Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
| | | | | |
Насколько я понимаю речь идет о хэшах.. 28.04.03 14:05 Число просмотров: 950
Автор: vladik_ Статус: Незарегистрированный пользователь
|
> > так как в свопе как я понимаю лежат именно они, а как
> же
> > узнать что это хэщи паролей в общей куче свопа? Ведь
> > никаких прог наверняка нет, и делать нужно все руками
>
> Почему обязательно хеши?
> ПМСМ в свопе могут лежать и сами пароли.
ну и как их отличить от остальной дряни которая будет в свопе?
|
|
<beginners>
|
Очень простой вопрос 27.04.03 10:41
Автор: vladik_ Статус: Незарегистрированный пользователь
|
|
win2kpro, если пользователь с этого компа логинился в сетку, остался ли его пароль в каком нибудь виде у меня на компе, ну и соотвтественно могу ли я его вытащить через LC4 или ще чем нибудь. Правда входил он в другой домен сети, а не в тот в котором стоит мой кампутер.
|
|
Если он ходил с твоего компа, то поищи - тут было довольно бурное обсуждение недавно 27.04.03 13:45
Автор: amirul <Serge> Статус: The Elderman
|
|
|
| |
Если он ходил с твоего компа, то поищи - тут было довольно бурное обсуждение недавно 27.04.03 16:15
Автор: vladik_ Статус: Незарегистрированный пользователь
|
нашел, но так и не понял:
1.Где еще храняться пароли кроме sam файлов?
2. Остается ли пароль юзера на моем компе, если с него он заходил под своим логином, но заходил не на мою тачку а в сетку?
|
| | |
В sam-е пароля нет 27.04.03 16:41
Автор: amirul <Serge> Статус: The Elderman
|
> нашел, но так и не понял:
> 1.Где еще храняться пароли кроме sam файлов?
Они хранятся в памяти и в свопе. Причем их вполне реально вытащить, если не стоит очистка свопа перед выключением.
> 2. Остается ли пароль юзера на моем компе, если с него он
> заходил под своим логином, но заходил не на мою тачку а в
> сетку?
Немного не понял. А как это заходил в сетку, не заходя на тачку?
Краткое резюме: винда не очищает буферы с паролями после ввода и обработки и при желании их можно найти.
|
| | | |
Насколько я понимаю речь идет о хэшах.. 28.04.03 12:58
Автор: vladik_ Статус: Незарегистрированный пользователь
|
|
так как в свопе как я понимаю лежат именно они, а как же узнать что это хэщи паролей в общей куче свопа? Ведь никаких прог наверняка нет, и делать нужно все руками
|
| | | | |
Насколько я понимаю речь идет о хэшах.. 28.04.03 13:57
Автор: Yurii <Юрий> Статус: Elderman
|
> так как в свопе как я понимаю лежат именно они, а как же
> узнать что это хэщи паролей в общей куче свопа? Ведь
> никаких прог наверняка нет, и делать нужно все руками
Почему обязательно хеши?
ПМСМ в свопе могут лежать и сами пароли.
|
| | | | | |
Насколько я понимаю речь идет о хэшах.. 28.04.03 14:05
Автор: vladik_ Статус: Незарегистрированный пользователь
|
> > так как в свопе как я понимаю лежат именно они, а как
> же
> > узнать что это хэщи паролей в общей куче свопа? Ведь
> > никаких прог наверняка нет, и делать нужно все руками
>
> Почему обязательно хеши?
> ПМСМ в свопе могут лежать и сами пароли.
ну и как их отличить от остальной дряни которая будет в свопе?
|
| | | | | | |
Насколько я понимаю речь идет о хэшах.. 28.04.03 16:01
Автор: Yurii <Юрий> Статус: Elderman
|
>> Почему обязательно хеши?
>> ПМСМ в свопе могут лежать и сами пароли.
> ну и как их отличить от остальной дряни которая будет в свопе?
На автомате наверное никак. Во всяком случае подобных прог я не видел.
Если известна часть пароля, то можно попытаться сделать поиск в свопе
по этому известному фрагменту.
|
| | | | | | | |
Ага 28.04.03 16:55
Автор: amirul <Serge> Статус: The Elderman
|
> >> Почему обязательно хеши?
> >> ПМСМ в свопе могут лежать и сами пароли.
Ну да. Именно это я имел в виду. Это в саме лежат хеши (а паролей там нет). А плайновые пароли можно найти в общем случае только в свопе или памяти.
>
> > ну и как их отличить от остальной дряни которая будет
> в свопе?
>
> На автомате наверное никак. Во всяком случае подобных прог
> я не видел.
> Если известна часть пароля, то можно попытаться сделать
> поиск в свопе
> по этому известному фрагменту.
Я описывал технологию, попробую повторить. Ищется известный пароль (например свой). Так как пароли обычно обрабатываются одними и теми же кусками кода, то рядом с самим паролем будет куча мусора - содержимое стека, кучи или еще чего нить. Причем многое из этого всего специфично для кода обработчика пароля. То бишь можно найти сигнатурку и потом искать остальные подобные куски с паролями по этой сигнатурке.
Единственное, чем больше прошло времени тем больше шансов, что место под паролями перераспределится и затрется. Так что идеальный случай - скопировать своп сразу же как только искомый чел уйдет.
|
| | | | | | | | |
Ага 29.04.03 07:57
Автор: Yurii <Юрий> Статус: Elderman
|
> Единственное, чем больше прошло времени тем больше шансов,
> что место под паролями перераспределится и затрется. Так
> что идеальный случай - скопировать своп сразу же как только
> искомый чел уйдет.
Где-то (может тут) пролетала идея, что после ухода товарища можно дамп
памяти сделать. В таком дампе вероятность обнаружить пароли больше будет.
|
| | | | | | | | | |
Последний дебильный вопрос... 29.04.03 10:51
Автор: vladik_ Статус: Незарегистрированный пользователь
|
Своп имеется ввиду win386.swp?
или он везде разный? в вин2кпро какой?
|
| | | | | | | | | | |
Последний дебильный вопрос... 29.04.03 12:18
Автор: Yurii <Юрий> Статус: Elderman
|
> Своп имеется ввиду win386.swp?
> или он везде разный? в вин2кпро какой?
pagefile.sys
|
| | | | | | | | | | | |
Кроме того можно написать програмулину 29.04.03 14:48
Автор: amirul <Serge> Статус: The Elderman
|
> > Своп имеется ввиду win386.swp?
> > или он везде разный? в вин2кпро какой?
>
> pagefile.sys
Которая дампит \Device\PhysicalMemory и ковырять еще и физическую. Кста, если не ошибаюсь, то если отхватить SE_BACKUP_NAME (привилегия такая в NT-ях), то можно сдампить своп и без перезагрузки в другую ось. С файлами реестра/index.dat и иже с ними точно прокатывает, а вот насчет свопа - не уверен.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
