Fakultet informacijskih tehnologija

adel@fit.ba
asist. Adel Handi

Datum: 10:04:2006

5. Windows XP Troubleshooting
5.1. Uvod
Koliko puta Vam se desilo da nakon rada na vaem raunaru, i to u vrijeme kada
bi rekli da nita ne moe biti bolje neto krene krivo. Jednostavno jedno jutro va raunar
za razliku od vas nikako nee da se probudi. Prilikom podizanja sistema dobivate razne
poruke o greci ili jednostavno va raunar ne daje nikakve znake ivota. Postoji dosta
situacija i razliitih scenarija kada i kako vam se moe dogoditi problem sa vaim
raunarom i operativnim sistemom. Ovaj workshop je jednostavno premalen, da bi mi
uradili sve te mogue scenarije, barem one koji su meni poznati
. Radi toga, kroz
kompletan workshop detaljno emo proi kroz jedan scenarij, scenarij zaboravljene
Windows XP administratorske lozinke.
Zaboravljene? Ovo moete protumaiti kako god elite, neko je zapravo tu lozinku
zaboravio, a neko eli da doe do nje bez obzira na uzrok koji je doveo to toga da je on
zapravo ne zna niti smije znati.

5.2. Scenarij (stvarna pria)

Jedno novembarsko jutro oko 8 sati zvoni telefon. Na telefonu se predstavi muki
glas i ree: Hitno nam je potrebna administratorska lozinka za taj i taj raunar moramo
neto instalirati itd.. Iznenaen ranim telefonskim pozivom, i buenjem iz sna, te tako
direktnim pitanjem jednostavno nastupila je blokada. Iako je osoba koja je upitala za
administratorsku lozinku imala pravo da je zna, jednostavno nije bilo mogue da je se
sjetim. Kasnijim razbijanjem glave i pokuavanjem, da se sjetim nije uspjelo. Lozinka je
promijenjena dan prije na koju je primijenjena nova sigurnosna politiku, no radi
iscrpljenosti nije evidentirana nigdje osim u administratorskoj (mojoj) glavi
. Da stvar
bude gora, na tom sistemu jedni korisniki raun je bio upravo taj built-in administratorski
raun i naravno file sistem je NTFS. Zatim maina na kojoj je bila ta lozinka nije jedina,
tako da je nastao prilino veliki problem. Raunar se ne smije otvarati, zbog postojanja
ganrancije, nije prikljuen nikakvoj domeni i slino.
Napomena: Zbog ovakvih stvari potrebno je imati mrenu dokumentaciju, ali takvu
da svaku promjenu i na manjim klijentskim mainama evidentirate. Ovu evidenciju ne
treba da radite svake prestupne godine, nego svaki put kada vrite bilo kakvu znaajniju
promjenu na sistemu pogotovo tako vanu kako to je promjena administratorske lozinke
kako ne bi dolo do ovoga.

5.3. Alati i programi

Postoji mnogo naina i alata na koji moete doi do zaboravljene administratorske
lozinke na Widnows XP-u ili makar njenog resetovanja, no mi emo ovdje objasniti metodu
koja e uvijek proi i ne zahtjeva nikakav posebni software. injenica je da vi moete
uraditi reinstalaciju sistema, i tako postaviti novu administratorsku lozinku no koliko to
vremena zahtjeva? Naravno uvijek moete kupiti alat recimo ako to je Windows Key
(http://www.lostpassword.com/windows-xp-2000-nt.htm) koji e vam restovati bilo koju
administratorsku lozinku i slino. No radi vanosti lozinke i njenog kasnijeg upotrebljavanja
na ostalim raunarima, mi striktno elimo da saznamo koja je to lozinka.

Uvod u operativne sisteme :: Workshop

Copyright by: FIT

Fakultet informacijskih tehnologija

adel@fit.ba
asist. Adel Handi

Za ovaj workshop kao poseban software koristiti emo neku od Live LINUX
distribucija, konkretno Knoppix ( http://www.knoppix.org/ ). Plus kao brute-force alat za
otkrivanje lozinke koristiti emo John The Ripper (http://www.openwall.com/john/ ).

