Сброс пароля, редактирование реестра Windows из Ubuntu / Убунтариум / Хабрахабр

Сброс пароля, редактирование реестра Windows из Ubuntu

В связи с вирусами в винде и невозможностью запусить regedit, понадобилась возможность редактировать реестр извне. Нашел, пока, единственную утилиту в линуксе chntpw, которая изначально разрабатывалась для сброса паролей, а потом приобрела функцию редактирования реестра.

Редактирование реестра:

1. Загружаемся с LiveCD или устанавливаем второй системой Ubuntu

2. Устанавливаем утилиту chntpw

sudo aptitude install chntpw

3. Подключаем раздел windows

Смотрим где он:
sudo fdisk -l
ищем ntfs раздел и монтируем:

$ sudo mkdir /media/windows

$ sudo mount /dev/sda2 /media/windows

4. Редактируем реестр

chntpw -l /media/windows/Windows/system32/config/software
Редактирование осуществляется перемещением по веткам, например:
cd Microsoft\Windows NT\CurrentVersion\Winlogon
и самим редактированием ключей, например:
ed Shell

Сброс пароля:

1. Пункты 1-3 предыдущего параграфа

4. Смотрим у какого пользователя будем менять пароль

chntpw -l /media/windows/Windows/system32/config/SAM

5. Сбрасываем пароль

chntpw /media/windows/Windows/system32/config/SAM -u Administrator

Сразу привожу места в реестре где могут скрываться записи о запуске вирусов:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Значения по умолчанию в Regedit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe"

"Userinit"="C:\WINDOWS\system32\userinit.exe"

Проверьте файл Explorer.exe на наличие двойника… правильно лежать ему в папке Windows\ но не в Windows\System32\...

Эта статья была написана в дополнение темы борьбы с вирусами и sms-вымогателями
Очистка windows от вирусов с помощью Ubuntu

+64

28 мая 2010, 01:05

163

Symsym

комментарии (38)

–3

ReaderMan 28 мая 2010, 01:21 #

TuneUp Utilities выручал в таких случаях, у него свой редактор реестра.
А вообще, добавил в закладки.… на всякий случай. =)

–33

elve 28 мая 2010, 01:31 #

Устанавливать Ubuntu только для того, чтобы сбить пароль на Windows. Да вы батенька суровы!

–4

Symsym 28 мая 2010, 01:33 # ↑

Прозелитирую немного, хотя наверно Вы правы.

+10

snegkin 28 мая 2010, 01:43 # ↑

Позвольте, а зачем устанавливать систему? Выполнить «sudo aptitude install chntpw» и подмонтировать раздел можно прямо с LiveCD.

Symsym 28 мая 2010, 01:49 # ↑

Согласен на счет установки, хотя, как практика показывает, приходится то и дело перезагружаться в виндовс, а ubuntu с LiveCD довольно сильно тормозит. Получается проще установить за 20 мин, и опять же на будущее может опять пригодиться как запасной вариант.

xwild 28 мая 2010, 03:47 # ↑

На флешках зато по скорости как установленная, но это зависит от производителя флешки как ни странно, удачный опыт был с transcend v20, неудачный с kingston dt100, хотя с dt400 было уже почти как с transcend. При этом линейная скорость чтения/записи у них была почти одинаковой.

Nks 28 мая 2010, 09:35 # ↑

Lubuntu выполняет весь функционал убунту. В конце концов: юниксвей — это консоль. Загрузились с диска, подправили строку запуска и запустили убунту быстро и без иксов.

nonexistent 28 мая 2010, 10:47 # ↑

а это если давно хотел убунту да повада не было: р

–3

zitter 28 мая 2010, 12:01 # ↑

Зря минусуете, конечно решение через live cd это удобно легально и красиво, но зачастую говорит о не умении пользоваться встроенными возможностями windows и специальными утилитами.
В 99% случаев можно обойтись пряимими руками, установочным диском винды (замечу — без переустановки системы) и доступом к интернету. Я так Conficker лечил, когда в рунете о нем было только название.

CTpaHHoe 13 июня 2010, 17:39 # ↑

Согласен.
Например, в случае перехватов API проще не ковыряться в системе, а загрузиться с другого источника. Конечно же, можно раскрутить замаскированный драйвер и так, однако это займёт больше времени и усилий.
Переустановка системы тоже вроде некошерно, однако может быть в разы легче быстрей и необременительней.

elve 28 мая 2010, 13:52 # ↑

А с чем из моих слов вы несогласны? За то что удивился что автор предлагает «гвозди микроскопом забивать»?

