Восстановление забытых паролей

Восстановление паролей Internet Explorer 7- 9

Введение
Шаг 1: Выбор ручного режима работы
Шаг 2: Установка источника данных
Шаг 3: Расшифровка Мастер Ключа пользователя, статистика найденных паролей
Шаг 4: Сбор ключей шифрования
Шаг 5: Рашифровка данных

Введение

В отличие от своих старых собратьев, новая версия Internet Explorer 7 (у IE8 - IE9 совершенно такая же схема защиты) применяет совершенно иные принципы шифрования приватных данных, без хранения ключей шифрования! Это делает чрезвычайно сложным процесс расшифровки таких данных, особенно в автоматическом режиме. Поэтому для полноценного восстановления паролей, и как альтернатива автоматическому, был сделан ручной режим работы Мастера программы Passcape Internet Explorer Password Recovery. Более гибкий и продвинутый, он позволяет вытаскивать ключи, недоступные в авто-режиме, используя некоторые, специально для этого придуманные алгоритмы.

Ручной режим можно условно разделить на 5 частей или 5 шагов Мастера. Точнее их 4, на первом шаге выбирается сам ручной режим.
1 шаг. Выбор ручного режима работы.

1. Установка исходных данных.
2. Выбор источника данных.
3. Расшифровка МастерКлюча пользователя. Статистика найденных паролей.
4. Сбор ключей шифрования.
5. Расшифровка данных.

ШАГ 1: Выбор ручного режима расшифровки

ШАГ 2: Определяем источник данных

На данном, втором этапе ручной расшифровки, программа предложит вам заполнить три параметра, необходимые для начала работы по восстановлению. Точнее, попытается это сделать сама, а если не получится, то предоставит на откуп вам:

1. Путь к файлу реестра пользователя ntuser.dat, который находится в профиле пользователя. Реестр пользователя является главным аккумулятором для хранения трех типов зашифрованных паролей IE 7-8 (всего их 4). В Windows XP-2003 путь к этому файлу обычно выглядит следующим образом: C:/Documents And Settings/%USER%/ntuser.dat, где %USER% - имя вашей учетной записи. Для Vista этот путь по умолчанию может выглядеть немного по-другому: C:/Users/%USER%/ntuser.dat. Этот параметр является обязательным и дальнейшая расшифровка без него невозможна.

2. Каталог профиля пользователя - опциональный параметр. Обычно он определяется автоматически по наличию в нем реестра пользователя (см. выше). Каталог с профилем является отправной точной для автоматического определения некоторых других опций программы, доступных на следующем этапе. Если этот параметр не задан, то на третьем шаге мастер восстановления не сможет автоматически определить путь к Мастер Ключу пользователя, без которого дальнейшая работа невозможна.

3. Network credentials directory - необязательный параметр. Windows Credentials Manager создает и управляет этим каталогом, храня в нем приватные данные для многих программ. Например, пароли домена и локальной сети, учетные записи Windows Live (.Net Passport), пароли Exchange сервера и т.д., все они шифруются и хранятся в Network Credentials Directory. Нас, в данном случае, интересуют Web пароли Internet Explorer 7 к защищенным сайтам, известные также как Wininet Credentials. Более подробно о Wininet Credentials можно почитать в нашей статье о паролях IE.
   
   В Windows XP-2003 Wininet Credentials могут храниться в двух разных каталогах:
   - C:/Documents And Settings/%USER%/Application Data/Microsoft/Credentials/%SID%
   или в
   - C:/Documents And Settings/%USER%/Local Settings/Application Data/Microsoft/Credentials/%SID%.
   Заметьте, что параметр %USER% - соответствует имени вашей учетной записи Windows, а %SID% - текстовый SID пользователя, чьи пароли необходимо восстановить.
   
   В Windows Vista SID в имени Network Credentials Directory не используется, поэтому пути к зашифрованным Wininet Credentials выглядят немного иначе:

   - C:/Users/%USER%/AppData/Local/Microsoft/Credentials
   и
     - C:/Users/%USER%/AppData/Roaming/Microsoft/Credentials
   
   Вот пара примеров с реальными путями к Network Credentials Directory:
   C:/UsersJ/ohn/AppData/Local/Microsoft/Credentials
   D:/Documents and Settings/Kate/Application Data/Microsoft/Credentials/ S-1-5-21-1927147842-1992852531-225342917-1003.
    

