к нему. Для просмотра пароля следует нажать по символу глаза.

Для удаления паролей достаточно отметить необходимые галочкой и нажать по пункту «Удалить».

Для выключения функции сохранения данных для входа, необходимо, находясь в графе «Пароли и карты», выбрать пункт «Настройки».

В открывшемся окне следует убрать галочки возле пунктов под графой «Пароли» или просто нажать по кнопке «Выключить менеджер паролей».

Данные для входа в аккаунты в Microsoft Edge

В отличии от предыдущих браузеров Microsoft Edge является встроенным интернет обозревателем Windows 10, поэтому процедура поиска паролей имеет немного отличий.

Для настройки и просмотра сохраненной информации для входа в аккаунты браузера Microsoft Edge следует:

1. В запущенном браузере нажать по трём горизонтальным точкам в правом верхнем углу и в открывшемся окне выбрать пункт «Параметры».
   
2. В открывшемся меню переходим в левую часть окна и нажимаем по кнопке «Пароли и автозаполнения».
   
3. В следующем окне также следует опуститься вниз и найти кнопку «Управление паролями».
   

В открывшемся окне можно просмотреть логины и сайты, изменить их или удалить, но функция просмотра паролей останется не доступной. Это обусловлено встроенной системой безопасности Windows 10.

Для просмотра паролей, сохраненных в Microsoft Edge следует:

1. Нажимаем левой кнопкой мыши по иконке «Поиск» (изображение лупы возле кнопки «Пуск») и вводим в строку фразу «Панель управления».

   После чего переходим в непосредственно сам пункт «Панель управления».

   

2. В панели управления ставим режим отображения «Крупные значки» и переходим в «Диспетчер учетных данных».
   
3. В открывшемся окне нажимаем по кнопке «Учетные записи для интернета», после чего внизу появятся все сохраненные пароли и другие данные для входа.

   Для просмотра и редактирования данных следует нажать по кнопкам справа.

   

Заключение

Поскольку браузеры постоянно обновляются и изменяют свой интерфейс, то некоторые пункты настроек могут незначительно изменять свое месторасположения, поэтому многие пользователи могут заметить некоторые отличия в настройках и просмотре данных для входа. Тем не менее, данная статья сможет дать четкий ориентир для выполнения необходимых действий.

Как узнать пароли, которые вводились на моем компьютере

В статье мы расскажем, где находятся пароли на вашем компьютере. Если вы забыли информацию об аккаунте (логин/пароль), приведенные нами инструкции пригодятся при восстановлении доступа к любимым сайтам. Мы рассмотрим поиск сохраненных паролей в Google Chrome и Mozilla Firefox, поскольку они установлены на львиной доле ПК. А также опишем процесс восстановления пароля к аккаунту Windows.

Как посмотреть пароли в браузере. Руководство по поиску и защите сохраненных паролей

Как посмотреть сохраненные пароли в Google Chrome

В каждом браузере из списка часто используемых (Firefox, Chrome, Opera, Safari) присутствует опция по хранению и запоминанию данных от аккаунтов (например, мастер-пароль в opera, который защищал логины и пароли). Сейчас мы будем обозревать именно Хром, потому что большинство пользователей интернета пользуются именно им.

Шаг 1. Открываем Хром. Справа, в самом конце адресной строки находится значок из трех точек. Это кнопка для открытия настроек. Кликаем по ней.

Шаг 2. Во всплывающем меню выбираем пункт «Настройки» — он в самом низу.

Шаг 3. Прокручиваем страницу вниз, пока не найдем слово «Дополнительные». Кликаем.

Шаг 4. Этот пункт раскрывает весь функционал настроек браузера. Нам нужен блок «Пароли и формы». Щелкаем по строке «Настройки паролей».

Шаг 5. Открывается таблица, где содержатся все сохраненные пароли к вашим аккаунтам. Что здесь можно сделать? Например, нажать на значок глазка – вместо точек появится ваш пароль. Эта функция крайне полезна, если вы забыли код от аккаунта, а желания проходить долгую процедуру восстановления – нет.

Где находятся сохраненные пароли в Opera

Opera считается надежным браузером, который защищает от вирусов, блокирует нежелательные всплывающие окна и хранит пароли пользователя. Узнаем, где именно расположены коды к сайтам.

Шаг 1. Мастер-пароль в Opera используется для хранения данных об аккаунтах. Открываем «Меню», заходим в «Настройки».

Шаг 2. В сайдбаре слева выбираем параметр безопасности.

Шаг 3. Прокручиваем страницу и жмем на кнопку, изображенную на скриншоте.

Шаг 4. Открывается окошко со всеми авторизированными сервисами.

Где находятся сохраненные пароли в Mozilla Firefox

Firefox – второй по востребованности браузер после Хрома. Рассказываем, как найти в нем пароли от сайтов.

Шаг 1. Открываем настройки. В конце адресной строки расположен значок из трех полосок – кликаем по нему.

Шаг 2. В левом меню выбираем параметр «Защита». Далее – «Сохраненные логины».

Шаг 3. Здесь вы можете увидеть пароли к каждому конкретному сайту.

Видео — Как посмотреть сохраненные пароли в браузере?

Как узнать вводимые пароли на компьютере

Программы для поиска введенных кодов в браузерах используются редко. Мы не рекомендуем их применять, поскольку их разработчики неизвестны. Пользуясь такими программами, вы можете доверить свои пароли и логины третьим лицам. Как они ими воспользуются – вопрос открытый. Поэтому советуем смотреть пароли через средства, предоставляемые самим браузером. Тем не менее, одну хорошую программу мы можем посоветовать.

WebBrowserPassView, как и логически следует из названия, утилита по просмотру паролей, сохраненных в браузерах. Безусловный плюс приложения – работа с несколькими браузерами. Вам не придется рыться в настройках Хрома или Firefox, здесь все находится в одном месте. Пользуясь WebBrowserPassView, вы всегда будете знать, где хранятся пароли.

Как узнать пароль для входа в Windows?

Если вы хотите узнать, как отключить пароль в Виндовс 10, вы можете прочитать статью об этом на нашем портале.

Случается, что забыт главный пароль, который только может быть – от учетной записи компьютера. Чтобы не потерять важные данные, пароль необходимо восстановить. Как? Рассмотрим один из способов.

Шаг 1. При включении/перезагрузке ПК нажмите клавишу «F8».

Шаг 2. Выберете «Безопасный режим». Вы загрузитесь в Виндовс, но с ограниченным функционалом. Такой формат загрузки придуман для устранения неполадок и тестирования системы. Он не подойдет для обычной ежедневной работы, но нашу проблему решить поможет.

Шаг 4. Затем выбираем первый параметр из блока настройки учетных записей (смотрите скриншот).

Шаг 5. Выбираем ваш аккаунт.

Шаг 6. Кликните по параметру «Изменение своего пароля».

Шаг 7. Задайте новый код и сохраните изменения. Теперь просто перезагрузите компьютер и все – проблема решена за каких-то несколько щелчков.

Ответ на часто задаваемый вопрос: «А безопасно ли хранить логины/пароли в браузере?»

Часто задаваемый вопрос о просмотре паролей на ПК: а безопасно ли хранить логины/пароли в браузере? Здесь множество факторов. Если ваша учетная запись на компьютере сама под паролем – риск «угона» аккаунтов резко снижается. В остальных случаях, ваши данные могут украсть. Достаточно просто зайти в настройки браузера и посмотреть сохраненные пароли. Современные сервисы вроде Вконтакте, Facebook, Twitter, Steam поддерживают двухфакторную аутентификацию, прикрепление номера телефона. Даже если злоумышленник скопировал себе ваш логин и пароль, вы можете использовать привычный способ восстановления пароля – через привязанный к аккаунту телефон.

