Slik dekrypterer du StandardPassword-verdien som er lagret i registret for AutoLogon

I et tidligere innlegg har vi sett hvordan du kringgår innloggingsskjermen i Windows 7 og eldre versjoner ved å utnytte AutoLogon verktøyet som tilbys av Microsoft. Det ble også nevnt at stor fordel ved å bruke AutoLogon-verktøyet er at passordet ikke er lagret i vanlig tekstformular som er gjort når du manuelt legger til registeroppføringene. Det er først kryptert og lagres, slik at selv PC-administratoren ikke har tilgang til det samme. I dagens innlegg vil vi snakke om hvordan du dekrypterer StandardPassword -verdien som er lagret i Registerredigering, ved å bruke AutoLogon verktøyet.

Først må du først ha Administratorrettigheter for å dekryptere verdien DefaultPassword. Årsaken til denne åpenbare begrensningen er at slik kryptert system- og brukerdata styres av en spesiell sikkerhetspolicy, kjenner som Lokal sikkerhetsmyndighet (LSA) som gir tilgangen bare til systemadministratoren. Så, før vi gjør vårt trekk på dekryptering av passordene, la oss se på denne sikkerhetspolitikken, og det er sammenhengende kunnskaper.

LSA - Hva det er og hvordan det lagrer data

LSA brukes av Windows å administrere systemets lokale sikkerhetspolicy og utføre revisjons- og autentiseringsprosessen på brukerne som logger inn i systemet mens de lagrer private data til en spesiell lagringsplass. Denne lagringsplassen heter LSA Secrets hvor viktige data som brukes av LSA-policyen, er lagret og beskyttet. Disse dataene lagres i kryptert form i registret, i HKEY_LOCAL_MACHINE / Security / Policy / Secrets -tasten, som ikke er synlig for generelle brukerkontoer på grunn av begrensede Access Control Lists (ACL) . Hvis du har de lokale administrative rettighetene og kjenner deg rundt LSA Secrets, kan du få tilgang til RAS / VPN-passord, Autologon passord og andre systempassord / nøkler. Nedenfor er en liste for å nevne noen.

• $ MACHINE.ACC : Relatert til Domain Authentication
• DefaultPassword : Kryptert passordverdi hvis AutoLogon er aktivert
• NL $ KM : Hemmelig nøkkel som brukes til å kryptere cached domain-passord
• L $ RTMTIMEBOMB : For å lagre den siste dataværdi for Windows-aktivering

For å opprette eller redigere hemmelighetene, er det et spesielt sett med APIer tilgjengelig for programvareutviklere. Enhver applikasjon kan få tilgang til LSA Secrets-stedet, men bare i sammenheng med den gjeldende brukerkontoen.

Slik dekrypterer du AutoLogon-passordet

Nå, for å dekryptere og oppheve verdien DefaultPassword lagret i LSA Secrets, kan man bare utstede et Win32 API-anrop. Det er et enkelt kjørbart program tilgjengelig for å få den dekrypterte verdien av DefaultPassword-verdien. Følg trinnene nedenfor for å gjøre det:

1. Last ned den kjørbare filen herfra - det er bare 2 KB i størrelse.
2. Utdrag innholdet i DeAutoLogon.zip filen.
3. Høyreklikk DeAutoLogon.exe filen og kjør den som administrator.
4. Hvis du har AutoLogon-funksjonen aktivert, bør DefaultPassword-verdien være der foran deg.

Hvis du prøver å kjøre programmet uten administratorrettigheter, du vil oppleve en feil. Sørg derfor for å skaffe lokale administratorrettigheter før du kjører verktøyet. Håper dette hjelper!

Skrik ut i kommentarfeltet nedenfor hvis du har noen spørsmål.