|
|
 ' m/ S# Y( D( T8 j4 B. |
SneakyWinIntruder 在 Windows PE 3.0 下的運行畫面。) b/ g6 s! x; r$ F& s" z' [0 _* V
9 S2 ~ A+ x" ~( b) a3 u做電腦維修的,其中一樣常做的就是向客人查詢 Windows 密碼,因為 Windows 內的事件檢視器、當機報告 (Minidump) 等都是很有用的除錯工具。例如當見到事件編號 (Event ID) 為 7 的紅色交叉,硬碟編號是 0 (Harddisk0) 又顯示有錯誤區塊 (bad block) 的話便已可以確診有壞磁區 (如果之後又沒有了壞磁區,可能是硬碟自己修復了,但始終曾經出現問題)。另一方面,有不少有名的系統診斷軟體例如 Sysinternals Autorun 都是要 Windows 在登入後才能運作的 (如果 Windows 不能進入,其實仍可以用 Paraglider's Runscanner 在非登入時模擬登入狀態使用該些軟件,這個下次再談)。那是否表示如果聯絡不上客人維修便要延誤了嗎?客人的電話錯了怎辦?除了等他再打過來,其實可以主動點 - 強行登入 Windows!
7 p( |6 ?" [8 y1 H. |4 Y, h* P! v5 O8 P) V
坊間破解 Windows 密碼的方法和軟體破多,有窮舉法的 (brute force attack),但不能準確知道所花時間,例如 Elcomsoft 便有能使用 CUDA GPU 加速的產品;有一類是重設密碼的,例如使用 ERDCommander LockSmith 或 NTPWEdit 重設 Windows 密碼,這方法個人從沒有使用,因為密碼重設後難保不會讓客人懷疑或帶來麻煩,例如若客人有 EFS (Encrypting File System) 加密了的檔案,不用回本來的密碼是開不了的;另一類則不會更改密碼,直接進入 Windows,例如 Konboot、WindowsGate;一類則可製作一個新帳戶,用它來「為所欲為」也不怕。小弟常用最後一種,因為很重視個人私隱;使用客人的帳戶應可免則免。完成後只要刪除新建的帳戶便可消除大部份足印。
' y* e" k. b+ P4 F7 y4 {2 x
4 E5 ]0 }! Q, B4 I# g這一種方法的代表者有「將 sethc.exe/utilman.exe 換成 cmd.exe」技巧。不知道大家有沒有試過在登入時碰下 shift 鍵太多次之後 Windows 出現啟動相粘鍵的訊息?sethc.exe 就是那時執行的程式。而 utilman.exe 則是 Vista/7 登入畫面左下角的輕鬆存取功能。只要將它們換成 cmd.exe 就可以在登入畫面喚出由系統身份 (NT Authority\System) 執行的「命令提示字元」,然後在那裡輸入 lusrmgr.msc 或用 net user 指令就可以新增帳戶然後進入 Windows 了。* Y5 ]4 p& A& b0 v- X' s: j# c
3 N1 y. A4 b% T; d2 M由於小弟偏好這個技巧,但坊間的軟體好像沒有一種是完全利用這種技巧 (近似的雖有 WindowsGate、Sala's Password Renew、Dc-PASS,但都不是利用 sethc.exe),所以小弟編寫了一些指令檔,在令自己對工作生厭之前將這堆刻板的步驟自動化... 接下來會介紹 Sneaky Win Intruder Type 1,以下簡稱 Swi 1。- c! J% A% [% T" B4 `4 F1 \
% {3 k4 a# d3 {2 J0 |
注意:執行 Swi 前請確定它所依賴的程式已經放在 Swi 資料夾或者系統資料夾 (System32)。請參閱 Readme.txt。) T5 b+ {- X4 q9 `4 k3 R: y
t8 U! J3 n7 h! t5 l9 @
Swi 1 所做的可以簡單分成三部份:; l7 _1 T2 _6 h0 f+ f& B( D% `1 @4 E- m
7 r# U8 W3 k$ ?2 V※ 1 - 置換 sethc.exe
& f/ r5 b4 L- P% `( d d: B- W5 }. ] b0 n" ` c$ c, ]5 |3 ?
