Windows Password Recovery - анализ и расшифровка DPAPI
Начиная с Windows 2000, Microsoft стали предоставлять в своих операционных системах специальный интерфейс для защиты данных: Data Protection Application Programming Interface (DPAPI). В настоящее время DPAPI получила очень широкое распространение и используется во многих приложениях и подсистемах Windows. Например, в системе шифрования файлов, для хранения беспроводных паролей сети, в Microsoft Vault, Internet Explorer, Outlook, Skype, Google Chrome и т.д. Эта система стала популярной у программистов в первую очередь благодаря простоте использования, поскольку она состоит всего лишь из пары функций для шифрования и расшифровки данных: CryptProtectData и CryptUnprotectData. Однако несмотря на свою кажущуюся простоту, техническая реализация DPAPI довольно сложна.
Passcape Software (первой в мире!) предлагает набор из 6 инструментов для полноценного анализа и расшифровки данных, зашифрованных при помощи DPAPI. С помощью этих утилит можно:
- Расшифровывать данные DPAPI для любой учетной записи
- Выполнять поиск DPAPI объектов на диске
- Расшифровывать объекты DPAPI, зашифрованные под учетной записью SYSTEM (например, пароли WiFi)
- Производить анализ и расшифровку Мастер Ключей пользователя
- Проверять пароль пользователя без дампа хэшей из SAM или NTDS.DIT
- Расшифровывать хэши истории всех введенных ранее паролей (без использования SAM или NTDS.DIT)
И многое другое.
Утилита для офлайн расшифровки данных, хранящихся в объектах DPAPI (DPAPI blobs)...
Читать далее...
|
|
DPAPI объект (DPAPI blob) - это прозрачная структура данных, содержащая зашифрованные данные приложения. Многие программы и подсистемы Windows хранят пароли, секреты и приватные данные в DPAPI объектах...
Читать далее...
|
|
Эта утилита производит поиск как двоичных, так и текстовых объектов DPAPI на диске и сохраняет их в отдельные файлы для последующего анализа или расшифровки....
Читать далее...
|
|
Мастер Ключ представляет собой 64 байта данных, которые используются в качестве первичного ключа при расшифровке любого DPAPI объекта. Мастер Ключ пользователя зашифрован при помощи пароля на вход пользователя...
Читать далее...
|
|
Из-за особенности реализации DPAPI, для того, чтобы гарантированно расшифровывать все объекты DPAPI, Windows приходится хранить все предыдущие пароли пользователя в системе. История паролей пользователя хранится в файле CREDHIST...
Читать далее...
|
|
CREDHIST - файл истории паролей, выполненный в виде цепочки, каждое звено которой представляют собой хэши предыдущих паролей пользователя. Каждый раз, когда пользователь меняет свой пароль, хэш старого пароля добавляется к концу файла и шифруется новым паролем...
Читать далее...
|
|