Защита информации в Интернет

Автозапуск и взлом пароля экранной заставки



Автозапуск и взлом пароля экранной заставки

Перезапуск компьютера с помощью кнопки Reset системного блока или с помощью комбинации клавиш <Ctrl+Alt+Del> — это слишком примитивно для взломщика-эстета (или же слишком осторожного системного администратора, забывшего пароль экранной заставки). К удовольствию столь ранимых натур, существует более красивый способ обхода защиты системы Win 9x, в которой установлен пароль экранной заставки. Он базируется на двух недостатках системы безопасности Win 9x — режиме автоматического распознавания компакт-дисков и примитивном алгоритме шифрования пароля в системном реестре.
Лучше всего проблема автоматического распознавания компакт-дисков описывается в статье Q14I059 базы знаний компании Microsoft.
"Windows постоянно опрашивает дисковод CD-ROM, чтобы определить момент, когда в него будет помещен компакт-диск. Как только это произойдет, выполняется проверка наличия файла Autorun.ini. Если такой файл существует, то автоматически будут запушены программы, указанные в строке ореn= этого файла."
Нетрудно догадаться, что такой "сервис" может обернуться несанкционированным запуском любой программы (как вы относитесь к идее автозапуска Back Orifice или NetBus с пиратского компакт-диска?). Однако сейчас для нас важнее другая сторона этой медали — в системе Win 9x программа, указанная в файле Autorun.ini, запускается лаже во время работы экранной заставки.
Теперь перейдем ко второму недостатку. Общеизвестно, что Win 9x помешает пароль, используемый для отключения экранной заставки, в ключе системного реестра HKEY\Users\.Default\Control Panel\ScreenSave_Data, а механизм преобразования (шифрованием это назвать трудно) пароля уже изучен. Поэтому не составляет никакого труда извлечь это значение из системного реестра (если не используются профили пользователей, то системный реестр хранится в файле С: Windows\ USER.DAT), восстановить его, а затем передать полученный пароль системе через вызов стандартной процедуры. Вуаля — экранная заставка исчезла!
Такой трюк умеет проделывать программа SSBypass компании Amecisco (http://www.amecisco.com/ssbypass.htm), которая стоит $39.95. Существуют и отдельные программы-взломщики пароля экранной заставки, такие, например, как 95sscr4. Там же можно познакомиться и со многими другими интересными утилитами. Программа 95sscrk не обходит экранную заставку, а просто извлекает пароль из системного реестра и расшифровывает его.

С: \TEMP>95sscrk
Win9b Screen Saver Password Cracker vl.I - Coded by Nobody
(noboaySengaiska.se)


(c) Cupyrite 1997 Burnt Toad/AK
Enterprises - lead 95SSCRK.TXT before usage!
-----------------------------------------
• No filena-e in command line,
using default! (C:\WINDOWS\USER.DAT)
• Rav, registry file detected, ripping out strings..
. • Scanning strings for password key...
Found password data! Decrypting ...
Password is GUESSME"
_ Cracking complete!
Enjoy the passwords!

Контрмеры: защита экранной заставки Win 9х


Компания Microsoft разработала модуль обновления, который обеспечивает гораздо более высокий уровень зашиты пароля экранной заставки, под названием Windows NT/2000. Однако для упрямых приверженцев Win9x, которые могут согласиться лишь на отключение режима автоматического распознавания компакт-дисков, приведем выдержку из статьи Q126025 базы знаний Microsoft Knowledge Base.
1. В панели управления щелкните дважды на пиктограмме System.
2. Перейдите во вкладку Device Manager открывшегося диалогового окна.
3. Щелкните дважды на элементе, соответствующем устройствам чтения компакт-дисков, а затем — на элементе списка, соответствующем вашему устройству.
4. В открывшемся диалоговом окне перейдите во вкладку Settings и сбросьте флажок Auto Insert Notification.
5. Щелкайте на кнопках ОК или Close до тех пор, пока не закроются все открытые окна и вы не вернетесь в окно панели управления. Когда появится сообщение с предложением перезагрузить компьютер, щелкните на кнопке Yes.



Содержание раздела