Тема в принципе, достаточно простая - нужно из реестра удалённого компа вытащить хеши паролей (админовских) и быстренько (это уже по возможности) декодировать в нормальноый вид, т.е. посмотреть, какин они там были, какой софт , собственно, для этого нужно использовать?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

saminside для перебора, и вроде pwdump что ли называется, для снятия копии файла SAM на работающей машине удаленно.

oop's sorry.
немного не в тему.

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

[EXE]_cutor
А ссылку можно, если не прямую, то хотя б адрес сайта, на котором можно эти проги найти и их описание прочитать, а pwdump не рулит на ХР, и на 2000 Виндах тоже, и вообще она древняя, конечно, я в теме указал, что нужно только на NT, на и на операционки старше тоже не помешало бы.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

чет я не понял ???
ARCHANGEL пишет:
нужно из реестра удалённого компа вытащить хеши паролей
если ты имеешь в виду пассы на вход в винду ит.д. то они хранятся в NT системах в файле SAM.
тогда причем здесь реестр???
сама прога у меня где то валялась, но версия древняя. качал вроде с wеb-haсk.ru

ps: в 98, линолеуМЕ пассы хранятся в файлах PWL в директории винды. помогает прога PWLInside.

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

SAMInside 2.5.2.0 Russian Retail
_http://rapidshare.de/files/11075069/SAMInside.exe.html
Взято с рубоарда

| Сообщение посчитали полезным:

[EXE]_cutor
Ну, ты далёкий, пассы, кроме SAM фала, ещё и реестре хранятся в виде хэшей, а из SAM файлов может быть проблематичным извлечение пассов, т.к. мелкомягкие тоже на месте не стоят

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL,[EXE]_cutor
Вы оба далекие (без обид пожалуйста)
Реестр состоит из нескольких файлов, SAM - один из них!

| Сообщение посчитали полезным:

ARCHANGEL пишет:
т.к. мелкомягкие тоже на месте не стоя
Пххх! Смешно даже слушать такое
bash прафф... sam и system из repair-а надо удаленно слить. Потому что разблокировать основной файл трудно.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
sam и system из repair-а надо удаленно слить
repair может содержать уже не актуальную информацию (старые файлы, если они там вообще есть!!!).

Crawler пишет:
Потому что разблокировать основной файл трудно.
А разблокировать основной файл можно только с правами SYSTEM. А если разблокировать файл SYSTEM, то вида зависнет И вообще, как же эти права заполучить удаленно???
Файлы реестра при работающей системе можно получить также при помощи низкоуровневого обращения к винту.

Есть такая дыра в первом сервис-паке ХР: планировщик заданий выполняет задания с правами системы. Так вот в случае с этой операционкой можно как-нибудь назначить задание - запуск bat-файла, который и скопирует sam и system куда надо.
Хотя как опять же это сделать удаленно?

ARCHANGEL У тебя хоть какие нибудь даже не админские аккаунты есть?
И вообще, если есть возможность, подойди к этой тачке, ребутни ее, загрузись с флешки и обычным нортон командером скопируй нужные файлы. Если ФС - NTFS, то пользуй NTFS-DOS. Если диски пошифрованы, то пипец.
Удачи.

| Сообщение посчитали полезным:

Crawler пишет:
Потому что разблокировать основной файл трудно.
Сходите на васм там товарищ эмсирем напесал стотью с исходникаме сталобыть.

| Сообщение посчитали полезным:

--> Ms-Rem, 3 метода работы с занятыми файлами <-- http://www.wasm.ru/print.php?article=lockfileswork

| Сообщение посчитали полезным:

ARCHANGEL пишет:
быстренько (это уже по возможности) декодировать в нормальноый вид

Я для этого использую : PasswordsPro http://www.insidepro.com/download/passwordspro.zip

| Сообщение посчитали полезным:

а проще всего запустить аттач на машине с паролями...

7009_24.09.2006_CRACKLAB.rU.tgz - PassView.exe

-----
Ни одно доброе дело не должно остаться безнаказанным !!!

| Сообщение посчитали полезным:

bash пишет:
Есть такая дыра в первом сервис-паке ХР: планировщик заданий выполняет задания с правами системы.
Пхх. Старье, давно-о-о пофиксено! И как ты создашь задание? А?
А если насчет репайра, то тут ты не прав. У нас в организации все репаир-файлы актуальны.
Red Bar0n пишет:
Сходите на васм там товарищ эмсирем напесал стотью с исходникаме сталобыть.
Тэнкс. посмотрим... Не всегда работает это, вот что я могу вам сказать

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
Старье, давно-о-о пофиксено!
Автор попросил и для старых ОС

Crawler пишет:
У нас в организации все репаир-файлы актуальны
Так это у вас, но не у всех же! Я встречался с файлами из repare, которые содержат старые пароли

| Сообщение посчитали полезным:

Админы всегда ленивые (ну, кроме кракерских сайтов типа кряклаба=). Для каких старых ОС, я что-то не понял? Для маздаяНТ 4.0, что ли? Или для 98? Я сидел, кстати, под 98, пока форточки не полетели. Но это уже из области оффтопки.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
Для каких старых ОС, я что-то не понял?
Например, винда 2к непропатченная - получение нулевого кольца - www.securitylab.ru/vulnerability/242963.php
А в 9х - переход туда же через изменение IDT - проще простого

| Сообщение посчитали полезным:

А для 9х нет смысла получать рингО по 2 причинам:
1) под ней уже почти никто не сидит, (кроме кракеров
2) там и так нет реальной защиты (не сетевая и не многопользовательская ось).

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Афтар топика уже давно забил. LC4 или 5. Только я не помню, удаленно там хеши можно получить, но кажется только по локалке. А способов получить админскиц пароль на винду - масса. Посещайте хак-порталы и читайте все подряд. Истена где-то рядом.

| Сообщение посчитали полезным:

stahh пишет:
LC4 или 5
Точнее группа называется L0pht. Соответственно 4-ая или 5-ая версия проги - перехват кешей из локалки есть. Перехват кешей в локалке встроен в пакет CAIN.

| Сообщение посчитали полезным: