Рассмотрим как работают платные решения для восстановление доступа к учётным записям и не только.
Возможности Elcomsoft System Recovery:
Дисковые утилиты, инструмент "Создания образа диска" и многое другое, но лучше один раз увидить чем сто раз услышать, далее начнём по порядку.
Первое что нам нужно будет сделать это создать свою загрузочную или флешку или сохранить образ на устройство загрузки типа IODD2531
Вот мы с Вами и добрались до момента создания загрузочного образа
Мы получим файл
В результате у нас есть свой Windows PE ранее одну из моих сборок уже я описывал WinPE Forensics
Если у нас не стандартное оборудование то мы можем указать и установить нужные драйвера.
Теперь мы можем выбирать источники данных
База SAM (англ. Security Account Manager - Диспетчер учётных записей безопасности)
Как видно мы можем:
Так же нам доступна атака по словарю
Я использовал уж очень элементарные даже не пароли и это видно
Но в практике мы смотрим и копируем "NTLM хэш" который потом брутим
Следующая возможность при нажатии далее, это смена пароля выбранной учётной записи
Но можно и просто воспользоваться пунктом "Дамп парольных хэшей"
Особенно меня порадовали "Дисковые утилиты", ранее уже писалась статья что можно сделать имея в руках hiberil.sys и подобные технические файлы
Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker
Возможности Elcomsoft System Recovery:
- Сброс паролей к учётным записям Windows и Microsoft Account
- Извлечение хэшей из SAM/SYSTEM и Active Directory для последующей атаки в режиме офлайн
- Извлечение метаданных шифрования TrueCrypt, VeraCrypt, Bitlocker, FileVault (HFS+/APFS), PGP Disk и LUKS
- Создание образов дисков для последующего анализа
- Восстановление как локальных паролей, так и паролей к учётным записям Microsoft Account
- Доработанная среда Windows PE с расширенной поддержкой аппаратного обеспечения и полной поддержкой всех версий FAT и NTFS
Дисковые утилиты, инструмент "Создания образа диска" и многое другое, но лучше один раз увидить чем сто раз услышать, далее начнём по порядку.
Первое что нам нужно будет сделать это создать свою загрузочную или флешку или сохранить образ на устройство загрузки типа IODD2531
Мы получим файл
esr.iso, который скопировал себе на IODD2531 и выбрал его загрузочным.В результате у нас есть свой Windows PE ранее одну из моих сборок уже я описывал WinPE Forensics
Если у нас не стандартное оборудование то мы можем указать и установить нужные драйвера.
Теперь мы можем выбирать источники данных
Как видно мы можем:
- Изменить локальную учетную запись -> Изменить/сбросить пароль, свойства или статус учетной записи;
- Дамп парольных хэшей -> Сделать дамп хзшей SAM для последующего анализа или восстановления;
- Сохранить SAM -> Сохранить файлы реестра SAM (SAM и SYSTEM) в архив;
- Восстановить SAM -> Восстановление SAM из бэкапа;
- Редактор SAM -> Редактор базы SAM;
Я использовал уж очень элементарные даже не пароли и это видно
Elcomsoft Forensic Disk Decryptor + Elcomsoft Distributed Password Recovery на примере BitLocker
- Ключи шифрования дисков -> Поиск зашифрованных дисков и дамп ключей шифрования
- Зашифрованные виртуальные машины -> Поиск зашифрованных виртуальных машин VmWare и VirtualВох
- Копирование hiberfil.sys -> Копирование hiberfil.sys для дальнейшего анализа
- Создать образ диска -> Создать образ дискa и сохранить его в файл
- Разблокировать BitLocker диск -> Расшифровка и подключение зашифрованных BitLocker-дисков
Ссылка скрыта от гостей
)