Windows Password Recovery - расшифровщик Windows VaultЧто такое Windows VaultWindows Vault представляет собой защищенное хранилище секретов, паролей и другой персональной информации пользователя и системы. Данные, хранимые в Windows Vault, структуизированы и представляют собой набор записей, принадлежащих определенной схеме Vault. На физическом уровне Vault - дисковый каталог с минимальным набором следующих файлов:
Обозреватель и расшифровщик Windows VaultОбозреватель Windows Vault представляет собой утилиту для анализа и расшифровки записей Vault в офлайн режиме. Для этого Мастер расшифровки разбивает весь процесс на несколько последовательных этапов.
Поиск каталога VaultВ настоящее время существует два типа хранилища Vault: системное и пользовательское. Пользовательский Vault может быть расположен в следующих каталогах: %USER_APPDATA%\Microsoft\Vault\ %USER_LOCAL_APPDATA%\Microsoft\Vault\Например, С:\Users\John\AppData\Local\Microsoft\Vault\18289F5D-9783-43EC-A50D-52DA022B046E С:\Users\Helen\AppData\Roaming\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28 Системный Vault по-умолчанию расположен в: %SYSTEM_APPDATA%\Microsoft\Vault\ %SYSTEM_LOCAL_APPDATA%\Microsoft\Vault\ %PROGRAMDATA%\Microsoft\Vault\Например, С:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28 С:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28 C:\ProgramData\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204
Учтите, некоторые из указанных каталогов имеют системный атрибут, делающий эти каталоги скрытыми.
Выбор Мастер КлючаПосле того, как выбран определенный каталог Vault, необходимо указать путь к Мастер Ключу, использующегося в защите ключей шифрования Vault. Мастер Ключ пользователя всегда располагается в каталоге %APPDATA%\Microsoft\Protect\%SID%, а Мастер Ключи системной учетной записи хранятся в директории %SYSTEMDIR%\Microsoft\Protect. Надо отметить, что Мастер Ключей может быть несколько, а для расшифровки определенного объекта подойдет только один, имя которого хранится внутри файла Policy.vpol. При поиске Мастер Ключа, программа может отфильтровывать ненужные имена. Расшифровка Мастер КлючаДля расшифровки Мастер Ключа пользователя необходимо задать как минимум два параметра: пароль пользователя на вход и его идентификатор безопасности (SID), который обычно прописан в пути к Мастер Ключу. Программа определяет SID пользователя автоматически. Если это по какой-либо причине сделано не было, укажите его самостоятельно. Для расшифровки системного Мастер Ключа задавать пароль не нужно, всю необходимую информацию программа получает из двух файлов реестра: SYSTEM и SECURITY. Имейте в виду, иногда возможна расшифровка Мастер пароля пользователя и, следовательно, записей Vault без знания пароля владельца.
Начиная с версии 9.7, Windows Password Recovery имеет встроенный механизм для обнаружения и использования уязвимости в защите Мастер Ключей DPAPI. Так, для расшифровки _любых_ записей Windows Vault доменного пользователя, пароль владельце больше не обязателен. Выбор схемы VaultНа четвертом шаге, если предыдущие прошли успешно, программа предложит выбрать из выпадающего списка одну из схем, принадлежащих нашему Vault. Чуть ниже списка показаны общие характеристики выбранной схемы: ее имя, версия, GUID, флаги, количество атрибутов и записей. Выбор записи VaultАналогичным способом выбираем одну из интересующих нас записей, принадлежащих выбранной на предыдущем шаге схеме. Расшифровка записи VaultНу и, наконец, финальная стадия, где можно просмотреть расшифрованную запись, скопировать ее в буфер обмена или сохранить в файл для дальнейшего анализа. На рисунке показан расшифрованный пароль (он затерт) учетной записи администратора, настроенной на вход при помощи отпечатка пальцев. |