5.4. Windows XP lozinke

Vjerojatno su se mnogi od vas zapitali gdje se nalaze Windows XP lozinke, tj. gdje ih
Windows smjeta. Informacije o svim korisnikim raunima na lokalnim mainama su
pohranjeni u bazu podataka koja se zove SAM (Security Accounts Manager). Ona sadri
korisniko ime, hash lozinke, pristupne dozvole.
Lokacija SAM baze je: $:\windows\system32\config\SAM
Dok ste logirani na sistem ovu SAM datoteku ne moete kopirati niti proitati. Za vjebu
probajte proitati njen sadraj ili je barem iskopirati na drugu lokaciju.
Uporedo sa ovom lokacijom takoer se kreiraju i hive klju u registri bazi na lokaciji:
hkey_local_machine\sam\sam\domains... Nita od ovoga hive kljua neete moi
vidjeti ukoliko pregledavate registri bazu preko regedit.exe,
odnosno po default-u
korisnicima je zabranjen pristup. Da bi vidjeli sadraj ovog dijela registria, pokrenite
regedt32.exe i promijenite permisije na lokaciji hkey_local_machine\sam\sam desni
klik na Permissions te dodajte korisnika koji elite da pregleda unutranjost SAM baze
kroz registri.

Slika 1. Pregledanje SAM baze

Kao to smo rekli unutar SAM baze lozinke su hashove-ove. Hash funkcije su oneway funkcije. to znai da vre samo enkripciju u jednom smjeru i da rezultat funkcije nije
mogue dekriptovati. Iz ovog moete zakljuiti da ni windows xp ne zna koja je vaa
lozinka. Za njega bitno da vi znate koja je vaa lozinka. Kada se pokuate autentificirati na
Uvod u operativne sisteme :: Workshop
Copyright by: FIT

Fakultet informacijskih tehnologija

adel@fit.ba
asist. Adel Handi

sistem, lozinka koju upiete prolazi kroz istu hasing funkciju i izlaz se uporeuje (kod hash
funkcija, isti ulaz rezultira uvijek istim izlazom) i ukoliko se hash-ovi poklapaju vi ste se
autenificirali na sistem.
Jedan od Windows alata koji prua dodatnu sigurnost SAM bazi je Syskey. On prua
dodatnu sigurnost tako to enkriptuje podatke unutar nje. Ova opcija u Windows-u XP je
ukljuena po defaultu i ne moe se iskljuiti. Potrebno je imati u vidu da je SAM baza
dodatno enkriptovana, pa tako i unutar nje hash lozinke. Klju sa kojim je ona kriptovana
se nalazi u datoteci SYSTEM.
Lokacija datoteke SYSTEM je: $:\windows\system32\config\system
Napomena: Na vaem Windows XP-u koristite lozinke due od 14 karaktera, jer sa
lozinkom veom od 14 karaktera se ne kreira LM (LAN Manager) hash
http://en.wikipedia.org/wiki/LM_hash . Ovaj LM hash se veoma lako moe probiti brute
force metodom. Takoer u Windows policy-u moete iskljuite kreiranje ovog hasha za bilo
koju veliinu lozinke. Po defaultu ovaj hash se uvijek kreira. Kako bi ga iskljuili potrebno je
uraditi sljedee:
1. Kliknite na Start, pa na Run, ukucajte regedit, i onda kliknite na OK.
2. Locirajte se na sljedei klju u registriju:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Na Edit meniju, idi te na New, te onda kliknite na DWORD vrijednost.
4. Ukucajte NoLMHash, i pritisnite ENTER.
5. Na Edit meniju, kliknite na Modify.
6. Ukucajte 1, i zatim kliknite na OK.
7. Sada restartujte raunar, i zatim promijenite lozinku.
LM hash se sada nee vie kreirati, odnosno kreirati e se ali se neete moi
autentificirati preko njega tako da vaa lozinka nee biti podlona brute force napadu.
Zapamtimo: Da bi doli do Windows lozinke, moramo nekako doi do SAM i system
datoteka koje se nalaze u $:\windows\system32\config\ direktoriju. Zatim, moraju
nam se poklopiti neke stvari, tj. da je kreiran LM hash.
5.5. Ulazak u BIOS1
Prvi dio koju trebamo uraditi kako bi doli do lozinke, jeste da u BIOS-u izmjenimo
startup sekvencu. Ukolilko imamo BIOS lozinku nema nikakvih problema da startup
sekvencu umjesto HDD Only postavimo tako da prvi startup ureaj bude CD-ROM. Mali
problem moe nastati, ukoliko imamo BIOS lozinku, garanciju na maini koju ne smijemo
otvarati, te jedan jedini OS za koji nemamo niti jednu lozinku i boot sekvencu postavljenu
na HDD only. Jedini nain jeste da probamo neke od defaultnih lozinki koji proizvoai
BIOS-a ostavljaju upravo da se rijei ovakav sluaj. este defaulte lozinke za visno do tipa
BIOS-a su: AMI!SW, AMI.KEY, HEWITT RAND za AMI BIOS; ?award, CONDO,
SWITCHES_SW, SZYX za AWARD BIOS.
Ukoliko elite da unitite garanciju ili moete da otvorite mainu nema potrebe da se
neto ekstra brinete jer je mogue forsirati BIOS da se resetuje. Ovo moete uraditi tako
to ete mu izvaditi bateriju sa matine ploe na neko vrijeme ili prespojiti CMOS jumpere
koji slue u svrhu resetovanja.

