7.2 Утилиты для получения данных при физическом доступе к компьютеру

Средства доступа к жесткому диска компьютеру, Offline NT Password & Registry Editor, ERD Commander, L0phtCrack, Advanced EFS Recovery

В этой части речь пойдет о тех утилитах, которые может использовать сам администратор, который официально получил доступ к компьютеру и ему нужно воспользоваться нестандартными средствами для решений каких-то проблем.

Первая ситуация - утрачен пароль администратора на доступ к данному компьютеру. Например, его забыли с момента установки, или поменяли и после этого забыли и т.п. Если компьютер находится в домене, то по умолчанию группа Domain Admins входит в локальную группу администраторов на компьютере и может поменять пароль у локальных учетных записей. Однако если компьютер не входит в домен, проблема несколько усложняется. Единственное стандартное средство в этом случае от Microsoft - воспользоваться диском аварийного восстановления. В Windows NT он изготавливался при помощи программы RDISK, в Windows 2000 и Windows 2003 - при помощи NTBACKUP (в Windows 2003 это средство называется ASR - automated system recovery). Однако рассчитывать на то, что для подобного компьютера вам удастся найти диск аварийного восстановления (в соответствии с рекомендациями Microsoft его положено создавать не реже раза в месяц), скорее всего, не стоит.

В этой ситуации самый простой выход - загрузиться в обход операционной системы и отредактировать раздел реестра SAM (security account manager, по умолчанию в Windows 2003 находится в каталоге C:\Windows\system32\config). Чаще всего для этой цели используются два средства:

·        бесплатная дискета с ядром Linux и средствами редактирования реестра/изменений паролей пользователей. Официально это средство называется Offline NT Password & Registry Editor bootdisk, и соответствующий имидж дискеты (вместе с утилитой для восстановления из имиджа RAWrite и набором SCSI-драйверов) находится в каталоге Physical Access\ChangePassword на компакт-диске;

·        более функциональное, но уже платное средство называется ERD Commander. Это - альтернативная операционная система с драйверами NTFS, графической оболочкой, сетевой подсистемой и набором утилит, которая реализована в виде загрузочного компакта. Для смены пароля любого пользователя в ERD предусмотрена специальная утилита, которая называется Locksmith.

Если же менять пароль не нужно, а нужно всего лишь его узнать, то в вашем распоряжении - большое количество утилит, лучшая из которых - уже рассмотренный нами LOpthCrack, который умеет работать и с офф-лайновыми (то есть просто скопированными) файлами SAM. Скопировать SAM можно при помощи тех же утилит или любой загрузочной дискеты/компакт-диска с драйверами NFTS, но особенно удобно использовать для этой цели ERD Commander, который автоматически подключает сеть. Примеры других аналогичных утилит - SAMInside, Rainbow Crack.

Вторая ситуация - компьютер перестал загружаться, и с него нужно скопировать данные (а может быть, еще и посмотреть причину и попробовать восстановить). Официальный подход Microsoft - использовать процедуры Automated System Recovery, то есть вначале загрузиться с установочного компакт-диска или четырех дискет, затем вставить диск аварийного восстановления и т.п. Более простой способ - просто подключить винчестер к другому компьютеру, на котором установлена работающая Windows 2000/2003 и скопировать данные при помощи него (поскольку ограничения одной операционной системы на другой не действуют). Самое удобное средство - тот же специализированный ERD Commander, при помощи которого вы можете просмотреть журналы событий, скопировать/заменить файлы, воспользоваться утилитами командной строки (не всеми), отключить/включить драйверы и службы и т.п.

Можно воспользоваться также официальными дистрибутивами Linux, такими, как Knoppix, Auditor или специализированными для восстановления Windows - Austrimi и Emergency Boot CD (на компакт-диске в каталоге Physical Access). На этих компактах имеются средства для восстановления удаленных данных на NTFS, восстановления MBR и т.п.

Третья ситуация - самая сложная: когда данные зашифрованы стандартными средствами EFS, а учетные записи пользователя, который шифровал данные, или агента восстановления (администратора) утрачены (например, пользователи были в домене, а домен в настоящее время стал недоступен). В этой ситуации все зависит от того, остались ли на диске (или на резервной копии) профили этих пользователей - поскольку ключи на расшифровку EFS хранятся именно в профилях. Если да, то можно воспользоваться утилитой Advanced EFS Data Recovery.

Получить учебные материалы по этому курсу