• Программа имеет небольшой размер, не требует инсталляциии может запускаться с дискеты, с CD/DVD-диска или с внешнего USB-диска.
• Программа содержит свыше 10 видов импорта данных и позволяет использовать 6 видов атак для восстановления паролей пользователей: – Атака полным перебором; – Атака распределенным перебором; – Атака по маске; – Атака по словарям; – Гибридная атака; – Атака по предварительно рассчитанным Rainbow-таблицам.
• Код перебора паролей в программе полностью написан на языке Ассемблер, что позволяет получать очень высокую скорость перебора паролей на всех процессорах.
• Программа корректно извлекает имена и пароли пользователей Windowsв национальных кодировках символов.
Импорт данных
Программа имеет следующие возможности для импорта данных:
"Import SAM and SYSTEM Registry Files" – импорт пользователей из файла SAM реестра Windows.Если в загружаемом файле SAM используется дополнительное шифрование ключом SYSKEY (ав Windows 2000/XP/2003/Vista такое шифрование включено принудительно),то программе дополнительно потребуется файл SYSTEM реестра Windows, располагающийся втой же директории Windows, что и файл реестра SAM, а именно – в каталоге %SystemRoot%\System32\Config.Также копии этих файлов могут находиться в каталогах %SystemRoot%\Repairи %SystemRoot%\Repair\RegBack. (Примечание: %SystemRoot% – системная директория Windows, обычно этокаталог C:\WINDOWS или C:\WINNT).
"Import SAM Registry and SYSKEY File" – импортпользователей из файла реестра SAM с использованием файлас системным ключом SYSKEY.
"Import from PWDUMP File" – импорт пользователей из текстового файлав формате программы PWDUMP. В каталоге \Hashes архива с программой SAMInsideвы можете найти тестовые файлы подобного формата.
"Import from *.LC File" – импорт пользователей из файлов, создаваемых программой L0phtCrack.
"Import from *.LCP File" – импорт пользователей из файлов, создаваемых программами LC+4 и LC+5.
"Import from *.LCS File" – импорт пользователей из файлов, создаваемых программами LC4, LC5 и LC6.
"Import from *.HDT File" – импорт пользователей из файлов, создаваемых программами Proactive Windows Security Explorer и Proactive Password Auditor.
"Import from *.LST File" – импорт пользователей из файла LMNT.LST, создаваемого программой Cain&Abel.
"Import LM-Hashes from *.TXT File" – импорт списка LM-хэшей из текстового файла.
"Import NT-Hashes from *.TXT File" – импорт списка NT-хэшей из текстового файла.
"Import Local Users ..." – импорт пользователей с локальногокомпьютера (для этого программу нужно запустить под пользователем с правами Администратора).В программе используются следующие методы получения хэшей локальных пользователей: " ... via LSASS" – импорт локальных пользователей, используя подключение к процессу LSASS. " ... via Scheduler" – импорт локальных пользователей с использованием системной утилиты Scheduler.
Также программа позволяет добавлять пользователей с известными LM/NT-хэшами через диалоговое окно (Alt+Ins).
При этом максимальное количество пользователей, с которыми работает программа – 65536.
Экспорт данных
Программа имеет следующие возможности для экспорта данных:
"Export Users to PWDUMP File" – экспорт всех пользователейв текстовый файл в формате программы PWDUMP. Далее вы можете загружать полученный файлв любую удобную для вас программу для восстановления паролей.
"Export Selected Users to PWDUMP File" – экспорт выделенных пользователейв текстовый файл в формате программы PWDUMP.
"Export Found Passwords" – экспорт найденных паролей в формате "User name: Password".
"Export Statistics" – экспорт текущей статистики программы в текстовый файл.
"Export Users to HTML" – экспорт информации о пользователях в HTML-файл.
Восстановление паролей
Атака полным перебором
Данный вид атаки представляет собой полный перебор всех возможных вариантов паролей.
