Menü

Registry-Retter Offline NT

Seite 2
zurück zu Seite 1

Offline NT Password & Registry Editor

Der Offline NT Password & Registry Editor () löscht Passwörter in Windows XP sowie in Vista. Mit dem eingebauten, recht spartanischen Editor greifen Sie auf die Windows-Registry zu und bearbeiten deren Einträge. Am besten laden Sie sich das nur knapp 4 MByte große CD-Image des Tools herunter, das Sie mit jedem Brennprogramm auf eine CD bringen können.

Die Software hat ein paar Einschränkungen: Sie funktioniert nicht, wenn Sie Ihre Dateien mit dem Encrypting File System (EFS) von Windows XP verschlüsselt haben. Ein weiteres Problem sind Rechner, die Passwörter über ein Active Directory zugewiesen bekommen.

Hier funktioniert das Löschen der Login-Informationen nicht. Die wenigsten Heimcomputer dürften jedoch an einem Netz mit Active Directory hängen. Und an Ihrem Arbeitsplatz sollten Tools wie Offline NT Password & Registry Editor sowieso tabu sein.

Nach dem Booten zeigt Ihnen das Tool zunächst alle gefundenen Windows-Partitionen an. Wählen Sie die Richtige per Nummerneingabe aus. Eventuell muss das Rettungsprogramm jetzt einen NTFS-Treiber laden.

Ophcrack entschlüsselt die zwei Windows-Passwörter hier in wenigen Minuten.
Ophcrack entschlüsselt die zwei Windows-Passwörter hier in wenigen Minuten.

Das kann dauern - und gelegentlich auch einmal schief gehen. Booten Sie in diesem Fall einfach noch einmal neu. Achten Sie darauf, dass Sie Windows zuvor richtig heruntergefahren haben. Übernehmen Sie danach mit Enter das Standardverzeichnis für die Windows-Registry.

Wählen Sie als nächstes den Punkt RecoveryConsole Parameters [software] und rufen Sie dann mit [9] den Registry-Editor auf. Denken Sie daran, dass Sie eine englische Tastatur haben: [z] und [y] sind vertauscht, außerdem liegen Satz- und Sonderzeichen auf anderen Tasten.

Mit dem Fragezeichen ([Umschalt]+[-]) zeigen Sie eine Liste der Befehle an. Wechseln Sie zunächst mit cd Microsoft\ Windows\ CurrentVersion\Run in den richtigen Schlüssel. Mit dv löschen Sie hier Einträge, mit nv fügen Sie neue hinzu. Den Typ des Eintrags bestimmen Sie mit einer Zahl:

1: String 3: Binär 4: DWORD

Einen neuen String-Wert erzeugen Sie mit folgendem Kommando:

nv 1 MeinString

Haben Sie einen neuen Wert hinzugefügt, ändern Sie ihn mit dem Befehl ed. Mit q beenden Sie den Registry-Editor und den Offline NT Password & Registry Editor. Das Tool wird nach dem Schreiben eine Reihe von Fehlermeldungen ausgeben. Wenn Sie die Resultate anschließend in Windows kontrollieren, hat dennoch alles funktioniert.

Natürlich können Sie auch andere Zweige der Windows-Registry bearbeiten. Dafür brauchen Sie allerdings eine andere Registry-Datei. Verlassen Sie deshalb den Registry-Editor mit q. Drücken Sie so lange q, bis Sie die Meldung New Run? [n]: sehen. Geben Sie hier auf der deutschen Tastatur [z] für Yes ein, und Sie gelangen zurück ins Startmenü des Editors. Nach der Wahl der Windows-Installation und des Registry-Verzeichnisses wählen Sie diesmal die Option 1.

Rufen Sie mit 9 den Registry-Editor auf und geben Sie den Befehl hive ein. Nun sehen Sie die Nummern für alle vorhandenen Registry-Dateien. Die Tabelle Registry-Schlüssel zeigt Ihnen, in welcher Datei Sie welche Registry-Hives finden. Wechseln Sie in die diese Datei, indem Sie den Befehl hive 1 eingeben. Statt 1, die system-Datei, setzen Sie Ihre gewünschte Nummer ein. 0 ist sam und 2 security.

Passwörter zurücksetzen

Mit dem Windows-Tool syskey.exe erhalten Passwörter eine zusätzliche Verschlüsselung.
Mit dem Windows-Tool syskey.exe erhalten Passwörter eine zusätzliche Verschlüsselung.

Haben Sie Ihr Passwort vergessen, sind Ihre Daten nicht zwingend verloren. Mit der gleichen Methode, mit der Ihnen der Zugang zum eigenen System versperrt worden ist, können Sie sich wieder Zutriff verschaffen.

Passwörter lassen sich sowohl löschen als auch verändern. Es ist nicht möglich, mit Offline NT Password & Registry Editor ein bestehendes Passwort auszulesen. In unseren Tests mit Windows XP funktionierte allerdings das Ändern nicht immer. Deshalb ist es empfehlenswert, das Passwort nur zu entfernen. Wenn Ihr PC wieder zugänglich ist, richten Sie sofort ein neues Passwort ein, damit Besucher künftig draußen bleibt.