Как посмотреть чужую переписку с помощью PuntoSwitcher?

PuntoSwitcher – крайне удобная программа для тех, кто имеет дело с текстом. Она анализирует вводимые с клавиатуры символы и переводит раскладку на нужную. Когда печатаешь текст, глядя на клавиатуру, можно не заметить, что раскладка не переключена. Приходится либо вбивать текст заново, либо искать сайты, меняющие испорченный текст на правильный. Но проще поставить PuntoSwitcher.

Однако, программа имеет и более интересные опции. Например, вы можете прочитать чужую переписку.

Единственный момент – у вас должен быть доступ к ПК того пользователя, чьи сообщения вы хотите узнать. Рассмотрим установку и настройку PuntoSwitcher пошагово:

Шаг 1. Скачиваем утилиту, перейдя по ссылке https://yandex.ru/soft/punto/ и устанавливаем.

Шаг 2. По умолчанию утилита сворачивается в трей. Чтобы настроить PuntoSwitcher, кликаем правой кнопкой мыши по ее значку.

Шаг 3. В меню переходим на строку «Дополнительно» и отмечаем параметр «Вести дневник».

Шаг 4. Теперь останется «подчистить следы» — чтобы пользователь ничего не заподозрил. Дело в том, что программа при переключении раскладки издает характерный звук. Его быть не должно. В настройках заходим в «Звуковые эффекты» и отключаем их все, если стоит галочка — щелкаем. Отсутствие галочки — отсутствие звука.

Шаг 5. Открываем масштабные настройки программы.

Шаг 6. Во вкладке «Общие» убираем все пункты, кроме автозапуска. Сохраняем результат.

Теперь для просмотра введенного при работе Виндовс текста, останется заглянуть в дневник PuntoSwitcher.

Можно ли ускорить расшифровку паролей в Ophcrack

Ophcrack – одна из утилит, предназначенных для взлома паролей. Чтобы сделать поиск кодов быстрее, можно добавить в базу примеры распространенных паролей, вводимых пользователями. Теперь применим утилиту в деле. С помощью Ophcrack можно взломать пароль Windows.

Шаг 1. Загружаем утилиту с сайта разработчика http://Ophcrakcsourceforge.net.

Шаг 2. Записываем скачанный образ на диск. Подойдет программа UltraIso.

Если вы хотите более подробно узнать, как создать образ диска в Windows 10, вы можете прочитать статью об этом на нашем портале.

Шаг 3. Перезагружаем ПК. Заходим в БИОС (клавиша «F2»).

Шаг 4. Во вкладке «Boot» ставим в приоритет «CD-диск», чтобы компьютер грузился именно с него, а не с винчестера (как обычно). Сохраняем настройки (клавиша «F10»).

Шаг 5. Снова перезагружаем компьютер. Откроется утилита. Выбираем первый пункт (как на скриншоте).

Шаг 6. Щелкаем по нужному аккаунту и жмем кнопку «Crack» в меню сверху.

Шаг 7. Программа выполнит взлом и покажет пароль в последнем столбце таблицы (смотрите скриншот).

Видео — Как узнать пароль Windows xp, 7, 8, 10 за минуту

Понравилась статья?
Сохраните, чтобы не потерять!

Источник

Хранение и шифрование паролей Microsoft Windows

Про взлом паролей windows было написано немало статей, но все они сводились к использованию какого-либо софта, либо поверхностно описывали способы шифрования LM и NT, и совсем поверхностно описывали syskey. Я попытаюсь исправить этот неодостаток, описав все подробности о том где находятся пароли, в каком виде, и как их преобразует утилита syskey.

Существует 2 возможности получения пароля — через реестр, или получив прямой доступ к файлам-кустам реестра. В любом случае нужны будут либо привелегии пользователя SYSTEM, либо хищение заветных файлов, например, загрузившись из другой ОС. Здесь я не буду описывать возможности получения доступа, но в целях исследования нагляднее будет выбрать первый вариант, это позволит не заострять внимание на структуре куста реестра. А запуститься от системы нам поможет утилита psExec от sysinternals. Конечно, для этих целей можно использовать уязвимости windows, но статья не об этом.

