Привет, друзья. И снова статья, посвящённая вопросу запароленного доступа к Windows. На страницах сайта мы не единожды решали вопрос забытого, потерянного или изначально неизвестного пароля к учётным записям операционной системы, вот даже есть. Но всё это время мы приводили инструкции, как сбросить пароль. А как его узнать, не оставляя следов взлома учётной записи Windows? Такого рода услуги могут предложить две специализированные программы, они есть на борту двух популярных реанимационных и AdminPE10. Посмотрим, как с их помощью решить поставленную задачу.

Но, увы, хочу огорчить тех, кто собирается шпионить за пользователями Windows 10: ни одна из предлагаемых программ не поможет, если вы хотите втихую подглядеть пароль того, кто пользуется последней версией системы от Microsoft. И также не порадую тех, кто захочет узнать пароль от чьей-то учётной записи Microsoft. Всё предложенное ниже будет касаться только простых паролей для локальных учётных записей. Сложные пароли программы не отображают, лишь могут предложить классику жанра – их сброс.

Elcomsoft System Recovery на борту Live-диска AdminPE10

Первая программа - Elcomsoft System Recovery. Это профильный многофункциональный продукт, который может:

Сбрасывать и менять пароли к учётным записям – локальным, Microsoft, Active Directory;

Подсматривать несложные пароли;

Управлять учётными записями, в частности, блокировать их, разблокировывать, отключать;

Резервировать специальные системные файлы для возможности восстановления впоследствии сброшенных или изменённых паролей;

А такие прочие возможности.

Elcomsoft System Recovery работает с загрузочного носителя, её дистрибутив можно скачать с официального сайта www.elcomsoft.ru. Также эта программа в числе прочих инструментов для решения вопросов с запароленным доступом представлена на борту Live-диска для системных администраторов – AdminPE10. Его ISO-образ для записи на флешку можно скачать на сайте проекта:

http://adminpe.ru/download/

Загружаемся, к примеру, с AdminPE10. Запускаем Elcomsoft System Recovery.

Принимаем лицензионное соглашение.

И вот получаем перечень учётных записей с их паролями, если они, конечно же, есть.

Reset Windows Password на борту Live-диска Сергея Стрельца

Reset Windows Password – аналог предыдущей программы, она может то же самое, что и Elcomsoft System Recovery, но в довесок предусматривает ещё и дополнительные функции как то: определение паролей веб-аккаунтов, расшифровка Bitlocker, удаление персональной пользовательской информации и пр. Reset Windows Password также работает с загрузочного носителя, дистрибутив программы доступен на её официальном сайте www.passcape.com . И она также входит в состав ПО для решения вопросов с запароленным доступом Windows на борту Live-диска от Сергея Стрельца. Скачать его ISO-образ можно на сайте Сергея:

http://sergeistrelec.ru/

Запускаем компьютер, к примеру, с Live-диска Стрельца. Находим на нём программу Reset Windows Password.

В её окне выбираем русский язык. А в графе «Что вы хотите сделать» - «Поиск паролей пользователей».

Если вам известно, что пароль относительно сложный, на этом этапе вместо быстрого поиска можем выбрать глубокий. Это увеличит время сканирования программой паролей, но не факт, что результат будет успешным. Простые же пароли найдутся и при быстром поиске. Жмём «Далее».

Если на компьютере стоит одна Windows, то просто жмём «Далее». Если несколько – из выпадающего списка указываем пути к файлам на соответствующем разделе диска, где установлена нужная система.

Жмём «Поиск паролей».

Через время получаем результат.

Как быть в случае с Windows 10 и сложными паролями

Итак, друзья, простым юзабильным способом с помощью предложенных выше программ можем получить только простые пароли от локальных учётных записей Windows 7 и 8.1. Возможно, существуют какие-нибудь витиеватые способы, как подсмотреть сложные пароли во всех версиях Windows. Но те же программы Elcomsoft System Recovery и Reset Windows Password, как упоминалось, предлагают возможности по созданию бэкапа паролей и отката к значениям, запечатлённым в этих бэкапах. А это значит, что, создав бэкап, мы можем сбросить пароль, сделать свои дела, а потом снова загрузиться с Live-диска и восстановить пароль, по сути, даже не зная его. Но это уже тема для отдельной статьи, если, конечно же, вы, друзья, будете заинтересованы в ней.