因客人 Windows 受密碼保護,首要是用另一個作業系統起機 (e.g. Windows PE),進入後執行 Swi1.bat。跟著指示做。過程中如果它偵測到目標 Windows 為 Vista/7,而且 UAC (User Account Control) 狀態為開啟,便需輸入「y」關上 UAC 以確保後期運作無誤。成功後可關機然後啟動目標 Windows,進入第二部份。. R* B. i/ l( h; C0 w& c0 V0 L" x
, C. [9 A+ N* K6 b. w0 L$ I
% i1 P# g9 {. d; y6 i- M% B在 Windows 7 下搜尋 Windows 的畫面
' @$ ~8 q1 ~5 e* r( Y! s1 B* D# F1 ^$ B1 G2 u
6 ~- h' ?' Z9 Z2 l
* K0 }; ` p, G# _# R6 W在 NoName XPE 下的 Part 1 完成畫面5 c" C. d( s/ f" @ V, V6 ]$ [+ ^5 `: U y
(在 Windows PE 1.x 下執行前需先從 XP 補回 attrib.exe 和 find.exe,放在 Swi 資料夾。)
' V3 V& ], P: D; f* I2 z) U4 ~; O. a P3 n& d
7 w }. a5 I! Q- P※ 2 - 新增帳戶/ p0 R1 l/ k& o% g1 O' V2 d
7 V# P% M/ C% @
在目標 Windows 的登入畫面按下 shift 鍵五次,在彈出的「命令提示字元」輸入「adduser1」便會自動建成帳戶。過程中它會問是否重新載入歡迎畫面,如新增帳戶後歡迎畫面仍未出現新帳戶,可輸入「y」。最後用以下的帳戶資料登入:! [& P; K2 c- `' {( f& e3 P
& k" a1 x4 y' o. G- l0 G! _ * 用者:temp4 {0 `2 ~: V8 Z+ t4 n3 j
* 密碼:Password12! (區分大小寫)6 a: w; E6 q, B' V. U5 ~; U
. d' H( O; ~; G5 a7 c
; V( }' \- X- x' v4 uWindows 7 下的 Part 2 過程動畫1 w o8 S' B. b7 O' n" f, T
(可見 Windows 7 下一些訊息未能正常顯示,但不影響運作。)
, G5 Y' i! I1 [3 u% P: I8 |2 N
! Q* s+ \- i0 e7 v, h7 k$ t! ?+ @! ]2 t4 N! @. Y$ W$ {/ X
※ 3 - 還原系統) b. X; p0 x& V( x5 U
( r# B9 x H- O- B電腦修好,是時候刪除帳戶、「抹掉足印」了!先打開命令提示字元 (cmd.exe),輸入「clean1」。(注意不要經 shift 鍵技巧打開,否則恢復過程可能失敗。)( k9 Z8 V0 T$ w1 w2 V" n; X r
; t9 o' L g) X2 m: E至目前為止,帳戶已刪除,sethc.exe 已恢復,上次登錄用戶記憶已刪除 (僅在 AutoAdminLogon 項目沒有設定時)。這時候其實您的部分已經完成,餘下的將在客人取回電腦後首次登入時在背景繼續執行。但是,若該用戶沒有系統管理員權限,作業便會失敗 (透過 RunOnce 執行的原故)。儘管真的失敗了,其實普通用戶也不會輕易察覺到剩餘的痕跡;若成功,UAC 將重新啟用 (若最初是開的),用者設置檔 (user profile) 和其餘遺留下來的程式將被刪除。
j) x0 ]" B E9 a+ d/ q1 s c4 N1 @2 f0 s8 }% @
已試過能用在中文或英文的 Windows XP、2003、Vista、7,基礎系統為 Windows PE 1.x 的 (NoName XPE,Hiren's Boot CD),PE 2.0 (VistaPE),PE 3.0 (C7PE)。不過仍有一點 bugs,請參閱 Readme.txt。
, f- L$ q, d6 `5 ^2 s, j/ A3 W6 n A8 K) P2 ?7 ?' P3 H% y
最後,按此下載。1 A R* n# H) b/ ]. m
; I* W9 W5 ~- }% |3 y5 s
如可以,在下一版本 (v1.0) 會完善它的不善,然後就到用另一種破解方法的 Swi Type 2 了。 |
|
IP卡
狗仔卡
發表於 5-2-2010 15:49:39
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