Сброс пароля, редактирование реестра Windows из Ubuntu

    В связи с вирусами в винде и невозможностью запусить regedit, понадобилась возможность редактировать реестр извне. Нашел, пока, единственную утилиту в линуксе chntpw, которая изначально разрабатывалась для сброса паролей, а потом приобрела функцию редактирования реестра.

    Редактирование реестра:


    1. Загружаемся с LiveCD или устанавливаем второй системой Ubuntu

    2. Устанавливаем утилиту chntpw

    sudo aptitude install chntpw
    3. Подключаем раздел windows

    Смотрим где он:
    sudo fdisk -l
    ищем ntfs раздел и монтируем:
    $ sudo mkdir /media/windows
    $ sudo mount /dev/sda2 /media/windows

    4. Редактируем реестр

    chntpw -l /media/windows/Windows/system32/config/software
    Редактирование осуществляется перемещением по веткам, например:
    cd Microsoft\Windows NT\CurrentVersion\Winlogon
    и самим редактированием ключей, например:
    ed Shell

    Сброс пароля:


    1. Пункты 1-3 предыдущего параграфа

    4. Смотрим у какого пользователя будем менять пароль

    chntpw -l /media/windows/Windows/system32/config/SAM
    5. Сбрасываем пароль

    chntpw /media/windows/Windows/system32/config/SAM -u Administrator

    Сразу привожу места в реестре где могут скрываться записи о запуске вирусов:


    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run


    Значения по умолчанию в Regedit:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="Explorer.exe"
    "Userinit"="C:\WINDOWS\system32\userinit.exe"


    Проверьте файл Explorer.exe на наличие двойника… правильно лежать ему в папке Windows\ но не в Windows\System32\...

    Эта статья была написана в дополнение темы борьбы с вирусами и sms-вымогателями
    Очистка windows от вирусов с помощью Ubuntu
    Метки:
    Поделиться публикацией
    Комментарии 39
    • –3
      TuneUp Utilities выручал в таких случаях, у него свой редактор реестра.
      А вообще, добавил в закладки.… на всякий случай. =)
      • –33
        Устанавливать Ubuntu только для того, чтобы сбить пароль на Windows. Да вы батенька суровы!
        • –4
          Прозелитирую немного, хотя наверно Вы правы.
          • +10
            Позвольте, а зачем устанавливать систему? Выполнить «sudo aptitude install chntpw» и подмонтировать раздел можно прямо с LiveCD.
            • +2
              Согласен на счет установки, хотя, как практика показывает, приходится то и дело перезагружаться в виндовс, а ubuntu с LiveCD довольно сильно тормозит. Получается проще установить за 20 мин, и опять же на будущее может опять пригодиться как запасной вариант.
              • +2
                На флешках зато по скорости как установленная, но это зависит от производителя флешки как ни странно, удачный опыт был с transcend v20, неудачный с kingston dt100, хотя с dt400 было уже почти как с transcend. При этом линейная скорость чтения/записи у них была почти одинаковой.
                • 0
                  Lubuntu выполняет весь функционал убунту. В конце концов: юниксвей — это консоль. Загрузились с диска, подправили строку запуска и запустили убунту быстро и без иксов.
                • +1
                  а это если давно хотел убунту да повада не было: р
              • –3
                Зря минусуете, конечно решение через live cd это удобно легально и красиво, но зачастую говорит о не умении пользоваться встроенными возможностями windows и специальными утилитами.
                В 99% случаев можно обойтись пряимими руками, установочным диском винды (замечу — без переустановки системы) и доступом к интернету. Я так Conficker лечил, когда в рунете о нем было только название.
                • 0
                  Согласен.
                  Например, в случае перехватов API проще не ковыряться в системе, а загрузиться с другого источника. Конечно же, можно раскрутить замаскированный драйвер и так, однако это займёт больше времени и усилий.
                  Переустановка системы тоже вроде некошерно, однако может быть в разы легче быстрей и необременительней.
                • 0
                  А с чем из моих слов вы несогласны? За то что удивился что автор предлагает «гвозди микроскопом забивать»?

