密码破解Windows帐户

35

在工作中，我们有带加密硬盘的笔记本电脑。这里的大多数开发人员（有时我也对此感到内））在晚上将笔记本电脑带回家时将其笔记本计算机置于休眠模式。显然，Windows（例如，有一个在后台运行的程序在Windows中运行）必须具有一种对驱动器上的数据进行加密的方法，否则它将无法访问它。话虽这么说，我一直认为，将Windows机器以休眠模式在不安全的地方（而不是在锁中工作）是一种安全威胁，因为有人可能会拿起机器，使其继续运行，并入侵Windows帐户。并使用它来加密数据并窃取信息。当我不得不考虑如何在不重新启动Windows的情况下进入Windows系统时，我不知道是否有可能。

我知道一旦可以访问适当的文件，就有可能编写一个程序来破解Windows密码。但是是否可以从锁定的Windows系统执行程序来执行此操作？我不知道这样做的方法，但是我不是Windows专家。如果是这样，是否有预防方法？我不想透露有关如何执行此操作的安全漏洞，因此我想要求人们不要详细介绍必要的步骤，但是如果有人可以说“是的，那么USB驱动器就可以任意执行， “ 那很好啊！

编辑：加密的想法是您不能重新启动系统，因为一旦这样做，系统上的磁盘加密需要先登录才能启动Windows。随着机器进入休眠状态，系统所有者已经绕过了攻击者的加密，而Windows仅是保护数据的唯一防线。

— kemiller2002
source

我目前无法访问它，但是阅读了mu-b在破坏全盘加密方面的工作：www.digit-labs.org/files/presentations/sec-t-2010.pdf

— Rory Alsop

13

绝对不保证机器处于休眠状态，这是一个漏洞，发现RAM仍在休眠内存中包含用于Bitlocker（及其他）的密钥。已经有针对此漏洞的概念证明攻击。

攻击的方法是快速重启PC并读取RAM的内容（断电时不会丢失），然后程序可以在转储中搜索密钥。

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

微软可能已经解决了这个问题。

ps正常的密码更改不会影响加密，因为没有正确的密码就无法访问加密的内容，因此简单的密码更改启动盘不会带来安全风险。

1

+1我认为这就是所谓的冷启动攻击。

— 乔纳斯·海德堡

4

正如workmad3所提到的那样，攻击无需重新启动就锁定的计算机的最佳方法是查看网络连接的脆弱性。

这将取决于您网络上的安全策略。例如，所有域帐户都具有对这些PC的管理访问权限吗？如果是这样，请检查默认共享（\ pc-name \ c $）。如果由于某种原因打开了默认共享，则可以使用自己的帐户通过网络访问PC的全部内容。我不确定这是否适用于加密的硬盘驱动器，但是测试起来很容易。

一旦可以远程访问PC，就可以使用Sysinternals PsExec工具之类的工具来远程执行程序。

当然，这只是攻击的一种媒介，它甚至可能无法与加密的硬盘一起使用，但是它使您知道可以做什么。

编辑：如果便携式计算机具有活动的Firewire端口，则可以查看此漏洞。同样，我不知道这对加密的机器是否有帮助，因为它基于直接内存访问（应加密）。

— 马克·雷兹
source

有一个Firewire漏洞可让您在不输入有效密码的情况下解锁Windows框。硬盘是否加密并不重要。

@亚历山大我不知道那个。很高兴知道。

— 马克·马克（Marc）

请查看storm.net.nz/projects/16中的一种工具。

它不仅是Firewire，而且是任何带有DMA的扩展端口。这包括PCMCIA，PCCard，ExpressCard等。与Firewire向量的唯一区别是访问总线的协议。

4

显然，如果某人对计算机具有物理访问权限，则可以认为存储的所有凭据均已泄露。

例如，如果可以从USB设备或光盘驱动器引导，则可以使用指向工具和单击工具（例如Ophcrack）来恢复所有密码。这里的说明：USB Ophcrack | Windows登录密码破解程序

编辑：是的，我知道从理论上讲，如果计算机重新启动，您将无法回到“加密硬盘”中。该主张是否成立完全取决于用于访问加密分区的软件。BitLocker似乎做得不错，但是许多较早的实现基本上都是在开玩笑-如果您可以访问计算机，则将SAM数据库转储到USB记忆棒并离线执行破解非常容易。

— MihaiLimbăşan
source

2

好吧，我首先想到的是将其从休眠状态唤醒，进入密码屏幕，然后开始查看通过网络连接易受攻击的内容。如果实际机器的网络安全性没有达到要求，那么您可以通过这种方式访问很多信息。

— 工作狂3
source

1

我想知道，如果使用适合您实验目的的autoplay.ini刻录CD-ROM ，然后使计算机从休眠模式中唤醒，那会怎样？我实际上不知道会发生什么，但是如果试图攻击休眠计算机，我将探索那种方法-唤醒它并将可执行文件引入其端口之一。有火线端口吗？从理论上讲，它可以从该接口被黑客入侵。

— 希思·洪尼切特
source

0

您使用哪种加密方式？BitLocker？加密的文件系统？不知道，我无法直接回答您的问题。

无论如何，您的安全性将与最弱的链接一样好。您需要确保及时安装所有最新的安全补丁。否则，可以使用MetaSploit之类的工具来测试已知漏洞并获得用户或管理员访问权限。

— Spoulson
source

这是一个加密的文件系统

— kemiller2002

EFS仅要求仅拥有用户或可能的本地管理员可以访问文件。如果PC受到威胁，则可以轻而易举地避免。请参阅：en.wikipedia.org/wiki/Encrypting_File_System

— 2008年

对不起，我不好，我把术语混在一起了。文件在磁盘上加密。

— kemiller2002

0

与较早的操作系统相比，Vista和XP-sp3的安全性要低得多，后者仅存储用于LANMAN兼容性的简单加密密码。您仍然可以使用一些非常大的Rainbow表来破解简单的密码，但是通过ophcrack这样的工具，它还是非常安全的。

— 马丁·贝克特
source

0

在我的硬盘加密系统（PGP）上，从休眠状态返回时，我需要输入加密密码。

从挂起，这是不允许的。

— 视觉系统
source

0

如果您使用的EFS休眠文件未加密，则应假定其包含解密磁盘上EFS文件所需的敏感密钥材料。

如果您使用全盘加密，则将休眠文件与其他所有文件一起加密，这样可以减轻这种风险。

Bitlocker / TPM的攻击向量有很多，包括许多总线侦听和暴风雨式攻击。TPM并非旨在保护您的信息免遭确定的TLA侵害，但在现实世界中的通用用例中仍然非常有效。

除非启用了有意义的syskey选项来减轻这种风险，否则可以通过破解用户密码来避免EFS。EFS总比没有强，但是除非您使用syskey和耐Ub3r ra1nb0w表的密码，否则您实际上并没有真正构成危害EFS数据的重要障碍。