Атака полным перебором также включает в себя атаку распределенным перебором.Данный вид атаки позволяет использовать для восстановления паролейнесколько компьютеров, распределив между ними обрабатываемые пароли.Этот вид атаки включается автоматически, когда пользователь устанавливает количество компьютеров,участвующих в атаке, более одного. После этого становится доступной возможностьвыбора диапазона паролей для атаки на текущем компьютере.Таким образом, чтобы начать атаку распределенным перебором, вам необходимо:
1. Запустить программу на нескольких компьютерах. 2. Выбрать во всех экземплярах программы нужное количество компьютеров для атаки. 3. Установить одинаковые настройки для перебора на всех компьютерах. 4. Выбрать для каждого компьютера свой диапазон перебора паролей. 5. Запустить на каждом компьютере атаку полным перебором.
Атака по маске
Данный вид атаки используется, если есть определенная информация о пароле.Например: – Пароль начинается с комбинации символов "12345"; – Первые 4 символа пароля – цифры, остальные – латинские буквы; – Пароль имеет длину 10 символов и в середине пароля есть сочетание букв "admin"; – И т.д.
Настройки перебора по маске позволяют сформировать маску дляперебираемых паролей, а также установить максимальную длину перебираемых паролей.Установка маски заключается в следующем – если вы не знаете N-й символ пароля, товключите N-й флажок маски и в соответствующем текстовом поле укажите маску для этого символа.Если же вы заранее знаете определенный символ пароля, товпишите его в N-е текстовое поле и снимите флажок маски.
В программе используются следующие символы маски: ? – Любой печатаемый символ (ASCII-коды символов 32...255). A – Любая заглавная латинская буква (A...Z). a – Любая строчная латинская буква (a...z). S – Любой специальный символ (!@#...). N – Любая цифра (0...9). 1...8 – Любой символ изсоответствующего пользовательского набора символов.
Атака по словарям
Словарь – это текстовый файл, состоящий из часто употребляемых паролей типа 123 admin master и т.д.
Настройки атаки по словарям также включают и гибридную атаку, т.е.возможность добавлять к проверяемым паролямдо 2 символов справа и слева, что позволяет восстанавливать такие пароликак "master12" или "#admin".
Атака по предварительно рассчитанным таблицам
Данный вид атаки использует Rainbow-технологию(http://project-rainbowcrack.com/)для создания предварительно рассчитанных таблиц.
Дополнительно
– Для всех видов атак необходимодополнительно указать – по каким хэшам (LM или NT) восстанавливатьпароли.
– Для атаки по словарям (в списке файлов словарей) идля атаки по Rainbow-таблицам (в списке файлов таблиц)необходимо отметить галочками те файлы, которые предполагается использоватьв атаке.
Параметры командной строки
Программой можно управлять, используя следующие параметры командной строки:
-hidden : запуск программы в скрытом режиме;
-noreport : запрещает программе выдавать сообщения об окончании атаки;
-import : при загрузке программа сразу же выполнитавтоматический импорт локальных пользователей;
-export : программа выполнит импортлокальных пользователей, сохранит результаты вфайл SAMInside.OUT и завершит работу;
-minimize : запускпрограммы с минимизацией в трей.
Дополнительные возможности программы
1. Проверка пароля на всех пользователях, загруженных в программу. Для этого в текстовом поле "Current password:" введите нужный парольи нажмите F2. После этого программа проверит данныйпароль на всех пользователях, пароль к которым еще не найден.
2. "Скрытый режим" работы программы (Ctrl+Alt+H). При выборе этого режима программа исчезнет с экрана и с панели задач. Для возврата из скрытого режима нажмите эту же комбинацию клавиш.
3. Также в архиве с программой находятся следующиеконсольные утилиты для работы с файлами реестра SAM и SYSTEM:
GetSyskey –программа извлекает из файла реестра SYSTEM системный ключ SYSKEY и сохраняет его в отдельный 16-байтовый файл.
GetHashes –программа извлекает хэши пользователей из файла реестра SAM, используя файл с ключом SYSKEY.
LRConvert – программа преобразует хэши из форматапрограммы "Login Recovery" в формат PWDUMP.
PassToSyskey – программа генерирует ключ SYSKEY на основе вводимого пароля.