Если вы работаете в linux, то описанная утилита поможет в том, чтобы поправить что-то в реестре windows. Но если вам linux нужен только чтобы сбить пароль в винде… мне это непонятно =)

+17

elliadan 28 мая 2010, 02:14 #

А можно с помощью reconstructor.org создать свой LiveCD Ubuntu со всеми необходимыми (chntpw, calm, etc..) программами.
(извините, если Америку не открыл, но может кто не знает еще)

Mid 29 мая 2010, 11:40 # ↑

вот спасибо, для некоторых Вы действительно открыли америку)

–2

kresteleff 28 мая 2010, 02:41 #

AVZ вам в помощь

unsobill 28 мая 2010, 03:50 #

как альтернативу можно использовать hireboot

Aidos 28 мая 2010, 04:33 #

ERD Commander от Марка Руссиновича, пожалуй лучшее решение

Bushka 28 мая 2010, 07:29 # ↑

Согласен, но, боюсь сейчас набегут сторонники абсолютно бесплатного и свободного ПО.

–7

System32 28 мая 2010, 09:18 # ↑

Я вот тоже не понимаю — зачем мучаться с какими-то линуксами, если существует WinPE, и существует, самое главное — DaRT (он же — ERD Commander)? Там хоть нормальный графический интерфейс, и редактирование реестра — через тот же regedit, а не консольными командами. Как вспомнишь некоторые ветки реестра, типа HKLM/Software/Microsoft/Windows/CurrentVersion/Run, не говоря уж про всякие длинющие CLSID'ы — так аж дрожь пробирает)))))

Frosty 28 мая 2010, 09:52 # ↑

>Там хоть нормальный графический интерфейс
Можно подумать это когда то было плюсов в редактировании строчек текста.

>Как вспомнишь некоторые ветки реестра, типа HKLM/Software/Microsoft/Windows/CurrentVersion/Run, не говоря уж про всякие длинющие CLSID'ы — так аж дрожь пробирает)))))
А это, можно подумать, исключительно проблема этих ваших каких-то линуксов :)

–1

System32 28 мая 2010, 09:57 # ↑

А это, можно подумать, исключительно проблема этих ваших каких-то линуксов :)

Я не говорил, что это — проблема линуксов. Но лазить по таким веткам будет куда как проще в графическом древовидном интерфейсе, чем набивать в консоли CLSID'ы из нескольких десятков знаков. Хотя, если тут реестр монтируется как ФС — может можно будет и каким-нить mc по нему полазить… Но все равно — для чего это все нужно, если уже есть готовые нормальные инструменты?

Frosty 28 мая 2010, 10:03 # ↑

>чем набивать в консоли CLSID'ы из нескольких десятков знаков
facepalm.png открой для себя tab-completition

>может можно будет и каким-нить mc по нему полазить… Но все равно — для чего это все нужно, если уже есть готовые нормальные инструменты?
По тому, что для кого-то монтирование и mc — нормальные готовые инструменты.

System32 28 мая 2010, 10:07 # ↑

facepalm.png открой для себя tab-completition

Давно открыл. Вот тока clsid содержит вроде как 32 символа, а отличаться может всего на один… Так что как ни крути — а в графике все же проще будет.

По тому, что для кого-то монтирование и mc — нормальные готовые инструменты.

Для извращенцев, разве что. Потому что тот же WinPE, самый даже простой — можно загрузить, запустить в нем тот же regedit и открыть куст реестра с винта. И не надо загружать убунту, не надо ставить какие-то сторонние утилиты из репозитариев, и юзать вообще командную строку. Но как я понял — линуксоиды легких путей не ищут :)

Frosty 28 мая 2010, 10:17 # ↑

>Вот тока clsid содержит вроде как 32 символа, а отличаться может всего на один…
Это максимально упрощает задачу, тогда вводить надо будет всего один:.
И поверх этого можно пользоваться любимым файловым менеджером.

>Но как я понял — линуксоиды легких путей не ищут :)
Ничего ты не понял. Линуксоиды на то и линуксоиды, что пользуются линуксом и свои проблемы решают привычными для них методами. Я понятия не имею, что из себя представляет WinPE, ERD и TuneUp Utilites, и не сильно хочу изучать их. Зато я уже сейчас знаю, что такое монтирование и текстовый редактор, а консоль для меня помощник, а не помеха.
Вопрос. Зачем мне изучать что-то новое и чуждое моей идеологии, когда у меня есть равноценный и знакомый инструмент?

System32 28 мая 2010, 11:21 # ↑

Ну в топике вообще-то идет речь о восстановлении Windows. То есть подразумевается, что человек уже знает, что такое Windows, и по идее должен знать и про WinPE. Я уж не говорю о том, что помимо редактирования реестра она позволяет сделать много других полезных вещей: проверить системные файлы (sfc /scannow), проанализировать дамп памяти для определения причины BSODa, и т.д. То есть у того, кто занимается восстановлением Windows — ERD должен быть под рукой.