   Для определения Network Credentials Directory локального пользователя удобно пользоваться кнопкой , при нажатии на которую будет предложено выбрать необходимый профиль локального пользователя системы, а программа автоматически выберет Network Credentials Directory, соответствующий этому профилю. Если данные для расшифровки были взяты с другого компьютера, то путь к Network Credentials Directory, необходимо задать вручную, кнопкой .
    

ШАГ 3: Задаем Мастер Пароль пользователя. Сбор статистики найденных паролей.

На третьем шаге мастер программы, получив перед этим необходимые данные, сделает попытку собрать информацию о наличие и количестве паролей Internet Explorer. В разделе 'Password Statistics' отображаются данные о найденных, но пока не расшифрованных паролях. Определение количества Wininet Credentials возможно только после того, как:

• Был корректно заполнен параметр 'Network Credentials Directory' на предыдущем шаге Мастера программы
• Заполнены все опции в разделе 'User logon information', включая пароль пользователя

Обычно, параметры 'Owner MasterKey file' и 'Owner SID' определяются программой автоматически для локального пользователя системы. Можно это сделать и в ручном режиме. Файл МастерКлюча пользователя по умолчанию находится в следующих каталогах:
Windows XP-2003: C:Documents and Settings%USER%Application DataMicrosoftProtect%SID%
Windows Vista-LongHorn: C:Users%USER%AppDataRoamingMicrosoftProtect%SID%
Текстовый параметр Owner SID, как правило, совпадает с названием каталога %SID%.
После того, как будет введен правильный пароль в поле 'User logon information', будет произведен расчет количества Wininet credentials, кнопка 'Next >>' станет активной и можно переходить к следующему шагу мастера - сбору ключей шифрования.
 

ШАГ 4: Сбор ключей шифрования

Сбор ключей шифрования является наиболее важным и ответственным моментом во всем процессе расшифровки. Как уже упоминалось ранее, механизм шифрования паролей Internet Explorer 7 был специально придуман таким образом, чтобы по возможности не хранить ключи шифрования на локальном компьютере. Поэтому перед тем, как приступить к поиску и подбору ключей, необходимо понять принцип работы IE, который используется при шифровании паролей и данных для заполнения форм. О паролях FTP и Wininet можно временно забыть, поскольку на этом, четвертом шаге Мастера программы, имеется достаточно информации для их полной расшифровки.

Итак, алгоритм шифрования паролей автозаполнения в IE 7 выглядит следующим образом:

1. При первом посещении Web страницы, после того, как пользователь ввел пароль, Internet Explorer запоминает URL адрес текущей страницы и вычисляет хэш из этого адреса hash=sha(URL).

2. Запомненный на предыдущем шаге URL адрес (текстовая строка Unicode), используется в качестве ключа шифрования. Этим ключом с помощью стойких криптологических алгоритмов DPAPI шифруется пароль: EncryptedPassword=DPAPI(URL,password).

3. EncryptedPassword привязывается к hash, и оба значения сохраняются в реестре пользователя.

4. URL адрес забывается за ненадобностью.

Из всего вышеизложенного можно сделать замечательный вывод: без знания исходного URL расшифровать пароли не получится, т.к. обратное восстановление URL из хэша практически невозможно. С другой стороны, хранить ключ шифрования (URL) на локальном компьютере вовсе необязательно.

Но как же тогда расшифровывает пароли сам Internet Explorer? А очень просто:

При повторном посещении сайта, IE снова вычисляет hash из URL адреса. Затем проверяет полученный хэш со всеми значениями (hash + EncryptedPassword), которые хранятся в реестре. Если один из хэш значений, хранящихся в реестре, совпал, то зашифрованный пароль, который привязан к этому хэшу, расшифровывается, используя в качестве ключа соответствующий URL адрес.

Немного иначе реализован механизм шифрования данных для автозаполнения форм. К примеру, если на Веб странице с авторизацией есть поле логина и пароля, то логин шифруется и хранится несколько иначе, чем пароль. Основное отличие состоит в том, что в качестве ключа шифрования вместо URL используется имя поля html формы. Давайте рассмотрим отрывок из html файла, в котором присутствует форма для ввода логина и пароля.

В нашем случае именем поля формы и ключом шифрования будет текстовое значение loginname. Во всем остальном механизм шифрования данных форм автозаполнения полностью аналогичен механизму шифрования паролей.