Naravno podrazumijeva se da imamo fiziki pristup maini!

Uvod u operativne sisteme :: Workshop
Copyright by: FIT

Fakultet informacijskih tehnologija

adel@fit.ba
asist. Adel Handi

Ukoliko imate mogunost logiranja na Windows XP operativni sistem sa nekim

limitiranim korisnikom, mogue je preko komande DEBUG iz DOS komandne linije restovati
BIOS unoenjem odreenih parametara:
Za AMI/AWARD BIOS:
1. Kliknite na Start, pa na Run, ukucajte cmd, i onda kliknite na OK.
2. Ukucajte debug, i pritisnite ENTER. .
3. Zatim ukucajte:
O 70 17
O 71 17
Q
4. Sada restartujte raunar, i probajte promijeniti startup sekvencu u BIOS-u.

5.5. Pokretanje Live LINUX CD-a

Kako
bi
najlake
doli
do
datoteka
SAM
i
system
sa
lokacije
$:\windows\system32\config\ mi emo iskoristiti jednu od Linux LIVE CD distribucija.
Napomena: Naravno da bi doli do ovih datoteka postoje razne metode i naini. Npr
ukoliko je FAT file sistem, vrlo jednostavno ih moemo kopirati iz DOS prompta. Ukoliko je
NTFS file sistem, moemo iskoristiti alat kao to je NTFS4DOS kako bi montirali NTFS
particiju i kopirali potrebne datoteke iz DOS prompta. Jedna od mogunosti je da moemo
jednostavno, izvaditi hard disk iz raunara gdje ne znamo lozinku, zatim ga postaviti u
drugi raunar gdje emo obaviti kompletan posao prebacivanja datoteka jednostavnim
kopiranjem. Ovakav pristup datotekama i drugom OS-u na ovaj nain nee biti mogu kod
sljedeeg Windows-a po imenu Vista. Vista e imati tehnologiju koja se naziva BitLocker, te
e vri hardware-sku enkripciju diska u suradnji sa TPM (Trusted Platform Module)
mikoipom na matinoj ploi.
Kako bi doli do zaboravljene administratorske lozinke, koristio sam AUDITOR Live
LINUX CD baziran na Knoppix-u koji u sebi ima jo neke dodatne security alate, recimo kao
to je John the Ripper alat koji e nam trebati da razbijemo LM hash iz SAM baze. Meutim,
iz prethodnog dijela mogli ste saznati, da je SAM baza dodatno kriptovana sa syskey
alatom i da se unutar nje ne nalaze samo LM hash-evi nego jo neke dodatne stvari. Alat
BKHive e nam pomoi da izvuemo boot klju za dekriptovanje SAM baze iz system
datoteke, zatim alat SAMDump koji e nam izvui korisnike naloge i LM hash, u takvoj
formi kakvoj bi ih mogao razbiti bilo koji password cracker.

AUDITOR Live Linux CD moete skinuti na ovoj lokaciji :

http://www.remote-exploit.org/index.php/Auditor_mirrors (670MB)
Napomena: Ukoliko neko od studenta eli ovaj CD, moe se javiti meni na
fakultetu. Ovo moete uraditi sa svakom Live Linux distribucijom, i ovim gore nabrojanim
alatima.

Uvod u operativne sisteme :: Workshop

Copyright by: FIT

Fakultet informacijskih tehnologija

adel@fit.ba
asist. Adel Handi

5.6. Montiranje NTFS particije na Linux sistem

Nakon to smo pokrenuli Live LINUX CD, potrebno je otii u komandnu liniju. U
komandnoj liniji emo otii tako to u KDE okruenje kliknemo na ikonicu Console (lii na
monitor).

Slika 2. Otvaranje komande linije

U komandnoj liniji prvo emo pregledati, koje je particije na naem disku otkrio Live
Linux CD. Kako bi to uradili, ukucati emo sljedeu komandu:

cat /etc/fstab
U fstab (file system table) datoteci nalazi se kompletna lista svih diskova, particija, i naina
na koji e oni biti koriteni u Linux sistemu.

Kada smo pregledali fstab datoteku, disk koji nas zanima je hda (Linux oznaka za disk na
primarnom IDE kanalu, koji je oznaen kao master), odnosno prva primarna particija na
njemu koja je oznaena sa hda1.

Uvod u operativne sisteme :: Workshop

Copyright by: FIT

Fakultet informacijskih tehnologija

adel@fit.ba
asist. Adel Handi

Slika 3. Pregled fstab datoteke

Sljedee to emo uraditi jeste da emo montirati na na sistem NTFS particiju

hda1 u direktorij /mnt/hda1. Kako bi to uradili, ukucati emo sljedeu komandu:

mount /dev/hda1 /mnt/hda1 t ntfs

Uvod u operativne sisteme :: Workshop

Copyright by: FIT

Fakultet informacijskih tehnologija

adel@fit.ba
asist. Adel Handi

EXTRA OBJANJENJE fstab i mount radi razumijevanja nee biti na testu

5.6.1 Datoteka fstab

Za vrijeme boot procesa, file sistemi koji se nalaze u /etc/fstab su automatski
uitani (osim ako su izlistani sa noauto opcijom).
/etc/fstab datoteka sadri listu linija sljedeeg formata:
device

/mount-point fstype

options

device - Ime ureaja(koje treba postojati).

mount-point -Direktorij (koji bi trebao postojati), sa kojeg se uitava file sistem.
fstype - Tip file sistema da bi se prolo uitavanje. Defaultni FreeBSD file sistemje ufs.
options - ili rw za read-write file sistem, ili ro za read only file sistem, popraeno sa bilo kojim
opcijama koje bi trebale.

Za vie informacija o naredbi fstab i opcijama koje ona sadrava Monte pogledati na
manualnoj stranici fstab tako to ukucate komandu:

man fstab
5.6.2 Komanda mount
Mount komanda je zapravo ono komanda koja se koristi za uitavanje file sistema.
U najosnovnijoj formi koristite:

mount ureaj takamonitranja

Ima mnogo opcija ove naredbe, ali najvanije su:
Mount opcije
-a
Uitava sve datoteke izlistane u /etc/fstab. Osim onih oznaenih sa noauto, isljuenih sa t zastavicom,
ili onih koji su ve uitani.
-d
Radi sve, osim pravog sistemskog poziva za uitavanje. Ova opcija je jako korisna u kombinaciji sa v
zastavicom da bi se ustvrdilo koje uitavanje treba da se uradi.
-f
Forsira mountiranje neistog ili opasnog file sistema.
-r
Mounta samo read-only file sisteme. Ovo je isto kao i da koristite ro argument -o opcije .
-t fstype
Uitava file sistem kao dati tip file sitema, ili uitava jedino file sisteme datog tipa, ako se da opcija a.
ufs je defaultni tip file sistema
-u
Update-a mount opcije file sistema
-v
Znai proiriti
-w
Mount-a file sistem read-write.
-o
opcija uzima listu opcija odvojenih zarezom;

Uvod u operativne sisteme :: Workshop

Copyright by: FIT

Fakultet informacijskih tehnologija

adel@fit.ba
asist. Adel Handi

5.7. Dolazak do datoteka

Nakon to smo montirali file sistem Windows-a XP na na disk, sada moemo pristupiti
datotekama SAM i system. Ove datoteke emo kopirati u /ramdisk folder. Kako bi to
uradili, ukucati emo sljedee komandu:

cp
cp

/mnt/hda1/WINDOWS/system32/config/SAM
/ramdisk
/mnt/hda1/WINDOWS/system32/config/system
/ramdisk