V-блок

Windows до версии Vista по умолчанию хранила пароль в двух разных хэшах — LM и NT. В висте и выше LM-хэш не хранится. Для начала посмотрим где искать эти хэши, а потом разберемся что из себя они представляют.

Пароли пользователей, а так же много другой полезной информации хранится в реестре по адресу HKLMSAMSAMDomainsAccountusers[RID]V
, известном как V-блок. Раздел SAM находится в соответствующем файле c:WindowsSystem32configSAM. RID — уникальный идентификатор пользователя, его можно узнать, например заглянув в ветку HKLMSAMSAMDomainsAccountusersnames (параметр Default, поле — тип параметра). Например, RID учетной записи «Администратор» всегда 500 (0x1F4), а пользователя «Гость» — 501 (0x1f5). Доступ к разделу SAM по умолчанию возможен только пользователю SYSTEM, но если очень хочется посмотреть — запускаем regedit c правами системы:

Чтобы наблюдать V-блок в удобном виде можно, например, экспортировать его в текстовый файл (File-Export в Regedit).
Вот что мы там увидим:

От 0x0 до 0xCC располагаются адреса всех данных, которые находятся в V-блоке, их размеры и некоторая дополнительная информация о данных. Чтобы получить реальный адрес надо к тому адресу, что найдем прибавить 0xCC. Адреса и размеры хранятся по принципу BIG ENDIAN, т.е понадобится инвертировать байты. На каждый параметр отводится по 4 байта, но фактически все параметры умещаются в одном-двух байтах. Вот где искать:

Адрес имени пользователя — 0xС
Длина имени пользователя — 0x10
Адрес LM-хэша — 0x9с
Длина LM-хэша — 0xa0
Адрес NT-хэша — 0xa8
длина NT-хэша — 0xac

В данном случае имя пользователя найдется по смещению 0xd4 + 0xcc и его длина будет 0xc байт.
NT-хэш будет располагаться по смещению 0x12c + 0xcc и его размер (всегда один и тот же) = 0x14.

Еще одна деталь, касающаяся хранения паролей — как к NT- так и к LM-хэшу всегда добавляются спереди 4 байта, назначение которых для меня загадка. Причем 4байта будут присутствовать даже если пароль отключен. В данном случае видно, что длина LM хэша =4 и если посмотреть на его адрес, можно эти 4 байта увидеть несмотря на то что никакого LM-хэша нет.
Поэтому при поиске смещений хэшей смело прибавляем 4 байта к адресу, а при учете размеров — вычитаем. Если удобнее читать код — вот примерно так будет выглядеть поиск адресов с учетом инверсии, лишних четырех байтов и прибавления стартового смещения 0xcc (код C#)

Алгоритмы

Теперь разберемся в алгоритмах шифрования.
Формирование NT-хэша:
1. Пароль пользователя преобразуется в Unicode-строку.
2. Генерируется MD4-хэш на основе данной строки.
3. Полученный хэш шифруется алгоритмом DES, ключ составляется на основе RID пользователя.
Формирование LM-хэша:
1. Пароль пользователя преобразуется в верхний регистр и дополняется нулями до длины 14 байт.
2. Полученная строка делится на две половинки по 7 байт и каждая из них по отдельности шифруется алгоритмом DES. В итоге получаем хэш длиной 16 байт (состоящий из двух независимых половинок длиной по 8 байт).
3. Полученный хэш шифруется алгоритмом DES, ключ составляется на основе RID пользователя.

4. В windows 2000 и выше оба полученых хэша дополнительно шифруются алоритмом RC4 с помощью ключа, известного как «системный ключ» или bootkey, сгенерированого утилитой syskey, и шифруются довольно хитрым образом.