Поэтому, для полноценной расшифровки паролей и данных автозаполнения IE 7, и был создан такой мудреный и непонятный на первый взгляд интерфейс программы. Пять вкладок, которые вы видите на скриншоте, являются на самом деле пятью методами, с помощью которых можно восстановить ключи шифрования (напишите, если знаете другие). Эти ключи, в свою очередь, требуются для расшифровки найденных паролей. Количество расшифрованных паролей напрямую зависит от эффективности ваших действий на этом этапе. Итак, вот краткая характеристика каждому методу.



4.1 ПОДБОР ПРОСТЫХ КЛЮЧЕЙ

Этот метод служит для нахождения ключей шифрования данных заполнения форм методом подбора по словарю или прямым перебором. При нажатии на кнопку 'Run dictionary attack' происходит поиск ключей, используя внутренний словарик, поставляющийся вместе с программой. Можно также попробовать выполнить атаку прямым перебором, при которой происходит проверка всех возможных комбинаций символов и цифр. Однако недостаток последнего метода заключается в том, что такая проверка возможна только для коротких (до 5 символов) ключей. В следующей версии программы планируется ввести новый тип атаки, используя smart mutations.



4.2 ПРОВЕРКА КЭША

В данной вкладке можно осуществляет поиск ключей шифрования (как для паролей, так и для форм) в кэше IE на локальном компьютере. При нажатии на 'Check current user's cache' происходит быстрый поиск ключей в кэше текущего пользователя. Более глубокий поиск в кэше запускается нажатием на кнопку 'deep check current user's cache'. Несмотря на то, что он незначительно медленнее предыдущего, главное его достоинство состоит в том, что поиск ведется без использования функций Windows API. Но самый медленный, хотя иногда и довольно эффективный для нахождения ключей автоформ, это третий вид поиска 'deep check all', при котором осуществляется поиск в кэше всех пользователей локального компьютера.



4.3 ПОИСК НА ЛОКАЛЬНОМ КОМПЬЮТЕРЕ

Эта вкладка предназначена только для нахождения ключей автоформ. При этом необходимо указать путь к каталогу с html файлами. Не важно какими. Главное, чтобы их было как можно больше. Таким каталогом, альтернативным кэшу Internet Explorer, к примеру, может быть каталог с html файлами другого обозревателя Интернет. Например, Opera складывает (кэширует) все посещенные страницы в специально отведенное для этого место (обычно C:/Documents and Settings/%USER%/Application Data/Opera/Opera/profile/cache4). После того, как такой каталог был задан, можно приступить к сканированию html файлов и проверке всех найденных ключей для полей форм. Очень часто эти ключи совпадают с теми, которые необходимо найти.



4.4 СКАЧАТЬ ИЗ ИНТЕРНЕТ

Если остались нерасшифрованные записи (статистика отображается вверху диалога), то эта вкладка - ваша последняя надежда. Введите URL адрес страницы (ее, например, можно скопировать из адресной строки браузера), пароли для которой необходимо восстановить, и нажмите 'Check this page'. Программа попытается выполнить две вещи. Во-первых, проверит сам URL, в качестве ключа шифрования к оставшимся нерасшифрованным паролям автозаполнения. Во-вторых, попытается скачать из Интернета указанную страницу для того, чтобы проверить наличие в ней ключей автоформ. В следующих версиях программа, возможно, будет поддерживать списки адресов.



4.5 РУЧНАЯ РАСШИФРОВКА

Ну и, наконец, последняя вкладка для отчаявшегося параноика. Здесь не требуется доступ к Интернет, однако можно задавать:

• html файл - для поиска ключей автоформ
• Адрес URL - для проверки паролей автозаполнения
• Непосредственно название поля html формы - для проверки ключей автоформ.

Все вкладки расположены в порядке их эффективности. Наиболее эффективный метод поиска ключей - подбор по словарю во вкладке Guess simple keys, затем идет поиск в кэше IE, обработка html файлов, выборка из Интернет и, наконец, ручной подбор. Если у вас остался хотя бы один нерасшифрованный пароль, то перед тем, как нажать 'Next >>', рекомендуем попробовать все методы поиска.

 

ШАГ 5: Расшифровка данных

На последнем шаге Мастер программы производит анализ всех полученных ключей и расшифровку ими исходных данных.

Документ доступен для свободного распространения
и перепечатки с обязательной ссылкой на первоисточник.
(с) 2006 Passcape Software. All rights reserved.


Опубликовано:
16:08:06 14.11.2007
Автор:
Ivan Orlov
Последнее обновление
18:29:50 21.02.2012