實戰破解WinVista Beta2的本地密碼

　　人們常常遇到破解本地Windows 2000/XP密碼的問題，可參考的資料卻非常少。這些年來，我在這方面做了些工作，為了更好地理解本文所講述的內容，您可以通過這些鏈接來參考文本資料和視頻資料。

　　文本:

　　http://www.irongeek.com/i.php?page=security/localsamcrack ;

　　http://www.irongeek.com/i.php?page=security/localsamcrack2

　　視頻:

　　http://www.irongeek.com/i.php?page=videos/samdump2auditor

　　http://www.irongeek.com/i.php?page=videos/LocalPasswordCracking ;

　　體驗Windows Vista Beta 2的時候，我想看看破解本地賬號密碼的那些老工具是否仍舊起作用。看起來，微軟好像改變了Vista中運行的SAM文件和SYSKEY，這樣以前用在NT 4/2000/XP上的破解方法就不再起作用了。很快，我發現大多數現有的工具都不再起作用了，比如說，Ophcrack 2.3、Cain 2.9、SAMInside 2.5.7.0、Pwdunp3等。看到安全級別的提升，我們當然非常高興，但破解本地密碼總是比較有趣的事情，並且有時也是有用的。當我試圖從SAM和SYSKEY文件的復件破解本地密碼時，我遇到了以下錯誤提示:

　　Ophcrack:

　　"Error: no valid hash was found in this file"

　　Cain:

　　"Couldn’t find lsa subkey in the hive file."

　　雖然像Sala’s Password Renew這樣的工具可以通過Bart’s PE boot CD改變Vista的密碼，或者是創建全新的管理員賬號，但有時，你需要知道當前的管理員口令。有以下三個原因需要你知道當前的管理員口令而不是改變成新的口令:

　　1.黑客並不想被系統管理員發現。如果管理員發現原來的口令不能進入系統，那麼他們會懷疑的。

　　2.同樣的口令可能還要用在網絡上的其它系統。如果黑客破解一台機器的管理員口令，可能他用同樣的口令就可以訪問局域網上其它的機器了。

　　3.為了訪問用Windows EFS(Encrypted File System)加密的信息。改變賬號的口令可能會導致這些信息的丟失，不過我覺得Sala的工具可能可以做這項工作而不會丟失加密密鑰，因為它是用一項Windows服務來改變本地口令的。

　　另外需要注意的是，Vista Beta 2默認的LM哈希存儲沒有激活，所以你所能夠得到的只是NTLM哈希，後者比前者難破解得多。還有Windows Vista新的BitLocker特性，如果這一功能開啟，本文所講述的所有辦法都將無濟於事，這個我們以後再談。

　　起初，我覺得要破解Vista的密碼，希望還真是不大。但經過在網上搜索後，我發現如果有好的工具，還是可以破解本地密碼的。Elcom Soft的員工已經加入了對Vista SAM和SYSTEM的支持，體現在他們的“Proactive Password Auditor 1.61”工具中。很不幸，PPA是一個商業應用程序，不過他們提供一個60天的使用版。既然Elcom已經研究出了怎樣做，我相信，在不久的將來，像Cain和Ophcrack這樣的免費工具也可以做同樣的事。下面我們將介紹用PPA破解本地Windows Vista Beta 2密碼的具體步驟。

　　你需要能夠讀取Windows Vista安裝的驅動。對於NTFS驅動，我用Knoppix (http://www.knoppix.org/)和PE Builder(http://www.nu2.nu/pebuilder/)試過，已經取得了成功。第一步是從光驅啟動，把C:\WINDOWS\system32\config目錄下的SAM和SYSTEM文件拷走(也許你遇到的是比較來的版本，那麼目錄可能是C:\WINDOWS\config\RegBack，另外需要注意的是，系統也許並不安裝在C盤，那就把C替換成正確的驅動器的字母吧)。 //本文來自電腦軟硬件應用網www.45it.com

　　接下來開啟PPA，並按以下步驟執行:

　　1.選中哈希標簽下面標有“Registry files (SAM， SYSTEM)”的單選框，然後點擊dump。

　　2.選擇你將要用到的SYSTEM和SAM文件，然後點擊“Dump”按鈕。

　　3.在Dump階段，PPA自動做一個簡單的暴力攻擊，也許在這一步，你的密碼就已經被破解了。如果還沒有破解，那麼選擇攻擊類型，把哈希類型換成“NTLM attack”，因為沒有LM哈希。我選擇字典攻擊，點擊“Dictionary list…”按鈕。

　　4.確保你想要破解的賬號被選中。

　　5.現在就只需要點擊菜單上的“Recovery->Start recovery”，然後等著，好的結果馬上就會出現。

　　如果密碼足夠簡單，你應該就可以用破解的密碼進行下一步的工作了。不過需要牢記的是，不能保證可以攻破所有的密碼。如果密碼不在你的字典中，那麼你需要求助於暴力攻擊。