Elcomsoft System Recovery
Склеротикам и хакерам

Обламывал ли вас когда-нибудь пароль Администратора в Windows? Например, задали вы его при установке системы, с тех пор так ни разу и не вошли в неё как Администратор, пароль за это время успешно забыли, а через годик всё рухнуло и под обычным аккаунтом ни в какую не работает? Что делать, как вспомнить пароль и загрузить Админа? Неужели придётся прицениваться к ретроспективному гипнозу?

К счастью, в случае с Windows XP всё гораздо проще — достаточно давно существуют специальные программы, позволяющие сбросить, то есть обнулить этот пароль. Загружаешь ПК с CD-диска или «флоппика» с программой, пара-тройка минут — и пароля нет. Правда, программы эти либо входят в состав тяжелых и очень дорогих профессиональных пакетов утилит, либо не очень удобны, либо плохо работают с русскими именами аккаунтов, либо не умеют запускаться с более быстрых, чем CD, USB-флешек, не поддерживают «Висту» и Server 2008 и так далее. Меньше всего подобных претензий (разве что, кроме цены), пожалуй, к Elcomsoft System Recovery — специализированному и наиболее мощному средству для сброса паролей Windows от известных отечественных разработчиков, не одну уже собаку съевших на программах подобного рода — всевозможных ломалках-крякалках.

Тут надо особо отметить тот факт, что к крякам в их классическом понимании программа никакого отношения не имеет. Windows она вам не активирует. Речь идёт именно о забытых паролях к учётным записям. И тут всё абсолютно легитимно — Windows устроена таким образом, что если есть физический доступ к компьютеру и его можно загрузить с внешнего носителя, то получить доступ к данным на диске (если они не зашифрованы) — элементарно. Даже если вы придумали пароль длиной с «Войну и мир».

Elcomsoft System Recovery, в отличие от аналогичных программ, полностью поддерживает русский язык — и интерфейс у неё русифицирован, и в именах аккаунтов она русского не боится, и в самих паролях кириллицу воспринимает. Это особенно приятно, если учесть, что короткие и простые пароли программа вообще умеет восстанавливать, для чего предусмотрен специальный режим при её запуске. Так что если вы решили схитрить и в качестве пароля выбрали какое-нибудь русское народное матерное слово, да ещё и написанное кириллицей, то учтите — Elcomsoft System Recovery расколет его за секунды — даже нецензурщина включена в его словари (кроме того, показываются имена учётных записей и отображаются записи с пустыми паролями). Более того, в нашей тестовой системе штатный пароль встроенной «учётки» HelpAssistant вида qH!8KnC7ews35F был взломан неожиданно легко — меньше чем за минуту. А это аж 14 знаков: строчные заглавные буквы, цифры да ещё и восклицательный знак! Честно говоря, я был удивлён — похоже, защита пароля именно этого аккаунта, который по идее должен генерироваться в каждой системе случайным образом, имеет серьёзные проблемы.

Кстати, восстановление исходного пароля вместо его сброса имеет важное значение, так как войдя в систему с «правильным» паролем, вы сможете получить доступ даже к зашифрованным посредством EFS файлам — при сбросе же пароля шифрованные файлы и папки «взламываемой» «учётки» остаются недоступны и, скорее всего, уже навсегда. Так что имейте это ввиду.

Программа прекрасно работает с Windows Vista / Server 2008, и даже загрузочный диск ESR основан на Windows Vista PE, так что интерфейс при загрузке не только русский, но абсолютно «виндовый» и кликабельный. Никаких команд с клавиатуры вводить не придётся. Поддерживаются диски любых типов — при загрузке можно указать папку с драйверами для IDE-/SCSI-/RAID-контроллеров, причём сама эта папка также может быть на любом носителе: хоть на винчестере, хоть на DVD, хоть на USB-флешке. Да и саму программу можно установить на флешку, сделав её загрузочной, и «ломать» пароли уже с неё — а это и быстрее, чем CD, и компактнее.

Работает Elcomsoft System Recovery не только с локальными «учётками», но может обрабатывать и учётные записи Active Directory, причём, кроме такого бонуса, как восстановление коротких паролей, имеет несколько режимов: дамп хэшей паролей для последующего более тщательного (и длительного) восстановления с помощью специальных программ типа SAMInside; бекап и восстановление реестра; редактирование базы SAM; и, собственно, сброс паролей.

Впрочем, тут мы имеем не просто сброс неизвестного или забытого пароля, а возможность его изменения прямо в программе, что, конечно, удобно — иначе всё равно пришлось бы потом загружать Windows и задавать новый пароль уже в ней. Но, кроме этого, можно ещё и менять некоторые свойства учётных записей: например, если «учётка» Администратора у вас отключена, то не поможет даже сброс пароля — войти в систему Админом вы не сможете. Здесь же можно всё это изменить — разблокировать «учётку» или, например, отменить истечение срока действия старого пароля.

Но самый интересная функциональность ждёт админов в режиме редактирования базы SAM — тут можно менять десятки самых разных параметров:

  • задать права администратора любой учётной записи,
  • менять тип учётных записей,
  • выставлять любые параметры пароля,
  • смотреть данные по времени последних входа-выхода пользователя в систему и сколько вообще было входов,
  • смотреть дату последней попытки ввода неверного пароля,
  • менять членство в группах,
  • настраивать дни и часы, когда «юзеру» разрешается входить в систему и так далее.

Так что, как видите, программа очень мощная, удобная, и особенно полезна она для системных администраторов, которым частенько после смены места работы приходится обновлять пароли на подопечных системах. И не факт, что предыдущий админ предоставит данные по паролям каждой системы. Впрочем, за такую цену (самая продвинутая Pro-версия стоит под 400 $, самая простая — 50 $) подобную программу легально купит разве что предприятие. Но при такой продвинутости сразу же хочется хоть немного отойти от узкой специализации. К сожалению, ESR явно не хватает возможности работать с реестром и файловой системой, где сбрасывать разрешения тоже иногда требуется. Например, при подчистке следов очередного руткита или при удалении драйвера вроде SPTD из Alcohol 120%. Так что даже если у вас будет под рукой ESR, отказаться от умеющего работать с реестром и файлами на диске, но не столь серьёзного по части учётных записей, конкурента — ERD Commander — всё же не получится.




Темы