Рассмотрим общую последовательность действий для получения исходного пароля и каждый шаг в отдельности
1. Получаем bootkey, генерируем на его основе ключи для RC4, расшифровываем хэши с помощью RC4
2. Получаем ключи для DES из RID’ов пользователей, расшифровываем хэши DES’ом
3. Полученые хэши атакуем перебором.

Bootkey

Системный ключ (bootkey) разбит на 4 части и лежит в следующих разделах реестра:

HKLMSystemCurrentControlSetControlLsaJD
HKLMSystemCurrentControlSetControlLsaSkew1
HKLMSystemCurrentControlSetControlLsaGBG
HKLMSystemCurrentControlSetControlLsaData

Раздел system находится в файле c:WindowsSystem32configsystem

Следует отметить, что раздел CurrentControlSet является ссылкой на один из разделов controlset и создается в момент загрузки системы. Это значит что не получится его найти в файле system, если система неактивна. Если вы решили искать ключ в файле — необходимо узнать значение ContolSet по умолчанию в HKLMSYSTEMSelectdefault.
например если HKLMSYSTEMSelectdefault = 1 — вместо HKLMSystemCurrentControlSet ищем в HKLMSystemcontrolset001

У каждого ключа реестра есть некий скрытый атрибут, известный как «class». Regedit его так просто не покажет, однако его можно увидеть, например, если экспортировать эти ключи реестра в текстовые файлы. В winapi для получения этого атрибута есть функция RegQueryInfoKey.
Фрагменты хранятся в строковом представлении шестнадцатеричных чисел, причем по принципу BIG ENDIAN (т.е не строка задом наперед, а число).
Например мы обнаружили вот такие записи:

Key Name: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaJD
Class Name: 46003cdb = <0xdb,0x3c,0x00,0x46>
Key Name: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaSkew1
Class Name: e0387d24 = <0x24,0x7d,0x38,0xe0>
Key Name: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaGBG
Class Name: 4d183449 = <0x49,0x34,0x18,0x4d>
Key Name: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaData
Class Name: 0419ed03 =

Собраный из четырех частей ключ будет массивом байт:

Далее элементы этого массива переставляются на основе некоторого константного массива p

key[i] = scrambled_key[p[i]];

В нашем примере получится массив:

этот массив и есть так называемый bootkey. Только в шифровании паролей будет учавствовать не он а некий хэш на основе bootkey, фрагментов f-блока и некоторых констант. Назовем его Hashed bootkey.

Hashed bootkey

для получения Hashed bootkey нам понадобятся 2 строковые константы (ASCII):

string aqwerty = «!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%»;
string anum = «0123456789012345678901234567890123456789»;
Также понадобится F-блок пользователя (HKLMSAMSAMDomainsAccountusers\F), а именно его 16 байт: F[0x70:0x80]

На основе этих значений, склееных в один большой массив формируем MD5 хэш, который будет являться ключем для шифрования RC4

rc4_key = MD5(F[0x70:0x80] + aqwerty + bootkey + anum).

Последним шагом для получения hashed bootkey будет rc4 шифрование( или дешифрование — в rc4 это одна и та же функция) полученым ключем фрагмента F-блока F[0x80:0xA0];

Hashed bootkey у нас в руках, осталось научиться с ним правильно обращаться.

Дешифруем пароли с помощью Hashed Bootkey

для паролей LM и NT нам понадобятся еще 2 строковые константы —

string almpassword = «LMPASSWORD»;
string antpassword = «NTPASSWORD»;

а так же RID пользователя в виде 4х байт (дополненый нулями) и первая половина Hashed Bootkey (hashedBootkey[0x0:0x10]);
Все это склеивается в один массив байт и считается MD5 по правилам:
rc4_key_lm = MD5(hbootkey[0x0:0x10] +RID + almpassword);
rc4_key_nt = MD5(hbootkey[0x0:0x10] +RID + antpassword);

