Авг 21

Сброс пароля, редактирование реестра Windows из Ubuntu

Иногда (после атаки вирусов, например) в Windows нельзя запустить regedit и необходимо отредактировать реестр извне. Сегодня мы покажем, как это сделать через Linux при помощи утилиты chntpw.

Первый вариант. Редактирование реестра:

1. Загружаемся с LiveCD или устанавливаем на компьютер второй системой Ubuntu

2. Устанавливаем утилиту chntpw

sudo aptitude install chntpw

3. Подключаем раздел Windows

sudo fdisk -l

Находим ntfs раздел и монтируем:

$ sudo mkdir /media/windows

$ sudo mount /dev/sda2 /media/windows

4. Редактируем реестр

chntpw -l /media/windows/Windows/system32/config/software

Редактирование осуществляется при помощи перемещения по веткам.

cd Microsoft\Windows NT\CurrentVersion\Winlogon

И непосредственным редактированием ключей, допустим:

ed Shell

Вариант второй. Сброс пароля:

1. Повторяем в точности пункты 1-3 предыдущего параграфа

4. Внимательно смотрим — у какого пользователя будем менять пароль

chntpw -l /media/windows/Windows/system32/config/SAM

5. Сбрасываем пароль

chntpw /media/windows/Windows/system32/config/SAM -u Administrator

В этих записях могут скрываться данные о вирусной деятельности:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Значения по умолчанию в Regedit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

«Shell»=»Explorer.exe»

«Userinit»=»C:\WINDOWS\system32\userinit.exe»

Также рекомендуется проанализировать файл Explorer.exe на наличие двойника, его обычное место в папке Windows\, а никак не в Windows\System32\…

Комментарии: 0 » Метки: , , , , ,

You must be logged in to post a comment.