                  Если вы работаете в linux, то описанная утилита поможет в том, чтобы поправить что-то в реестре windows. Но если вам linux нужен только чтобы сбить пароль в винде… мне это непонятно =)
                • +17
                  А можно с помощью reconstructor.org создать свой LiveCD Ubuntu со всеми необходимыми (chntpw, calm, etc..) программами.
                  (извините, если Америку не открыл, но может кто не знает еще)
                  • +1
                    вот спасибо, для некоторых Вы действительно открыли америку)
                  • –2
                    AVZ вам в помощь
                    • 0
                      как альтернативу можно использовать hireboot
                      • +7
                        ERD Commander от Марка Руссиновича, пожалуй лучшее решение
                        • +1
                          Согласен, но, боюсь сейчас набегут сторонники абсолютно бесплатного и свободного ПО.
                          • –7
                            Я вот тоже не понимаю — зачем мучаться с какими-то линуксами, если существует WinPE, и существует, самое главное — DaRT (он же — ERD Commander)? Там хоть нормальный графический интерфейс, и редактирование реестра — через тот же regedit, а не консольными командами. Как вспомнишь некоторые ветки реестра, типа HKLM/Software/Microsoft/Windows/CurrentVersion/Run, не говоря уж про всякие длинющие CLSID'ы — так аж дрожь пробирает)))))
                            • +6
                              >Там хоть нормальный графический интерфейс
                              Можно подумать это когда то было плюсов в редактировании строчек текста.

                              >Как вспомнишь некоторые ветки реестра, типа HKLM/Software/Microsoft/Windows/CurrentVersion/Run, не говоря уж про всякие длинющие CLSID'ы — так аж дрожь пробирает)))))
                              А это, можно подумать, исключительно проблема этих ваших каких-то линуксов :)
                              • –1
                                А это, можно подумать, исключительно проблема этих ваших каких-то линуксов :)

                                Я не говорил, что это — проблема линуксов. Но лазить по таким веткам будет куда как проще в графическом древовидном интерфейсе, чем набивать в консоли CLSID'ы из нескольких десятков знаков. Хотя, если тут реестр монтируется как ФС — может можно будет и каким-нить mc по нему полазить… Но все равно — для чего это все нужно, если уже есть готовые нормальные инструменты?
                                • +1
                                  >чем набивать в консоли CLSID'ы из нескольких десятков знаков
                                  facepalm.png открой для себя tab-completition

                                  >может можно будет и каким-нить mc по нему полазить… Но все равно — для чего это все нужно, если уже есть готовые нормальные инструменты?
                                  По тому, что для кого-то монтирование и mc — нормальные готовые инструменты.
                                  • 0
                                    facepalm.png открой для себя tab-completition

                                    Давно открыл. Вот тока clsid содержит вроде как 32 символа, а отличаться может всего на один… Так что как ни крути — а в графике все же проще будет.

                                    По тому, что для кого-то монтирование и mc — нормальные готовые инструменты.

                                    Для извращенцев, разве что. Потому что тот же WinPE, самый даже простой — можно загрузить, запустить в нем тот же regedit и открыть куст реестра с винта. И не надо загружать убунту, не надо ставить какие-то сторонние утилиты из репозитариев, и юзать вообще командную строку. Но как я понял — линуксоиды легких путей не ищут :)
                                    • +1
                                      >Вот тока clsid содержит вроде как 32 символа, а отличаться может всего на один…
                                      Это максимально упрощает задачу, тогда вводить надо будет всего один:.
                                      И поверх этого можно пользоваться любимым файловым менеджером.

                                      >Но как я понял — линуксоиды легких путей не ищут :)
                                      Ничего ты не понял. Линуксоиды на то и линуксоиды, что пользуются линуксом и свои проблемы решают привычными для них методами. Я понятия не имею, что из себя представляет WinPE, ERD и TuneUp Utilites, и не сильно хочу изучать их. Зато я уже сейчас знаю, что такое монтирование и текстовый редактор, а консоль для меня помощник, а не помеха.
                                      Вопрос. Зачем мне изучать что-то новое и чуждое моей идеологии, когда у меня есть равноценный и знакомый инструмент?
                                      • +1
                                        Ну в топике вообще-то идет речь о восстановлении Windows. То есть подразумевается, что человек уже знает, что такое Windows, и по идее должен знать и про WinPE. Я уж не говорю о том, что помимо редактирования реестра она позволяет сделать много других полезных вещей: проверить системные файлы (sfc /scannow), проанализировать дамп памяти для определения причины BSODa, и т.д. То есть у того, кто занимается восстановлением Windows — ERD должен быть под рукой.
                                      • 0
                                        Тот же убунту, даже простой, можно загрузить, запустить в нём тот же chntpw и открыть куст реестра с винта. И не надо загружать WinPE, не надо юзать графический интерфейс… Но как я понял — виндузятники знают толк в извращениях.