Eine weitere Möglichkeit ist das Aufwerten eines Benutzerkontos. Offline NT Password & Registry Editor kann zum Beispiel einen Eingeschränkten Benutzer zum Administrator befördern. Es ist jedoch keine gute Idee, einem Gast-Konto auf diese Weise mehr Rechte zuzubilligen. Gast-Konten könnten durch die in Windows aktive Policy eingeschränkt sein. Auf diese Policy-Einstellungen hat das Linux-Tool keinen Einfluss.

Passwörter im Klartext auslesen

Mit den Tools samdump2 und bkhive lesen Sie Windows-XP- und Windows-Vista-Passwörter aus. Das ist genauso praktisch, wenn Sie nicht mehr an Ihr Windows-System heran kommen.

Achtung! Leisten Sie bitte keine ungewollte Nachbarschaftshilfe. Benutzen Sie diese Tools nicht an fremden Rechnern, ohne dass Ihnen der Besitzer das ausdrücklich genehmigt hat. Schnell könnte Ihnen sowohl der Besitz der Tools, als auch deren Einsatz als Vorsatz für eine Straftat ausgelegt werden. Das unbefugte Öffnen fremder Systeme ist illegal und bringt Sie garantiert in Konflikt mit dem Strafrecht.

Die Website von John the Ripper, der neben Linux auch für anderen Plattformen verfügbar ist.
Die Website von John the Ripper, der neben Linux auch für anderen Plattformen verfügbar ist.

Warum braucht man jetzt aber zwei Tools, um ein Windows-Passwort zu lesen? Die Passwörter sind doppelt verschlüsselt: Zunächst werden die Passwörter mit einem mathematischen Verfahren in so genannte Hash-Werte verwandelt. Dann verschlüsselt das Windows-Programm syskey.exe diese Hash-Werte noch einmal.

Den dafür notwendigen Schlüssel holt es sich aus der Registry. Das Tool bkhive braucht die system-Datei der Windows-Registry, um daraus den Schlüssel für die Syskey-Verschlüsselung zu extrahieren. Dieser Key wird in einer Textdatei abgelegt. Danach tritt samdump2 in Aktion.

Mithilfe des von bkhive extrahierten Syskey-Schlüssels kann dieses Programm die ursprünglichen Hash-Werte der Windows-Passwörter wiederherstellen. Zum Entschlüsseln der Hash-Werte gibt es eigene Linux-Tools. Ein Beispiel ist John the Ripper. Nachdem dieses Programm sein Werk vollbracht haben, liegen die Passwörter im Klartext vor.

Passwörter knacken

Zwei Methoden des Passwortknackens sind sehr weit verbreitet: Brute-Force-Attacken (zu Deutsch: nackte Gewalt) und Rainbow-Tables. Bei einer Brute-Force-Attacke lädt die Software ein Wörterbuch mit einer Liste möglicher Passwörter.

Jedes Passwort in der Liste wird ausprobiert und in einen Hash-Wert verwandelt. Gleicht der Wert dem des zu knackenden Passworts, ist der Schlüssel gefunden. Das kann bei langen, komplizierten Passwörtern Stunden bis Tage dauern.

Bei Rainbow-Tables wird aus einer Liste von Hash-Werten der richtige Wert mit dem dazugehörigen Klartext-Passwort herausgesucht. Das Programm kennt nur den Anfangs- und Endwert und erzeugt daraus nach einfachen Algorithmen eine Kette von Hash-Werten.

Diese Methode bringt schneller Ergebnisse als das Brute-Force-Verfahren. Rainbow-Tables funktionieren allerdings nur bei einfachen Hash-Verfahren, wie sie bei den XP-Passwörtern zum Einsatz kommen.

Spezielle Distributionen

Das Tool ophcrack nutzt die Rainbow-Table-Technik. Es ist zusammen mit bkhive und samdump2 auf einer Live-CD erhältlich, die von den Machern von ophcrack erstellt wurde. Das Tool arbeitet praktisch vollautomatisch und knackt, die nötige Zeit vorausgesetzt, die verlorenen oder enteigneten Passwörter. Wurde Ihr Passwort durch ein schwaches Passwort ersetzt, sind Sie in wenigen Minuten wieder Herr über Ihren eigenen PC.

Die Sicherheits-Suite BackTrack-Linux-Distribution basiert auf Slackware-Linux (). Das Toolpaket lässt sich von einem USB-Stick starten und bietet eine Sammlung von Programmen, die geeignet sind, sich nach einem Hacker-Angriff wieder Zugang zu seinem eigenen PC zu verschaffen. So enthält BackTrack unter anderem samdump2 und bkhive.

Allerdings fehlt der Passwortknacker. Zum Entschlüsseln von Hash-Tabellen braucht man im Notfall noch das oben erwähnte Tool John the Ripper.

 
x