полученый md5 хэш — ключ для rc4, которым зашифрованы LM и NT хэши в V-блоке пользователя

userLMpass = RC4(rc4_key_lm,userSyskeyLMpass);
userNTpass = RC4(rc4_key_lm,userSyskeyNTpass);

На этом этапе мы получили пароли пользователя в том виде в каком они хранились бы без шифрования syskey, можно сказать, что самое сложное позади. Переходим к следующему шагу

На основе четырех байт RID’а пользователя с помощью некоторых перестановок и побитовых операций создаем 2 ключа DES. Вот функции, которые осуществляют обфускацию (С#):
private byte[] str_to_key(byte[] str) <
byte[] key = new byte[8];
key[0] = (byte)(str[0] >> 1);
key[1] = (byte)(((str[0] & 0x01) > 2));
key[2] = (byte)(((str[1] & 0x03) > 3));
key[3] = (byte)(((str[2] & 0x07) > 4));
key[4] = (byte)(((str[3] & 0x0F) > 5));
key[5] = (byte)(((str[4] & 0x1F) > 6));
key[6] = (byte)(((str[5] & 0x3F) > 7));
key[7] = (byte)(str[6] & 0x7F);
for (int i = 0; i

Ну здесь особо комментировать нечего, кроме функции des_set_odd_parity(ref key) — это одна из функций библиотеки openssl, задача которой добавить некоторые «биты нечетности», используется для повышения стойкости ключа к атакам.

Исследование проведено на основе исходного кода ophcrack-3.3.1, а так же статьи Push the Red Button:SysKey and the SAM

Источник

Практически во всех популярных браузерах в кэше и кукис (cookies) сохраняется конфиденциальная информация, вводимая вами при посещении тех или иных сайтов и аккаунтов, включая почтовые сервисы и социальные сети. Однако это происходит лишь в том случае, если вы даете согласие в браузере на сохранение данных для того, чтобы не вводить их каждый день. Этим часто пользуются злоумышленники, чтобы с помощью специальных шпионских программ украсть нужные файлы из браузера пользователя. Но этой же возможностью можете воспользоваться и вы, если вдруг забудете пароль от своего аккаунта, а других записей нигде не сохранилось. Мы расскажем, как вытащить пароли из различных браузеров, если вы когда-то их там сохраняли.

Google Chrome: извлекаем сохраненные пароли

• Нажмите кнопку меню в правом верхнем углу браузера, она выглядит как три вертикально расположенных точки.

То, что пользователи достаточно часто забывают пароли от всевозможных программ, интернет-сайтов или даже те комбинации, которые используются для входа в систему, знают все. Поэтому и возникает проблема их быстрого восстановления. Но где хранятся все вводимые на компьютере пароли? Как их найти и посмотреть в случае необходимости? Увы, все далеко не так просто. В самом простом случае можно узнать пароли для интернет-ресурсов, а вот с локальными или сетевыми паролями возникает множество проблем, тем более что средствами Windows просмотреть их не представляется возможным, а использование специализированного программного обеспечения освоить могут далеко не все рядовые пользователи. Но для понимания общей картины некоторую ясность внесет представленный ниже материал.

Где на компьютере хранятся пароли: общая информация

Для начала следует отметить тот факт, что какого-то единого и универсального места сохранения парольных комбинаций нет. Основная проблема состоит в том, что операционная система использует собственные хранилища в виде недоступных пользователю и защищенных от просмотра зашифрованных файлов. Некоторые программы могут сохранять пользовательские данные в собственных файлах настроек. А вот если разбираться в том, где на компьютере хранятся пароли браузеров, тут знание местонахождения не нужно, поскольку просмотреть все сохраненные комбинации можно прямо в них самих. Но об этом чуть позже.

В каком виде и где хранятся сохраненные на компьютере пароли, относящиеся ко входу в систему и сетевым настройкам?

