> > так как в свопе как я понимаю лежат именно они, а как > же > > узнать что это хэщи паролей в общей куче свопа? Ведь > > никаких прог наверняка нет, и делать нужно все руками > > Почему обязательно хеши? > ПМСМ в свопе могут лежать и сами пароли. ну и как их отличить от остальной дряни которая будет в свопе?
win2kpro, если пользователь с этого компа логинился в сетку, остался ли его пароль в каком нибудь виде у меня на компе, ну и соотвтественно могу ли я его вытащить через LC4 или ще чем нибудь. Правда входил он в другой домен сети, а не в тот в котором стоит мой кампутер.
Если он ходил с твоего компа, то поищи - тут было довольно бурное обсуждение недавно27.04.03 13:45 Автор: amirul <Serge> Статус: The Elderman
Если он ходил с твоего компа, то поищи - тут было довольно бурное обсуждение недавно27.04.03 16:15 Автор: vladik_ Статус: Незарегистрированный пользователь
нашел, но так и не понял:
1.Где еще храняться пароли кроме sam файлов?
2. Остается ли пароль юзера на моем компе, если с него он заходил под своим логином, но заходил не на мою тачку а в сетку?
В sam-е пароля нет27.04.03 16:41 Автор: amirul <Serge> Статус: The Elderman
> нашел, но так и не понял: > 1.Где еще храняться пароли кроме sam файлов? Они хранятся в памяти и в свопе. Причем их вполне реально вытащить, если не стоит очистка свопа перед выключением.
> 2. Остается ли пароль юзера на моем компе, если с него он > заходил под своим логином, но заходил не на мою тачку а в > сетку? Немного не понял. А как это заходил в сетку, не заходя на тачку?
Краткое резюме: винда не очищает буферы с паролями после ввода и обработки и при желании их можно найти.
Насколько я понимаю речь идет о хэшах..28.04.03 12:58 Автор: vladik_ Статус: Незарегистрированный пользователь
так как в свопе как я понимаю лежат именно они, а как же узнать что это хэщи паролей в общей куче свопа? Ведь никаких прог наверняка нет, и делать нужно все руками
Насколько я понимаю речь идет о хэшах..28.04.03 13:57 Автор: Yurii <Юрий> Статус: Elderman
> так как в свопе как я понимаю лежат именно они, а как же > узнать что это хэщи паролей в общей куче свопа? Ведь > никаких прог наверняка нет, и делать нужно все руками
Почему обязательно хеши?
ПМСМ в свопе могут лежать и сами пароли.
Насколько я понимаю речь идет о хэшах..28.04.03 14:05 Автор: vladik_ Статус: Незарегистрированный пользователь
> > так как в свопе как я понимаю лежат именно они, а как > же > > узнать что это хэщи паролей в общей куче свопа? Ведь > > никаких прог наверняка нет, и делать нужно все руками > > Почему обязательно хеши? > ПМСМ в свопе могут лежать и сами пароли. ну и как их отличить от остальной дряни которая будет в свопе?
Насколько я понимаю речь идет о хэшах..28.04.03 16:01 Автор: Yurii <Юрий> Статус: Elderman
>> Почему обязательно хеши?
>> ПМСМ в свопе могут лежать и сами пароли.
> ну и как их отличить от остальной дряни которая будет в свопе?
На автомате наверное никак. Во всяком случае подобных прог я не видел.
Если известна часть пароля, то можно попытаться сделать поиск в свопе
по этому известному фрагменту.
Ага28.04.03 16:55 Автор: amirul <Serge> Статус: The Elderman
> >> Почему обязательно хеши? > >> ПМСМ в свопе могут лежать и сами пароли. Ну да. Именно это я имел в виду. Это в саме лежат хеши (а паролей там нет). А плайновые пароли можно найти в общем случае только в свопе или памяти.
> > > ну и как их отличить от остальной дряни которая будет > в свопе? > > На автомате наверное никак. Во всяком случае подобных прог > я не видел. > Если известна часть пароля, то можно попытаться сделать > поиск в свопе > по этому известному фрагменту. Я описывал технологию, попробую повторить. Ищется известный пароль (например свой). Так как пароли обычно обрабатываются одними и теми же кусками кода, то рядом с самим паролем будет куча мусора - содержимое стека, кучи или еще чего нить. Причем многое из этого всего специфично для кода обработчика пароля. То бишь можно найти сигнатурку и потом искать остальные подобные куски с паролями по этой сигнатурке.
Единственное, чем больше прошло времени тем больше шансов, что место под паролями перераспределится и затрется. Так что идеальный случай - скопировать своп сразу же как только искомый чел уйдет.
> Единственное, чем больше прошло времени тем больше шансов, > что место под паролями перераспределится и затрется. Так > что идеальный случай - скопировать своп сразу же как только > искомый чел уйдет.
Где-то (может тут) пролетала идея, что после ухода товарища можно дамп
памяти сделать. В таком дампе вероятность обнаружить пароли больше будет.
Последний дебильный вопрос...29.04.03 10:51 Автор: vladik_ Статус: Незарегистрированный пользователь
> > Своп имеется ввиду win386.swp? > > или он везде разный? в вин2кпро какой? > > pagefile.sys Которая дампит \Device\PhysicalMemory и ковырять еще и физическую. Кста, если не ошибаюсь, то если отхватить SE_BACKUP_NAME (привилегия такая в NT-ях), то можно сдампить своп и без перезагрузки в другую ось. С файлами реестра/index.dat и иже с ними точно прокатывает, а вот насчет свопа - не уверен.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