Kada smo izvrili kopiranje ovih datoteka pomou BKHive alata emo izvui bootkey iz
system datoteke kako bi mogli dekriptovati SAM bazu. Kako bi to uradili, ukucati emo
sljedeu komandu:

bkhive-linux

/ramdisk/system

/ramdisk/kljuc

Slika 4. Koritenje BKhive alata

Sada imamo kreiran bootkey u datoteci /ramdisk/kljuc na naem disku. Ovaj klju emo
iskoristiti sa alatom SAMDump kako bi proitali sadraj i izbacili hashovanu
administratorsku lozinku. Komanda koju emo ukucati je sljedea:

samdump2-linux

/ramdisk/SAM

/ramdisk/kljuc > /ramdisk/lozinke

Uvod u operativne sisteme :: Workshop

Copyright by: FIT

Fakultet informacijskih tehnologija

adel@fit.ba
asist. Adel Handi

Slika 5. Koritenje SAMDump alata i pregled hash lozinki

Sa slike 5 moemo vidjeti dumpove LM hashove u datoteci /ramdisk/lozinke. Sve to

nam sada treba je neki od alata koji moe brute force metodom razbiti lozinku.
5.8. Brute force napad na lozinke
Brute force, u najjednostavnijoj definiciji jeste testiranje svih kombinacija lozinki sve
dok se ne naie na pravu. Ova metoda se vrlo esto koristi, posebno ukoliko se posjeduje
kriptovana lozinka. Obino je broj karaktera u lozinci nepoznat, no moemo pretpostaviti da
je veina lozinki izmeu 4 i 16 karaktera. Kao to znamo za svaki karakter u lozinci postoji
oko 100 razliitih vrijednosti koji su formirani u razliite grupe (mala slova, velika slova,
brojevi i specijalni znaci). to znai da u zavisnosti od veliine lozinke to je 1004 ili 10016
kombinacija. Ukoliko se samo koriste odreene grupe (recimo mala slova) ovaj broj
kombinacija se drastino smanjuje. Kao to vidimo, iako je ovaj broj kombinacija dosta
velik, on je konaan, tako da su sve lozinke ranjive na brute force napad ali (vrijeme i
jaina procesora koja je potrebna da se razbije odgovarajua lozinka zna biti jednostavno
prevelika i neisplativa).
Prije nego to specificiramo metode koje se koriste kod brute force napada, kratko
emo samo objasniti metode enkriptovanja lozinke koje se koriste. Veina dananjih
operativnih sistema koristi neki vid hash-iranja lozinke, da bi je na neki vid zamaskirali.
Znai, radi ovog naina lozinke nikada na sistemu nisu spremljene u istom tekstu, tako
da autentifikacijski sistem postaje jo vie sigurniji. Ukoliko neko i uspije na neki nain doi
do liste lozinki nee ih moi odmah upotrijebiti, potrebno je da ih razbije .
Uvod u operativne sisteme :: Workshop
Copyright by: FIT

Fakultet informacijskih tehnologija

adel@fit.ba
asist. Adel Handi

Kada se lozinka unosi u sistem ona prolazi kroz one-way hash funkciju, i izlaz te
funkcije se snimi u hash obliku. Hash funkcije, kao to ste mogli proitati na poetku ovog
workshop-a su one-way funkcije.
Brute force pokuaji obino se svode na to da se nekako doe do liste korisnikih imena i
hash-ovanih lozinki, te se za tim testiraju sve mogue lozinke koristei istu hash funkciju i
usporeuju se izlazi. Ukoliko se nae poklapajui hash smatra se da je lozinka razbijena.
Ovakav nain upravo mi koristimo u ovim vjebama. Alat sa kojim emo brute force
metodom razbiti ovaj LM hash je John the ripper. Komanda koju emo ukucati je sljedea:

john

i:LanMan

/ramdisk/lozinke

Napomena: Ukoliko ste primijetili unutar datoteke lozinke nalaze nam se i informacije za
korisniki nalog HelpAssistent, njega mi trebalo izbrisati prije kucanja gornje komande.
On nas uopte ne zanima u ovom sluaju. Opcija i:LanMan, govori da vri inkrementalno
razbijanje lozinke i da se radi o LM (Lan Manager) hash-u.
Nakon vremena od 4 minuta John the ripper je uspio pronai lozinku. Sada moemo
resetovati sistem izvaditi Live Linux CD i logirati se kao administrator na na Windows XP
operativni sistem. Zaboravljena lozinka i trenutak blokade je iza nas, im smo vidjeli koja
je to ustvari lozinka bila. Sa ovim smo zavili sa Windows XP workshopom i lagano
prelazimo na Linux, kao to ste mogli vidjeti u prikazanom dosta linux komandi smo
korisitili. U meuprostoru izmeu Windows-a XP i Linux-a upoznati emo se sa nadolazeim
Windows OS-om Vista.

Sljedei dio: Windows Vista

Uvod u operativne sisteme :: Workshop

Copyright by: FIT

10