Да и в принципе процедура подглядывания пароля для серьёзного шпионажа всё равно не годится.

Во-первых, пользователь в любой момент может сменить пароль.

Во-вторых, содержимое компьютера и, в частности, конкретного пользовательского профиля, прекрасно просматривается с тех же Live-дисков. Ну а если нужно, к примеру, покопаться в чьей-то интернет-переписке, просто копируем в облако или на съёмный носитель папки браузера внутри . И заменяем ими те же папки того же браузера на своём компьютере. Но есть ещё лучше способ незаметно отследить чужую интернет-активность, он включает всё возможное ПО, посредством которого проводились какие-либо интернет-коммуникации:

Делаем бэкап Windows на компьютере объекта шпионажа с помощью программ-бэкаперов Acronis или AOMEI. Они, кстати, есть на борту AdminPE10 и диска Стрельца;

Заходим в учётку, открываем все имеющиеся браузеры, мессенджеры, прочее клиентское ПО. И неспешно исследуем всё, чем объект занимался в Интернете. Вне запуска , конечно же.

Способ с бэкапом Windows не оставляет следов, но он в плане эффективности, естественно, уступает профильному софту для шпионажа, который может предложить и удобный формат поставки информации, и её актуальность при настройке доставки данных в режиме реального времени по Интернету.

Восстанавливаем доступ к заблокированным учетным записям Windows

Безмалый В.Ф.

Microsoft Security Trusted

Не так давно мне принесли чужой ноутбук, хозяин которого забыл пароль входа в свою учетную запись Microsoft Account. С одной стороны – ничего страшного, можно сменить on-line. Но как оказалось, по какой-то неизвестной мне причине сделать он этого не смог и попросил меня просто сбросить его пароль на ноутбуке. Достаточно тривиальная задача, я был в этом уверен, ведь рано или поздно всем нам приходится сталкиваться с тем, что нужно восстанавливать забытый или утерянный пароль для входа в систему.

Вместе с тем я столкнулся с сложностью ы том, что на компьютере используется UEFI и диск уже отформатирован именно под такую загрузку.

То есть вроде как существует целый ряд инструментов, а воспользоваться мне нечем, тем более что инструмент, к которому я привык - Elcomsoft System Recovery, в тот момент еще не поддерживал загрузку и работу с UEFI.

Зная, что это в принципе достаточно широко известная проблема, тем более что до 40% обращений в службы технической поддержки связаны с забытыми или утерянными паролями для входа в систему, я решил обратиться к разработчикам в компанию Elcomsoft. В ответ мне была любезно предоставлена для тестирования новая версия продукта. Что сказать?

С помощью данного приложения вы сможете мгновенно вернуть доступ путем сброса паролей или разблокирования учетных записей, поддерживая как локальные учетные записи (включая Microsoft accounts), так и записи на контроллере домена. Но главное, что сегодня этот инструмент уже может обращаться с UEFI. На всякий случай повторим что значит эта аббревиатура.

Что такое UEFI

Система BIOS, разработанная свыше тридцати лет назад, уже лет пятнадцать считается реликтом, однако достаточно долго не было соответствующих альтернатив.

Система UEFI (Unified Extensible Firmware Interface) появилась в далеком 1998 году как Intel Boot Initiative. В 2005 году был специально создан консорциум UEFI Forum, основными членами которого помимо Intel, стали AMD, Apple, IBM, Microsoft и ряд других.

В отличие от загрузочного кода BIOS, который всегда жестко прошит в соответствующем чипе на системной плате, куда более обширные по размеру коды UEFI находятся в специальной директории /EFI/, место физического расположения которой может быть самым разнообразным - от микросхемы памяти на плате или раздела на жестком диске компьютера и до внешнего сетевого хранилища.

Стандартно, разметка диска при применении UEFI выглядит следующим образом.

Рисунок 1 Создание структуры разделов в разметке GPT на ПК с UEFI

Рисунок 2 Диск 0 Разметка под GPT

Для нас основной проблемой будет то, что загрузочный диск под Elcomsoft System Recovery просто не увидит данный жесткий диск.