                                        Вам не кажется, что вы пытаетесь доказать, что стакан на половину пустой, а не на половину полный?
                                        • 0
                                          Телодвижений меньше. У тех, кто занимается восстановлением виндов — WinPE должна быть под рукой. И это кагбе проще, чем морочиться с линуксами, да к тому же под winpe можно сделать намного больше.
                                          • 0
                                            По поводу возможностей — я сомневаюсь что вы занимались сравнительным анализом средств реанимации виндовсов, в частности WinPE и средств на основе unix-подобных систем, так что давайте не будет говорить утвердительно по этому поводу. К тому же учитывая ваши высказывания с торону линукса — пользоваться вы им просто напросто не умеете.

                                            Во-вторых — зачем вы спорите? Примите вариант использования линукса, как ещё один способ. Окажись вы в ситуации, когда кроме линукса у вас больше ничего под рукой не будет, а фотрочки поднять надо. А за флешкой с WinPE надо далеко ехать. Какой вариант вы бы выбрали? В статье описан ещё один достаточно эффективный способ выполнения определённых задач, а не утверждение, что установка убунты, для восстановления виндовс — религиозно верно.
                                            • 0
                                              О том, как из-под линукса сделать sfc или проанализировать дамп памяти, чтобы узнать из-за какого драйвера винды ловят циклический BSOD — я не слыхал ни разу.

                                              Нет, ну разумеется, когда под рукой больше ничего нет… Хотя я бы не ехал за флэшкой с WinPE, а качнул бы с инета.
                            • 0
                              Ммм спасибо! Как раз принесли жесткий диск с просьбой возродить форточки :)
                              • 0
                                Пользовался 2002 года загрузочной дискеткой, которая делала тоже самое. Видимо эта программка там и была.
                                Спасибо за статью и за дополнения (места реестра).
                                • +1
                                  Пользовался 2002 года загрузочной дискеткой, которая делала тоже самое.
                                  Предположу, что речь идёт про Offline NT Password & Registry Editor. Она существует ещё со времён NT4 в виде образа загрузочного флопика (позже и CD) на базе Linux.
                                  Я сам не раз ей пользовался ещё во времена Win2k.
                                • 0
                                  Спасибо. Но чистить реестр из Убунту это «из пушки по воробьям». Есть заточенные под это дело дистры, которые и реестр почистят и данные заархвируют и вирусы погоняют. А это так… Спасти систему с 2 загрузкой, либо дать школоте осознать себя «крутыми хацкерами»… Все же установив Линукс постепенно учишься чувствовать себя не пользователем, а хозяином компа.
                                  И еще… Оч. забавный эффект. У меня сейчас под столом стоит комп. с порно-вымогателем (принесла знакомая девушка). Я его уже без всякой Бунты сделал, но убунту девушке покажу — пусть оценит преимущества.
                                  • +2
                                    «убунту девушке покажу» (с)
                                • НЛО прилетело и опубликовало эту надпись здесь
                                  • 0
                                    Зачем огород городить — AVZ (антивирус Зайцева) никогда в таких случаях не подводил — все просто и без заморочек.
                                    Автор конечно поклонник явно не Билла потому и воспользовался таким инструментом:)
                                    • 0
                                      а можно ли таким образом поставить ай-тьюнс на винду без админского пароля.
                                      у меня на работе админ не дает айтьюнз установить, а портабл версия не распознает подключеный айпод… так как тот самый модуль подключения и должен быть установлен админов (или что то такое)
                                      • 0
                                        напомнило «Иван Васильевич...»:
                                        — Скажите, это, стало быть, любую стенку можно так убрать?
                                      • 0
                                        Про пароли не правду пишете уважаемый
                                        Вы листинг получите примерно вот такой:
                                        | RID -|---------- Username ------------| Admin? |- Lock? --|
                                        | 01f4 | 4<8=8AB@0B>@ | ADMIN | |
                                        | 01f5 | >ABL | | dis/lock |
                                        | 03e8 | !0H0 | ADMIN | dis/lock |
                                        И сбрасывается он по RID а не по имени, на пример вот так:
                                        sudo chntpw -u 0x03e8 SAM

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.