Пользователь
0,0
рейтинг
28 мая 2010 в 01:05

Администрирование → Сброс пароля, редактирование реестра Windows из Ubuntu

В связи с вирусами в винде и невозможностью запусить regedit, понадобилась возможность редактировать реестр извне. Нашел, пока, единственную утилиту в линуксе chntpw, которая изначально разрабатывалась для сброса паролей, а потом приобрела функцию редактирования реестра.

Редактирование реестра:


1. Загружаемся с LiveCD или устанавливаем второй системой Ubuntu

2. Устанавливаем утилиту chntpw

sudo aptitude install chntpw
3. Подключаем раздел windows

Смотрим где он:
sudo fdisk -l
ищем ntfs раздел и монтируем:
$ sudo mkdir /media/windows
$ sudo mount /dev/sda2 /media/windows

4. Редактируем реестр

chntpw -l /media/windows/Windows/system32/config/software
Редактирование осуществляется перемещением по веткам, например:
cd Microsoft\Windows NT\CurrentVersion\Winlogon
и самим редактированием ключей, например:
ed Shell

Сброс пароля:


1. Пункты 1-3 предыдущего параграфа

4. Смотрим у какого пользователя будем менять пароль

chntpw -l /media/windows/Windows/system32/config/SAM
5. Сбрасываем пароль

chntpw /media/windows/Windows/system32/config/SAM -u Administrator

Сразу привожу места в реестре где могут скрываться записи о запуске вирусов:


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run


Значения по умолчанию в Regedit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe"


Проверьте файл Explorer.exe на наличие двойника… правильно лежать ему в папке Windows\ но не в Windows\System32\...

Эта статья была написана в дополнение темы борьбы с вирусами и sms-вымогателями
Очистка windows от вирусов с помощью Ubuntu
Степан М. @Symsym
карма
0,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Администрирование

Комментарии (38)

  • –3
    TuneUp Utilities выручал в таких случаях, у него свой редактор реестра.
    А вообще, добавил в закладки.… на всякий случай. =)
  • –33
    Устанавливать Ubuntu только для того, чтобы сбить пароль на Windows. Да вы батенька суровы!
    • –4
      Прозелитирую немного, хотя наверно Вы правы.
      • +10
        Позвольте, а зачем устанавливать систему? Выполнить «sudo aptitude install chntpw» и подмонтировать раздел можно прямо с LiveCD.
        • +2
          Согласен на счет установки, хотя, как практика показывает, приходится то и дело перезагружаться в виндовс, а ubuntu с LiveCD довольно сильно тормозит. Получается проще установить за 20 мин, и опять же на будущее может опять пригодиться как запасной вариант.
          • +2
            На флешках зато по скорости как установленная, но это зависит от производителя флешки как ни странно, удачный опыт был с transcend v20, неудачный с kingston dt100, хотя с dt400 было уже почти как с transcend. При этом линейная скорость чтения/записи у них была почти одинаковой.
          • 0
            Lubuntu выполняет весь функционал убунту. В конце концов: юниксвей — это консоль. Загрузились с диска, подправили строку запуска и запустили убунту быстро и без иксов.
        • +1
          а это если давно хотел убунту да повада не было: р
    • –3
      Зря минусуете, конечно решение через live cd это удобно легально и красиво, но зачастую говорит о не умении пользоваться встроенными возможностями windows и специальными утилитами.
      В 99% случаев можно обойтись пряимими руками, установочным диском винды (замечу — без переустановки системы) и доступом к интернету. Я так Conficker лечил, когда в рунете о нем было только название.
      • 0
        Согласен.
        Например, в случае перехватов API проще не ковыряться в системе, а загрузиться с другого источника. Конечно же, можно раскрутить замаскированный драйвер и так, однако это займёт больше времени и усилий.
        Переустановка системы тоже вроде некошерно, однако может быть в разы легче быстрей и необременительней.
    • 0
      А с чем из моих слов вы несогласны? За то что удивился что автор предлагает «гвозди микроскопом забивать»?

      Если вы работаете в linux, то описанная утилита поможет в том, чтобы поправить что-то в реестре windows. Но если вам linux нужен только чтобы сбить пароль в винде… мне это непонятно =)
  • +17
    А можно с помощью reconstructor.org создать свой LiveCD Ubuntu со всеми необходимыми (chntpw, calm, etc..) программами.
    (извините, если Америку не открыл, но может кто не знает еще)
    • +1
      вот спасибо, для некоторых Вы действительно открыли америку)
  • –2
    AVZ вам в помощь
  • 0
    как альтернативу можно использовать hireboot
  • +7
    ERD Commander от Марка Руссиновича, пожалуй лучшее решение
    • +1
      Согласен, но, боюсь сейчас набегут сторонники абсолютно бесплатного и свободного ПО.
    • –7
      Я вот тоже не понимаю — зачем мучаться с какими-то линуксами, если существует WinPE, и существует, самое главное — DaRT (он же — ERD Commander)? Там хоть нормальный графический интерфейс, и редактирование реестра — через тот же regedit, а не консольными командами. Как вспомнишь некоторые ветки реестра, типа HKLM/Software/Microsoft/Windows/CurrentVersion/Run, не говоря уж про всякие длинющие CLSID'ы — так аж дрожь пробирает)))))
      • +6
        >Там хоть нормальный графический интерфейс
        Можно подумать это когда то было плюсов в редактировании строчек текста.

        >Как вспомнишь некоторые ветки реестра, типа HKLM/Software/Microsoft/Windows/CurrentVersion/Run, не говоря уж про всякие длинющие CLSID'ы — так аж дрожь пробирает)))))
        А это, можно подумать, исключительно проблема этих ваших каких-то линуксов :)
        • –1
          А это, можно подумать, исключительно проблема этих ваших каких-то линуксов :)

          Я не говорил, что это — проблема линуксов. Но лазить по таким веткам будет куда как проще в графическом древовидном интерфейсе, чем набивать в консоли CLSID'ы из нескольких десятков знаков. Хотя, если тут реестр монтируется как ФС — может можно будет и каким-нить mc по нему полазить… Но все равно — для чего это все нужно, если уже есть готовые нормальные инструменты?
          • +1
            >чем набивать в консоли CLSID'ы из нескольких десятков знаков
            facepalm.png открой для себя tab-completition

            >может можно будет и каким-нить mc по нему полазить… Но все равно — для чего это все нужно, если уже есть готовые нормальные инструменты?
            По тому, что для кого-то монтирование и mc — нормальные готовые инструменты.
            • 0
              facepalm.png открой для себя tab-completition

              Давно открыл. Вот тока clsid содержит вроде как 32 символа, а отличаться может всего на один… Так что как ни крути — а в графике все же проще будет.

              По тому, что для кого-то монтирование и mc — нормальные готовые инструменты.

              Для извращенцев, разве что. Потому что тот же WinPE, самый даже простой — можно загрузить, запустить в нем тот же regedit и открыть куст реестра с винта. И не надо загружать убунту, не надо ставить какие-то сторонние утилиты из репозитариев, и юзать вообще командную строку. Но как я понял — линуксоиды легких путей не ищут :)
              • +1
                >Вот тока clsid содержит вроде как 32 символа, а отличаться может всего на один…
                Это максимально упрощает задачу, тогда вводить надо будет всего один:.
                И поверх этого можно пользоваться любимым файловым менеджером.

                >Но как я понял — линуксоиды легких путей не ищут :)
                Ничего ты не понял. Линуксоиды на то и линуксоиды, что пользуются линуксом и свои проблемы решают привычными для них методами. Я понятия не имею, что из себя представляет WinPE, ERD и TuneUp Utilites, и не сильно хочу изучать их. Зато я уже сейчас знаю, что такое монтирование и текстовый редактор, а консоль для меня помощник, а не помеха.
                Вопрос. Зачем мне изучать что-то новое и чуждое моей идеологии, когда у меня есть равноценный и знакомый инструмент?
                • +1
                  Ну в топике вообще-то идет речь о восстановлении Windows. То есть подразумевается, что человек уже знает, что такое Windows, и по идее должен знать и про WinPE. Я уж не говорю о том, что помимо редактирования реестра она позволяет сделать много других полезных вещей: проверить системные файлы (sfc /scannow), проанализировать дамп памяти для определения причины BSODa, и т.д. То есть у того, кто занимается восстановлением Windows — ERD должен быть под рукой.
              • 0
                Тот же убунту, даже простой, можно загрузить, запустить в нём тот же chntpw и открыть куст реестра с винта. И не надо загружать WinPE, не надо юзать графический интерфейс… Но как я понял — виндузятники знают толк в извращениях.

                Вам не кажется, что вы пытаетесь доказать, что стакан на половину пустой, а не на половину полный?
                • 0
                  Телодвижений меньше. У тех, кто занимается восстановлением виндов — WinPE должна быть под рукой. И это кагбе проще, чем морочиться с линуксами, да к тому же под winpe можно сделать намного больше.
                  • 0
                    По поводу возможностей — я сомневаюсь что вы занимались сравнительным анализом средств реанимации виндовсов, в частности WinPE и средств на основе unix-подобных систем, так что давайте не будет говорить утвердительно по этому поводу. К тому же учитывая ваши высказывания с торону линукса — пользоваться вы им просто напросто не умеете.

                    Во-вторых — зачем вы спорите? Примите вариант использования линукса, как ещё один способ. Окажись вы в ситуации, когда кроме линукса у вас больше ничего под рукой не будет, а фотрочки поднять надо. А за флешкой с WinPE надо далеко ехать. Какой вариант вы бы выбрали? В статье описан ещё один достаточно эффективный способ выполнения определённых задач, а не утверждение, что установка убунты, для восстановления виндовс — религиозно верно.
                    • 0
                      О том, как из-под линукса сделать sfc или проанализировать дамп памяти, чтобы узнать из-за какого драйвера винды ловят циклический BSOD — я не слыхал ни разу.

                      Нет, ну разумеется, когда под рукой больше ничего нет… Хотя я бы не ехал за флэшкой с WinPE, а качнул бы с инета.
  • 0
    Ммм спасибо! Как раз принесли жесткий диск с просьбой возродить форточки :)
  • 0
    Пользовался 2002 года загрузочной дискеткой, которая делала тоже самое. Видимо эта программка там и была.
    Спасибо за статью и за дополнения (места реестра).
    • +1
      Пользовался 2002 года загрузочной дискеткой, которая делала тоже самое.
      Предположу, что речь идёт про Offline NT Password & Registry Editor. Она существует ещё со времён NT4 в виде образа загрузочного флопика (позже и CD) на базе Linux.
      Я сам не раз ей пользовался ещё во времена Win2k.
  • 0
    Спасибо. Но чистить реестр из Убунту это «из пушки по воробьям». Есть заточенные под это дело дистры, которые и реестр почистят и данные заархвируют и вирусы погоняют. А это так… Спасти систему с 2 загрузкой, либо дать школоте осознать себя «крутыми хацкерами»… Все же установив Линукс постепенно учишься чувствовать себя не пользователем, а хозяином компа.
    И еще… Оч. забавный эффект. У меня сейчас под столом стоит комп. с порно-вымогателем (принесла знакомая девушка). Я его уже без всякой Бунты сделал, но убунту девушке покажу — пусть оценит преимущества.
    • +2
      «убунту девушке покажу» (с)
      • 0
        это пять :)
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Зачем огород городить — AVZ (антивирус Зайцева) никогда в таких случаях не подводил — все просто и без заморочек.
    Автор конечно поклонник явно не Билла потому и воспользовался таким инструментом:)
  • 0
    а можно ли таким образом поставить ай-тьюнс на винду без админского пароля.
    у меня на работе админ не дает айтьюнз установить, а портабл версия не распознает подключеный айпод… так как тот самый модуль подключения и должен быть установлен админов (или что то такое)
    • 0
      напомнило «Иван Васильевич...»:
      — Скажите, это, стало быть, любую стенку можно так убрать?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.