Именно поэтому была создана новая версия ESR с поддержкой UEFI. Фактически, если исходить из набора функций, мы имеем перед собой все тот же набор, но уже созданный на базе загрузки под Windows 10 с поддержкой UEFI.

Elcomsoft System Recovery позволяет сбросить пароли к учётным записям, в то же время включая ряд атак, с помощью которых в ряде случаев за короткое время могут быть найдены оригинальные пароли.

Elcomsoft System Recovery разблокирует учётные записи Администратора и других пользователей в системах Windows Windows 7, Windows 8/8.1, Windows 10, а также множество устаревших систем, включая Windows Vista, Windows XP, Windows 2000 и Windows NT, включая все серверные редакции. Поддерживаются как 32-битные, так и 64-битные версии.

Как это работает?

Для создания EsrBoot диска вы должны запустить соответствующее программное обеспечение, в котором вам предложат либо создать загрузочную флешку либо iso-образ загрузочного диска.

Рисунок 3 Создание загрузочной флешки

По окончании форматирования и копирования вы получите загрузочную флешку.

После загрузки, в случае если вам необходим драйвер для IDE/SCSI/RAID жестких дисков, вы можете его загрузить.

Рисунок 4 Загрузите необходимый драйвер

После загрузки вы должны выбрать с какой учетной записью (локальной или доменной) вы хотите работать.

Рисунок 5 Выбор дальнейших действий

Для моей задачи потребовалось управление локальной учетной записью. Поэтому я сохранил резервную копию SAMи сохранил для будущей расшифровки дамп хэша SAM.

А после этого просто сбросил пароль учетной записи, вернее заменил его другим, ведь уверенно знал, что EFS-шифрование хозяин не применял.

Рисунок 6 Изменение SAM

Рисунок 7 Изменить пароль

Рисунок 8 Редактор базы SAM

Естественно необходимо вспомнить о возможностях данного ПО.

Возможности Elcomsoft System Recovery

• Готов к загрузке – базируется на системе Windows PE (Preinstallation Environment)
• Восстановление или сброс паролей к учётным записям как Администратора, так и всех других пользователей
• Восстановление оригинальных паролей (в некоторых случаях), обеспечивающее доступ к данным, зашифрованным с использованием EFS
• Разблокирование учётных записей (имеющих статус locked или disabled)
• Поднятие привилегий (до уровня администратора) для любой учётной записи
• Доступ к учётным записям, у которых истёк срок действия пароля
• Поддержка широкого спектра аппаратного обеспечения; нативная поддержка файловых систем FAT, FAT32 и NTFS
• Привычный графический интерфейс Windows – легко и удобно использовать
• Поддержка всего спектра операционных систем вплоть до Windows 10 и Windows Server 2012
• Поддержка американской, русской и других локализованных версий Windows; работа с именами пользователей и паролями на всех языках
• Автоматическое определение всех установленных копий Windows
• Возможность выгрузки хэшей паролей (для дальнейшего анализа и восстановления) как из локального реестра, так и из Active Directory

Если на исследуемом ПК нет данных, зашифрованных с помощью EFS, то самым простым вариантом будет сброс пароля для восстановления доступа. Проще всего сменить пароль для данной учетной записи, более того, при этом вам не нужно знать оригинальный. А кроме того нет необходимости проводить атаки для восстановления пароля, ведь это может быть, как затратным по времени и ресурсам, так и не гарантировать результат вообще. Гораздо проще задать новый. Еще раз повторю, у вас на ПК не должно быть EFS-шифрования.

Если же вам по какой-то причине нужен сохраненный пароль, то в составе ESR есть средства для восстановления. Более того, вы не нуждаетесь в том, чтобы задавать специальные параметры. ПО умеет проводить как простой перебор возможных паролей, так и проверку по спискам наиболее часто используемых паролей. Если же атака не удалась, вы сможете извлечь хеши паролей и сохранить их для последующего исследования.

Кроме того, необходимо знать, что Elcomsoft System Recovery позволяет не только восстанавливать или сбрасывать пароли, но поможет и при некоторых других проблемах, связанных с доступом в систему. Например:

• Присвоить привилегии Администратора учётной записи любого пользователя
• Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля)
• Сбросить или поменять пароль к учётной записи пользователя
• Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора
• Показать список привилегий пользователя
• Найти учётные записи с пустым паролем
• Мгновенно восстановить пароли к некоторым специальным/системным учетным записям (например, IUSR_, HelpAssistant и т.д.)
• Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)

Таким образом, в руки исследователя приходит новый, весьма интересный инструмент, позволяющий решать задачи по восстановлению паролей.

Filed under: ИТ-безопасность , Статьи , IT-Security , Windows 10 , Windows 8

Обламывал ли вас когда-нибудь пароль Администратора в Windows? Например, задали вы его при установке системы, с тех пор так ни разу и не вошли в неё как Администратор, пароль за это время успешно забыли, а через годик всё рухнуло и под обычным аккаунтом ни в какую не работает? Что делать, как вспомнить пароль и загрузить Админа? Неужели придётся прицениваться к ретроспективному гипнозу?

К счастью, в случае с Windows XP всё гораздо проще - достаточно давно существуют специальные программы, позволяющие сбросить, то есть обнулить этот пароль. Загружаешь ПК с CD-диска или «флоппика» с программой, пара-тройка минут - и пароля нет. Правда, программы эти либо входят в состав тяжелых и очень дорогих профессиональных пакетов утилит, либо не очень удобны, либо плохо работают с русскими именами аккаунтов, либо не умеют запускаться с более быстрых, чем CD, USB-флешек, не поддерживают «Висту» и Server 2008 и так далее. Меньше всего подобных претензий (разве что, кроме цены), пожалуй, к Elcomsoft System Recovery - специализированному и наиболее мощному средству для сброса паролей Windows от известных отечественных разработчиков, не одну уже собаку съевших на программах подобного рода - всевозможных ломалках-крякалках.

Тут надо особо отметить тот факт, что к крякам в их классическом понимании программа никакого отношения не имеет. Windows она вам не активирует. Речь идёт именно о забытых паролях к учётным записям. И тут всё абсолютно легитимно - Windows устроена таким образом, что если есть физический доступ к компьютеру и его можно загрузить с внешнего носителя, то получить доступ к данным на диске (если они не зашифрованы) - элементарно. Даже если вы придумали пароль длиной с «Войну и мир».

Elcomsoft System Recovery, в отличие от аналогичных программ, полностью поддерживает русский язык - и интерфейс у неё русифицирован, и в именах аккаунтов она русского не боится, и в самих паролях кириллицу воспринимает. Это особенно приятно, если учесть, что короткие и простые пароли программа вообще умеет восстанавливать, для чего предусмотрен специальный режим при её запуске. Так что если вы решили схитрить и в качестве пароля выбрали какое-нибудь русское народное матерное слово, да ещё и написанное кириллицей, то учтите - Elcomsoft System Recovery расколет его за секунды - даже нецензурщина включена в его словари (кроме того, показываются имена учётных записей и отображаются записи с пустыми паролями). Более того, в нашей тестовой системе штатный пароль встроенной «учётки» HelpAssistant вида qH!8KnC7ews35F был взломан неожиданно легко - меньше чем за минуту. А это аж 14 знаков: строчные заглавные буквы, цифры да ещё и восклицательный знак! Честно говоря, я был удивлён - похоже, защита пароля именно этого аккаунта, который по идее должен генерироваться в каждой системе случайным образом, имеет серьёзные проблемы.

Кстати, восстановление исходного пароля вместо его сброса имеет важное значение, так как войдя в систему с «правильным» паролем, вы сможете получить доступ даже к зашифрованным посредством EFS файлам - при сбросе же пароля шифрованные файлы и папки «взламываемой» «учётки» остаются недоступны и, скорее всего, уже навсегда. Так что имейте это ввиду.

Программа прекрасно работает с Windows Vista / Server 2008, и даже загрузочный диск ESR основан на Windows Vista PE, так что интерфейс при загрузке не только русский, но абсолютно «виндовый» и кликабельный. Никаких команд с клавиатуры вводить не придётся. Поддерживаются диски любых типов - при загрузке можно указать папку с драйверами для IDE-/SCSI-/RAID-контроллеров, причём сама эта папка также может быть на любом носителе: хоть на винчестере, хоть на DVD, хоть на USB-флешке. Да и саму программу можно установить на флешку, сделав её загрузочной, и «ломать» пароли уже с неё - а это и быстрее, чем CD, и компактнее.

Работает Elcomsoft System Recovery не только с локальными «учётками», но может обрабатывать и учётные записи Active Directory, причём, кроме такого бонуса, как восстановление коротких паролей, имеет несколько режимов: дамп хэшей паролей для последующего более тщательного (и длительного) восстановления с помощью специальных программ типа SAMInside; бекап и восстановление реестра; редактирование базы SAM; и, собственно, сброс паролей.

Впрочем, тут мы имеем не просто сброс неизвестного или забытого пароля, а возможность его изменения прямо в программе, что, конечно, удобно - иначе всё равно пришлось бы потом загружать Windows и задавать новый пароль уже в ней. Но, кроме этого, можно ещё и менять некоторые свойства учётных записей: например, если «учётка» Администратора у вас отключена, то не поможет даже сброс пароля - войти в систему Админом вы не сможете. Здесь же можно всё это изменить - разблокировать «учётку» или, например, отменить истечение срока действия старого пароля.

Но самый интересная функциональность ждёт админов в режиме редактирования базы SAM - тут можно менять десятки самых разных параметров:

• задать права администратора любой учётной записи,
• менять тип учётных записей,
• выставлять любые параметры пароля,
• смотреть данные по времени последних входа-выхода пользователя в систему и сколько вообще было входов,
• смотреть дату последней попытки ввода неверного пароля,
• менять членство в группах,
• настраивать дни и часы, когда «юзеру» разрешается входить в систему и так далее.

Так что, как видите, программа очень мощная, удобная, и особенно полезна она для системных администраторов, которым частенько после смены места работы приходится обновлять пароли на подопечных системах. И не факт, что предыдущий админ предоставит данные по паролям каждой системы. Впрочем, за такую цену (самая продвинутая Pro-версия стоит под 400 $, самая простая - 50 $) подобную программу легально купит разве что предприятие. Но при такой продвинутости сразу же хочется хоть немного отойти от узкой специализации. К сожалению, ESR явно не хватает возможности работать с реестром и файловой системой, где сбрасывать разрешения тоже иногда требуется. Например, при подчистке следов очередного руткита или при удалении драйвера вроде SPTD из Alcohol 120%. Так что даже если у вас будет под рукой ESR, отказаться от умеющего работать с реестром и файлами на диске, но не столь серьёзного по части учётных записей, конкурента - ERD Commander - всё же не получится.

По данным опросов, у среднего пользователя интернет есть как минимум 27 учётных записей. В то же время запомнить 27 уникальных, стойких с точки зрения криптографии пароля – задача не для среднего пользователя. Сложилась ситуация, в которой количество учётных записей (и других ресурсов, доступ к которым защищается посредством паролей) в разы превышает количество паролей, которые в состоянии запомнить пользователь. В период с 2012 по 2016 год был проведён ряд исследований, однозначно показавших, что 59-61% пользователей использует одни и те же пароли для защиты разных ресурсов.

Вооружившись статистикой, можно сместить вектор атаки на зашифрованные данные и защищённые паролем ресурсы, потратив время на поиск и извлечение существующих паролей пользователя вместо попыток увеличить вычислительную мощь «лобовых» атак.

Как узнать пароли пользователя и как их правильно использовать для расшифровки данных – тема этой статьи.

Ищем пароли пользователей

По данным опроса , в котором приняли участие порядка 2,000 человек, средний пользователь заходит в 27 учётных записей. В то же время, число уникальных паролей у среднего пользователя намного меньше. Этот факт позволяет рассчитывать на то, что один из паролей (или его модификация) подойдёт для расшифровки файлов, лобовая атака на защиту которых будет чрезвычайно ресурсоёмкой. В действительности порядка 60% пользователей использует набор из одних и тех же паролей для защиты разных ресурсов. Если же считать и тех пользователей, которые варьируют свои пароли в минимальных пределах (например, используя вариации разряда password<>Password<>Password1<>password1967), то их число достигает 70%.

Что это нам даёт? Мы получаем возможность за несколько минут вскрыть до 70% паролей, защищающих файлы и документы с сильным шифрованием. Если вспомнить о том, что скорость перебора паролей к документам в формате Microsoft Office 2013 – всего 7,000 паролей в секунду даже с использованием высококлассного ускорителя NVIDIA GTX 1080, то важность такого подхода станет очевидной.

Для извлечения паролей пользователя с его компьютера воспользуемся приложением Elcomsoft Internet Password Recovery. Нам потребуется версия 3.0 или более новая, т.к. именно в ней появился режим автоматического сканирования компьютера с сохранением найденных паролей в файл, подходящий для словарных атак (формат Unicode, убраны дубликаты). Для того, чтобы создать словарь, составленный из паролей пользователя, достаточно воспользоваться кнопкой “Export Passwords” и указать имя файла, в который будут сохранены пароли.

Буквально через несколько секунд все имеющиеся пароли будут сохранены в текстовый файл. Откуда они берутся? Elcomsoft Internet Password Breaker анализирует защищённые хранилища веб-браузеров и почтовых клиентов, включая Chrome, Internet Explorer, Edge, Outlook, Windows Mail и некоторых других. Из браузеров извлекаются данные сохранённых паролей и форм автозаполнения, из почтовых клиентов – пароли к учётным записям POP3/IMAP/SMTP.

Итак, файл создан и готов к использованию. Его можно просмотреть с помощью любого приложения, поддерживающего текстовый формат Unicode, а можно сразу использовать с Elcomsoft Distributed Password Recovery или аналогичным инструментом.

Сколько уникальных паролей нашлось у вас? На моём компьютере – 83!

Как правильно использовать список паролей

Как известно, подбор пароля к некоторым форматам данных может быть чрезвычайно ресурсоёмким. Даже использование последних поколений графических ускорителей не спасёт: скорость атак на тома BitLocker – всего несколько сотен паролей в секунду. Документы Office 2013 взламываются ненамного быстрее – 7,100 паролей в секунду при использовании NVIDIA GTX 1080 в качестве ускорителя.

Использование словарных атак заметно повышает вероятность успешного взлома. Но атака по орфографическому словарю помогает не всегда: с одной стороны, количество возможных вариаций очень велико, с другой – именно ту вариацию, которую придумал конкретный пользователь, автоматическая атака может и пропустить.
Проблему решает использование сверхкомпактного словаря, состоящего исключительно из паролей того же пользователя. По статистике, такой словарь поможет примерно в 60% случаев даже без вариаций. Использование простейшей вариации, добавляющей до 4 цифр в конец каждого пароля (обратите внимание, даже в этом простейшем случае число вариантов для перебора станет больше в 10,000 раз!) заметно увеличивает вероятность успеха. Добавьте вариации с использованием заглавных букв, и вероятность успеха возрастёт до 70%.

Практическая реализация атаки

Атака по словарю, составленному из паролей пользователя, показана на примере Elcomsoft Distributed Password Recovery. Последовательность атак необходимо настроить следующим образом.

Первый этап будет отработан практически мгновенно. Второй этап проверяет в 10,000 раз больше паролей, чем содержится в самом словаре, поэтому может занять несколько секунд. Последний этап заметно расширяет количество вариантов для проверки, и может занять от нескольких минут до нескольких часов в зависимости от количества паролей в словаре и скорости перебора. У среднестатистического пользователя с помощью данной последовательности раскрывается до 70% паролей.

Заключение

До 70% паролей может быть вскрыто за несколько минут. Идея использовать известные пароли пользователя для расшифровки документов не нова, но до сих пор не была реализована производителями в полном объёме. Совместное использование Elcomsoft Internet Password Breaker и Elcomsoft Distributed Password Recovery позволяет автоматизировать процесс атаки с использованием паролей, извлечённых из компьютера пользователя. В статье упоминаются следующие продукты:

— Elcomsoft Internet Password Breaker (извлечение списка паролей, составление словаря)

— Elcomsoft Distributed Password Recovery (подбор пароля по словарю или методом полного перебора)

— Elcomsoft Advanced Office Password Recovery (восстановление паролей к документам)

Elcomsoft System Recovery поставляется в виде программы, которая позволяет быстро создать загрузочный диск (CD или USB). Вы сможете создавать загрузочные устройства для компьютеров с 32- и 64-разрядные BIOS, а также для всех устройств с 32- и 64-разрядными UEFI.

Система Windows PE предоставляет удобный и привычный интерфейс Windows. Никаких скриптов, никакой командной строки, никаких сложных настроек!

