База SAM

Понятно, что лучше всего искать то, что тебе надо, в местах, которые для этого отведены по определению. Так что самое лучшее, что может сделать хакер, попав в компьютер, это попробовать взломать доступ к базам SAM и AD, что сразу обеспечит его паролями доступа ко всем ресурсам компьютера. База SAM хранится в виде файла в каталоге %корневой_каталог%\Systеm32\соnfig\sаm, а база AD - в каталоге %_Корневой каталог%\ntds\ntds.dit. Так что, чего, казалось бы, проще - открыть эти базы данных и прочитать содержимое! Не тут то было.

В стародавние времена, когда любителей чужих секретов было не так много и они не были такие умные, это и в самом деле было несложно сделать, вернее, не так сложно, как в системах Windows 2000/XP. Для защиты паролей в базе SAM в системе Windows NT 4 использовалось слабенькое шифрование паролей, обеспечиваемое протоколом сетевой идентификации NTLM и, к тому же, для обратной совместимости были оставлены пароли, зашифрованные согласно протоколу сетевой идентификации LM, который использовался в предыдущих версия Windows. Шифрование LM было настолько слабо, что пароли в SAM взламывались хакерскими утилитами, например, популярнейшей утилитой LOphtCrack (http://www.atstacke.com) без всяких затруднений, методом прямого перебора всех возможных вариантов.

Недостатком первых версий утилиты LOphtCrack было отсутствие инструмента извлечения шифрованных паролей из базы SAM, но с этой задачей успешно справлялась не менее известная программа, запускаемая из командной строки, pwdump (http://www.atstacke.com). Так что в деле хакинга Windows царила полная гармония - программа pwdump извлекала из базы SAM шифрованные пароли учетных записей и заносила их в файл, далее этот файл читала программа LOphtCrack, и путем некоторых усилий - очень небольших, учитывая недостатки протокола LM - расшифровывала добытые пароли.

Однако все изменилось с появлением Service Pack 3 для Windows NT 4, в котором было реализовано средство, называемое Syskey и представляющее собой инструмент для стойкого (надежного) шифрования паролей, хранимых в SAM. При желании пользователь Windows NT 4 мог включить средство Syskey самостоятельно; в системах же Windows 2000/XP шифрование Syskey устанавливается автоматически. В отличие от шифрования LM и NTLM шифрование Syskey не позволяет выполнять взлом паролей простым перебором, поскольку при использовании паролей достаточной длины это потребует неприемлемых затратвычислительных ресурсов. Поэтому единственное, на что осталось надеяться хакеру - это рассчитывать на недостатки политики безопасности, допускающие применение пользователями паролей длиной 3-4 символа, а то и вовсе использование в качестве паролей слов из английского языка. Вспомните, ранее мы приводили пример недавнего взлома базы данных Microsoft, шифрованной паролем длиной четыре символа - и это в Microsoft!

Так что хакерам пришлось поднапрячься и придумать более изощренные методы взлома системы защиты Windows. Чтобы разобраться в этих методах, давайте рассмотрим более подробно, как работает эта защита.