Mid 29 мая 2010, 11:49 # ↑

Тот же убунту, даже простой, можно загрузить, запустить в нём тот же chntpw и открыть куст реестра с винта. И не надо загружать WinPE, не надо юзать графический интерфейс… Но как я понял — виндузятники знают толк в извращениях.

Вам не кажется, что вы пытаетесь доказать, что стакан на половину пустой, а не на половину полный?

System32 29 мая 2010, 14:18 # ↑

Телодвижений меньше. У тех, кто занимается восстановлением виндов — WinPE должна быть под рукой. И это кагбе проще, чем морочиться с линуксами, да к тому же под winpe можно сделать намного больше.

Mid 29 мая 2010, 14:35 # ↑

По поводу возможностей — я сомневаюсь что вы занимались сравнительным анализом средств реанимации виндовсов, в частности WinPE и средств на основе unix-подобных систем, так что давайте не будет говорить утвердительно по этому поводу. К тому же учитывая ваши высказывания с торону линукса — пользоваться вы им просто напросто не умеете.

Во-вторых — зачем вы спорите? Примите вариант использования линукса, как ещё один способ. Окажись вы в ситуации, когда кроме линукса у вас больше ничего под рукой не будет, а фотрочки поднять надо. А за флешкой с WinPE надо далеко ехать. Какой вариант вы бы выбрали? В статье описан ещё один достаточно эффективный способ выполнения определённых задач, а не утверждение, что установка убунты, для восстановления виндовс — религиозно верно.

System32 29 мая 2010, 14:52 # ↑

О том, как из-под линукса сделать sfc или проанализировать дамп памяти, чтобы узнать из-за какого драйвера винды ловят циклический BSOD — я не слыхал ни разу.

Нет, ну разумеется, когда под рукой больше ничего нет… Хотя я бы не ехал за флэшкой с WinPE, а качнул бы с инета.

FranklinDKitamory 28 мая 2010, 06:28 #

Ммм спасибо! Как раз принесли жесткий диск с просьбой возродить форточки :)

Brun 28 мая 2010, 08:26 #

Пользовался 2002 года загрузочной дискеткой, которая делала тоже самое. Видимо эта программка там и была.
Спасибо за статью и за дополнения (места реестра).

xn__p2a 28 мая 2010, 10:38 # ↑

Пользовался 2002 года загрузочной дискеткой, которая делала тоже самое.

Предположу, что речь идёт про Offline NT Password & Registry Editor. Она существует ещё со времён NT4 в виде образа загрузочного флопика (позже и CD) на базе Linux.
Я сам не раз ей пользовался ещё во времена Win2k.

MAXH0 28 мая 2010, 10:38 #

Спасибо. Но чистить реестр из Убунту это «из пушки по воробьям». Есть заточенные под это дело дистры, которые и реестр почистят и данные заархвируют и вирусы погоняют. А это так… Спасти систему с 2 загрузкой, либо дать школоте осознать себя «крутыми хацкерами»… Все же установив Линукс постепенно учишься чувствовать себя не пользователем, а хозяином компа.
И еще… Оч. забавный эффект. У меня сейчас под столом стоит комп. с порно-вымогателем (принесла знакомая девушка). Я его уже без всякой Бунты сделал, но убунту девушке покажу — пусть оценит преимущества.

gladkij 28 мая 2010, 15:11 # ↑

«убунту девушке покажу» (с)

Symsym 28 мая 2010, 15:12 # ↑

это пять :)

mehanik 28 мая 2010, 11:26 #

несколько раз приходилось сбивать пароли. Hiren Boot CD- загрузочный диск с подборкой полезных утилит. среди них есть сбрасывалка паролей. пока не подводила

diky13 28 мая 2010, 17:42 #

Зачем огород городить — AVZ (антивирус Зайцева) никогда в таких случаях не подводил — все просто и без заморочек.
Автор конечно поклонник явно не Билла потому и воспользовался таким инструментом:)

david2tm 29 мая 2010, 19:22 #

а можно ли таким образом поставить ай-тьюнс на винду без админского пароля.
у меня на работе админ не дает айтьюнз установить, а портабл версия не распознает подключеный айпод… так как тот самый модуль подключения и должен быть установлен админов (или что то такое)

Guria 31 мая 2010, 11:18 # ↑

напомнило «Иван Васильевич...»:
— Скажите, это, стало быть, любую стенку можно так убрать?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Операционные системы ↓

Убунтариум