Но давайте отталкиваться от того, что нам для начала нужно узнать именно локацию, в которой сохраняется файл с паролями пользователей, а не просмотреть исходную комбинацию. Локальные пользовательские комбинации, относящиеся ко входу в систему или для возможности использования сетевых подключений, сохраняются непосредственно в каталоге каждого пользователя, условно обозначаемого как User SID. В версии ХР в качестве локации используется папка Credentials, а в «Висте» и выше таким местом выбран подкаталог Random ID.

В ветке реестра HKU локациям файлов паролей соответствуют ключи в виде длинных комбинаций, начинающиеся со значений «S-1-5-21». Но это в большинстве случаев только указание на сами файлы, поскольку просмотреть сохраненные комбинации невозможно ни в самих файлах, ни даже в реестре, хотя изменить исходные хранящиеся на компьютере пароли можно совершенно элементарно через соответствующие настройки управления сетевыми подключениями или учетными записями пользователей, которые доступны в графическом интерфейсе.

Для администраторских паролей входа в систему можно обратить внимание на раздел реестра SAM.

Для VPN- и Dial-Up-подключений в ветке реестра HKLM имеются разделы Secrets и SECURITY с ключами вроде RasDialParams, но и они ровным счетом никакой особой информации обычному юзеру не дают. Другое дело, что просмотреть и изменить пароль сетевого доступа можно либо в настройках Windows, либо прямо на маршрутизаторе. Кстати сказать, по схожему принципу сохраняются и парольные комбинации для большинства встроенных в систему почтовых клиентов или утилит от сторонних разработчиков, если они представлены именно в виде отдельных приложений, что не относится к интернет-сервисам вроде почты Mail.Ru или чего-то подобного.

Место сохранения паролей для программы Skype и проблемы просмотра искомых комбинаций

Достаточно часто приходится выяснять, где на компьютере хранятся пароли от установленных программ. В частности, это касается популярного приложения Skype, с которым в последнее время у многих пользователей наблюдаются проблемы входа в собственные аккаунты.

Установленное приложение хранит пользовательскую комбинаций в специальном XML-файле, где паролю соответствует значение хэша (<hash>). Да, но здесь пароль представлен в 16-ричном виде и просто так просмотреть его не получится. Поэтому для таких целей необходимо использовать HEX-редактор. Но и применение таких утилит без соответствующих знаний результата может не дать.

Просмотр паролей в браузерах

Теперь посмотрим, где на компьютере хранятся пароли, сохраняемые непосредственно в веб-обозревателях, которые используются для работы в интернете. Собственно, как уже было сказано выше, само местоположение файлов нас не интересует.

А вот просмотреть пароли можно прямо в браузере, если в разделе основных настроек перейти к пункту управления сохраненными паролями, где в списке будут представлены все ресурсы, для которых такие комбинации были сохранены. Далее нужно всего нажать на кнопку или ссылку показа пароля, после чего забытую комбинацию можно перенести в текстовый файл или просто записать.

Специализированные программы для «вытаскивания» всех вводимых паролей

Но можно предположить, что пользователю мало знать, где на компьютере хранятся пароли, а нужно еще их как-то «вытащить» из системы для просмотра. Для выполнения таких операций в самих Windows-системах средств нет, зато без проблем можно воспользоваться всевозможным и сторонними программами наподобие Password Recovery Tool, PSexec, входящей в состав пакета PSTools, PasswordSpy или аналогичными.

В них необходимо всего лишь активировать сканирование системных компонентов на предмет обнаружения сохраненных паролей, а затем задать их извлечение и преобразование в читабельный вид.

Послесловие

Как видим, все, что касается места и формы сохранения парольных комбинаций, даже многим опытным пользователям может показаться достаточно сложным. Но вот в случае их изменения или просмотра особых трудностей возникнуть не должно, поскольку для этого сгодятся и некоторые стандартные средства системы, и сторонние приложения, которые очень просты в использовании. Впрочем, знать именно место хранения в виде конкретного каталога или зашифрованного файла в этом случае совершенно необязательно.