Elcomsoft System Recovery поддерживает широчайший спектр аппаратного обеспечения, включая контроллеры SATA, SCSI и RAID от большинства производителей. Даже в том случае, если используется какой-то экзотический контроллер, вы можете подгрузить необходимый драйвер (обычно поставляется вместе с оборудованием) с CD или флеш-диска.

В отличие от других продуктов, использующих собственный код надёжность и совместимость которого не гарантируется, Elcomsoft System Recovery включает нативную (от Microsoft) поддержку всех файловых систем Microsoft: FAT, FAT32 и NTFS.

Если на компьютере нет данных, зашифрованных с использованием EFS, сброс пароля является самым быстрым и эффективным способом восстановления доступа. Elcomsoft System Recovery позволяет поменять пароль на любой другой – при этом не нужно знать оригинальный. Нет необходимости производить сложные атаки для восстановления пароля (которые к тому же не гарантируют результат) – проще задать новый.

Пароли SYSKEY использовались в старых версиях Windows в качестве дополнительного уровня защиты. Если пароль SYSKEY установлен, он запрашивался на этапе загрузки системы ещё до того, как система запросит пароль от учётной записи пользователя. Пароли SYSKEY активно использовались мошенниками-вымогателями; в результате разработчики Microsoft исключили возможность установки таких паролях в операционных системах Windows 10 и Windows Server 2016 (сборка 1709). Пользователи более старых версий Windows всё ещё могут пострадать от действий мошенников. Elcomsoft System Recovery позволяет найти или сбросить пароли SYSKEY, восстановив работоспособность системы.

Для случаев, если сохраненный в системе пароль всё-таки нужен, в Elcomsoft System Recovery есть средства для его восстановления. При этом не нужно задавать никакие специальные параметры - мы уже подготовили для вас ряд эффективных атак, включающий как перебор «в лоб», так и проверку наиболее часто используемых паролей – при этом они занимают всего несколько минут, а вероятность восстановления очень высока.

Elcomsoft System Recovery знает, где система хранит системные пароли и как они зашифрованы, и в ряде случаев может вытащить их мгновенно.

Если же пароль оказался длинным и сложным, шансы на восстановление всё равно есть. В ESR доступна атака по словарю, позволяющая использовать любой словарь (к примеру, содержащий пароли пользователя с других устройств) и до 4 уровней мутаций.

В сложных случаях программа позволяет извлечь хэши паролей (как для локальных пользователей, так и для пользователей в домене, т.е. из базы Active Directory) и сохранить их в файле, чтобы потом можно было провести более продвинутые атаки уже на другом компьютере. Мы рекомендуем использовать для этого наше решение – мощный инструмент, масштабируемый на сети из тысяч компьютеров, с аппаратным ускорением с использованием видеокарт NVIDIA.

В Windows 8 появилась возможность авторизоваться онлайн -- с использованием учетной записи Microsoft (Live!); этот же механизм теперь активно используется и в Windows 10. Аутентификация происходит на серверах Microsoft; однако, в Elcomsoft System Recovery есть возможность подменить сохраненный в системе хэш пароля для таких учетных записей и временно переключить для них аутентификацию на локальную.

В дополнение к сбросу пароля, в продукте есть возможность экспортировать хэши паролей таких учетных записей, что дает возможным (в точности как для локальных записей) восстановить оригинальные пароли (например, с помощью Elcomsoft Distributed Password Recovery . Имея пароль к учетной записи Microsoft, появляется возможность доступа к другим сервисам Microsoft, привязанным к данной учетной записи: Skype, Hotmail, OneDrive и другим. Кроме того, появляется и доступ к облачным резервным копиям Windows Phone и Windows 10 Mobile, детальной информации о пользователе, списку привязанных устройств (включая их текущее местоположение), а в некоторых случаях и к истории посещений, закладкам, введенным в браузере данным, и даже сохраненным паролям к онлайн-сервисам и социальным сетям. Наконец, в учетной записи может храниться резервный ключ восстановления для дисков, зашифрованных с помощью BitLocker.

Elcomsoft System Recovery создаёт резервные копии всех системных файлов, в которых производятся изменения – при необходимости можно будет откатиться назад, вернув систему в исходное состояние.

Видео о продукте