Entschlüsseln des in der Registrierung für AutoLogon gespeicherten Werts für DefaultPassword

In einem früheren Beitrag haben wir gesehen, wie Sie den Anmeldebildschirm in Windows 7 und älteren Versionen umgehen können, indem Sie das von Microsoft angebotene Tool AutoLogon nutzen. Es wurde auch erwähnt, dass der Hauptvorteil der Verwendung des AutoLogon-Tools darin besteht, dass Ihr Passwort nicht in im Nur-Text-Format gespeichert wird, wie beim manuellen Hinzufügen der Registrierungseinträge. Es wird zuerst verschlüsselt und dann gespeichert, so dass selbst der PC-Administrator keinen Zugriff darauf hat. In der heutigen Nachricht werden wir darüber sprechen, wie Sie den im Registrierungseditor gespeicherten DefaultPassword Wert mit dem AutoLogon Tool entschlüsseln können.

Das Wichtigste zuerst, das Sie noch brauchen Administratorrechte , um den Wert DefaultPassword zu entschlüsseln. Der Grund für diese offensichtliche Einschränkung liegt darin, dass solche verschlüsselten System- und Benutzerdaten einer speziellen Sicherheitsrichtlinie unterliegen, die als Local Security Authority (LSA) bekannt ist und nur den Zugriff auf den Systemadministrator gewährt. Bevor wir also mit der Entschlüsselung der Passwörter beginnen, werfen wir einen Blick auf diese Sicherheitsrichtlinie und ihre damit verbundenen Know-hows.

LSA - Was es ist und wie es Daten speichert

LSA wird von Windows verwendet um die lokalen Sicherheitsrichtlinien des Systems zu verwalten und den Überwachungs- und Authentifizierungsprozess für die Benutzer durchzuführen, die sich beim System anmelden, während sie ihre privaten Daten an einem speziellen Speicherort speichern. Dieser Speicherort wird LSA Secrets genannt, in dem wichtige Daten, die von der LSA-Richtlinie verwendet werden, gespeichert und geschützt werden. Diese Daten werden im Registrierungseditor im Schlüssel HKEY_LOCAL_MACHINE / Security / Policy / Secrets verschlüsselt gespeichert, was für allgemeine Benutzerkonten aufgrund eingeschränkter Access Control Lists (ACL) nicht sichtbar ist. . Wenn Sie über die lokalen Administratorrechte verfügen und LSA Secrets kennen, können Sie auf die RAS / VPN-Kennwörter, Autologon-Kennwörter und andere Systemkennwörter zugreifen. Im Folgenden finden Sie eine Liste, um einige zu nennen.

• $ MACHINE.ACC : Bezogen auf Domänenauthentifizierung
• DefaultPassword : Verschlüsselter Passwortwert, wenn AutoLogon aktiviert ist
• NL $ KM : Secret Schlüssel zum Verschlüsseln zwischengespeicherter Domänenkennwörter
• L $ RTMTIMEBOMB : Speichern des letzten Datumswerts für Windows-Aktivierung

Um die Geheimnisse zu erstellen oder zu bearbeiten, gibt es spezielle APIs für Softwareentwickler. Jede Anwendung kann auf den LSA Secrets-Standort zugreifen, jedoch nur im Kontext des aktuellen Benutzerkontos

So entschlüsseln Sie das AutoLogon-Passwort

Um nun den DefaultPassword -Wert zu entschlüsseln und zu entwurzeln In LSA Secrets gespeichert, kann man einfach einen Win32-API-Aufruf ausgeben. Es ist ein einfaches ausführbares Programm verfügbar, um den entschlüsselten Wert des DefaultPassword-Wertes zu erhalten. Befolgen Sie die folgenden Schritte:

1. Laden Sie die ausführbare Datei von hier herunter - sie ist nur 2 KB groß.
2. Extrahieren Sie den Inhalt von Datei DeAutoLogon.zip.
3. Klicken Sie mit der rechten Maustaste DeAutoLogon.exe und führen Sie es als Administrator aus.
4. Wenn Sie die AutoLogon-Funktion aktiviert haben, sollte der DefaultPassword-Wert direkt vor Ihnen liegen.

Wenn Sie versuchen, das Programm ohne Administratorrechte auszuführen, Sie würden auf einen Fehler stoßen. Stellen Sie daher sicher, dass Sie lokale Administratorrechte erhalten, bevor Sie das Tool ausführen. Hoffe, das hilft!

Schreibe in den Kommentaren unten, falls du Fragen hast.