Сьогодні на роботі спантеличили: принесли ноутбук і попросили відновити випадково видалені дані. Правда жорсткий диск зашифрований через True Crypt і пароль від входу в Windows забутий. Благо пароль від самого True Crypt є =)

Запишу свої дії щоб не забути деякі нюанси.

Рішення завдання було таким: завантажитися з будь-якого Live CD де є True Crypt, в нього змонтувати жорсткий диск, доступ до реєстру на зашифрованістю диску і скинути пароль на Windows. Після чого завантажитися в Windows зі скинутим паролем і відновити дані за допомогою призначеного для цього ПО.

Live CD базуються на Windows XP завантажуватися ніяк не хотіли: спочатку вилітали в синій екран з лайкою на ACPI, потім з лайкою на включений SATA в BIOS, а потім зупинялися на підвантаження драйверів.

Вирішив підійти з іншого боку: грузиться з Live CD на Linux, він не такий шкідливий.

• Беремо легендарну, серед хакерів, складання Kali Linux (колишній BackTrack) і вантажимося в неї.
• Запускаємо True Crypt
• У головному вікні інтерфейсу тиснемо на кнопку "Select Device" і вибираємо логічний диск, який повинен бути диском C:
• Далі монтуємо: тиснемо кнопку "Mount" і в вискочила вікні тиснемо на кнопку "Mount Options"
• У нас зашифрований жорсткий диск, а не контейнер, тому ставимо галочку біля "Mount Partition using system encryption (preboot authentication)":

• Вводимо пароль від зашифрованого жорсткого диска.
• Переконуємося що логічний диск коректно примонтировать: у мене на робочому столі Kali Linux з'явився ярлик на логічний диск.
• Запускаємо командний рядок і переходимо в папку з SAM файлом - Security Account Manager, базі даних містить інформацію про облікові записи Windows. Дивіться куди у Вас змонтувати диск. У Linux в імені файлів регістр має значення, дотримуйтесь його:

cd / media / truecrypt1 / Windows / System32 / config /

Далі беремо на озброєння утиліту яка дозволить поміняти або обнулити пароль до облікового запису в Windows. Вводимо команду щоб подивитися список облікових записів:

chntpw -l SAM

побачимо щось подібне до цього:

chntpw version 0.99.6 080526 (sixtyfour), (c) Petter N Hagen Hive <SAM> name (from header): <\ SystemRoot \ System32 \ Config \ SAM> ROOT KEY at offset: 0x001020 * Subkey indexing type is: 666c < lf> Page at 0x7000 is not 'hbin', assuming file contains garbage at end File size 262144 [40000] bytes, containing 6 pages (+ 1 headerpage) Used for data: 246/20160 blocks / bytes, unused: 22/4224 blocks / bytes. * SAM policy limits: Failed logins before lockout is: 0 Minimum password length: 0 Password history count: 0 | RID - | ---------- Username ------------ | Admin? | - Lock? - | | 01f4 | 4 <8 = 8AB @ 0B> @ | ADMIN | dis / lock | | 01f5 | > ABL | | dis / lock | | 03e8 | ! 0H0 | ADMIN | dis / lock |

Для Windows 7 вийде скинути пароль тільки в облікового запису вбудованого адміністратора, при спробі редагувати інші облікові записи дані не зберігаються.

Обліковий запис вбудованого адміністратора це "01f4 | 4 <8 = 8AB @ 0B> @". Якщо у Вас російська Windows, то RID (01f4) і Username (4 <8 = 8AB @ 0B> @) будуть ті ж.

Приступаємо до редагування облікового запису вбудованого адміністратора, вводимо команду:

chntpw -u 0x01f4 SAM

У відповідь отримуємо:

Minimum password length: 0 Password history count: 0 | RID - | ---------- Username ------------ | Admin? | - Lock? - | | 01f4 | 4 <8 = 8AB @ 0B> @ | ADMIN | | | 01f5 | > ABL | | dis / lock | | 03e8 | ! 0H0 | ADMIN | dis / lock | -------> SYSKEY CHECK <-------- SYSTEM SecureBoot: -1 -> Not Set (not installed, good!) SAM Account \ F: 0 -> off SECURITY PolSecretEncryptionKey: -1 - > not Set (OK if this is NT4) Syskey not installed! RID 1000 [03e8] Username:! 0H0 fullname: comment: homedir: User is member of 1 groups: 00000220 = 4 <8 = 8AB @ 0B> @K (which has 2 members) Account bits: 0x0214 = [X] Disabled | [] Homedir req. | [] Passwd not req. | [] Temp. duplicate | [X] Normal account | [] NMS account | [] Domain trust ac | [] Wks trust act. | [] Srv trust act | [X] Pwd do not expir | [] Auto lockout | [] (Unknown 0x08) | [] (Unknown 0x10) | [] (Unknown 0x20) | [] (Unknown 0x40) | Failed login count: 1, while max tries is: 0 Total login count: 250 - - - - User Edit Menu: 1 - Clear (blank) user password 2 - Edit (set new) user password (careful with this on XP or Vista ) 3 - Promote user (make user an administrator) 4 - Unlock and enable user account [probably locked now] q - Quit editing user, back to user select Select:

Рахунок швидше за все буде заблокована, вводимо "4" щоб розблокувати учетку і погоджуємося із записом змін.

Далі знову вводимо команду: "chntpw -u 0x01f4 SAM" і переконуємося що тепер запис розблокована, тобто такий напис без хрестика: "[] Disabled"

Тепер нам залишилося обнулити пароль: вводимо "1" і знову погоджуємося із записом змін.

Можна перезавантажуватися і входити в Windows під обліковим записом вбудованого адміністратора з порожнім паролем (просто натиснути Enter), не забудьте вказати авторизацію саме на локальній машині, а не в домені.

Далі беру флешку з набором портативних програм - Liberkey . І запускаю програму Recuva.

У Recuva рекомендую:

• Перейти в "розширений режим" - кнопка правому верхньому куті.
• Натиснути кнопку "Налаштування"
• Вкладка "General": вибираємо російську мову
• Вкладка "Дії": відзначаємо галочками "Показувати файли з прихованих папок", "Показувати надійно видалені файли", "Глибокий аналіз", "Відновлювати структуру папок" і тиснемо "ОК"
• У головному вікні в списку, що випадає біля кнопки "Аналіз" рекомендую вказати необхідний тип даних, навряд чи вам знадобитися відновлювати все підряд і копатися серед купи системних файлів. Можна перерахувати необхідні типи файлів: "* .jpg | * .png | * .raw | * .gif | * .jpeg | * .bmp | * .tif"
• Тиснемо кнопку "Аналіз". Чекаємо поки пройде аналіз.
• Відзначаємо знайдені файли і тиснемо кнопку "Відновити". Зелений колір - файли можна відновити, жовтий, червоний - як пощастить.

Відновлювати природно потрібно на той диск, де не зберігаються втрачені файли, інакше можете перезаписати загублені дані. Чим менше комп'ютер працював після видалення файлів - тим більше шансів на їх відновлення. Служби які активно використовують жорсткий диск краще відразу ж відключити щоб уникнути записи даних поверх віддаленої інформації - наприклад антивірус. Краще завантажуватися в безпечному режимі.

Для відновлення даних ще начебто непогана програма Runtime GetDataBack for NTFS, але вона мені не знадобилася.

PS: тільки після я згадав про хитрому методі, для якого не потрібні ніякі утиліти скидання пароля, все що потрібно - доступ до файлів диска C: \

Сподобалося? =) Поділися з друзями: