←مرجع→ محل ذخيره پسورد هاي ذخيره شده در ويندوز!

دوستان از اونجا كه تاپيك هاي زيادي در اين زمينه ديده مي شود، گفتم يك تاپيك مرجع درست كنم تا در كنا هم به بحث در اين رابطه بپردازيم.

در اين تاپيك قصد داريم محل ذخيره پسوردهايي كه در گوشه و كنار ويندوز XP ديده مي شود، را پيدا كنيم.
و به روش هاي مختلفي براي دي كد كردن شون اشاره كنيم.

البته لازم به ذكر است كه بگوييم اين كار غير ممكن نيست از اونجا كه ما به وجود برنامه هايي مثل Dialupass كه رمز Dial-up را به دست مي آورد، يا Hiren's boot كه يكي از ابزارش براي ري استور كردن پسورد يا از بين بردن پسورد User Accont است؛ آگاه هستيم.

البته برنامه هايي كه براي بازيابي پسورد هاي ذخيره شده در جاهاي مختلف هستند، در بعضي از موارد ناتوان مي مانند. در اين موارد پسورد ها پشت asterisk پنهان نمي شوند و براي اين برنامه ها قابل شناسايي نيستند. از جمله جاهايي كه از اين روش استفاده ميشه مي توان به موارد زير اشاره كرد:
Netscape 6.x (Passwords in the Web page)
Dialup and network passwords in Windows 2000
Windows NT/2000/XP user management tools.

در اين موارد اگر شما از برنامه ي ‍Actman password Recovery و امثالهم استفاده كنيد (برنامه هايي كه پسورد هاي ذخيره شده به صورت * را به متن تبديل مي كند) جواب نمي گيريد. من خودم به ششخصه امتحان كرده ام.
خوب با توجه به آنچه گفتم، به شما هم توصيه مي شه از مرورگر NetScape استفاده كنيد تا از روش حمله به كوكي هاي ذخيره شده هك نشويد!


باتشكر...

دوستان من هودم به شخصه نمي دونم اين پسورد ها كجا ذخيره مي شوند. پس براي اين كه فعلا تاپيك يه خورده رونق بگيره به معرفي چند برنامه براي انجام اين كارها مي پردازيم.


براي به دست آوردن پسورد Dial-up Connection ، همون طور كه در پست قبل گفته ام ميشه از برنامه Dialupass استفاده كرد.
اين برنامه به صورت يك پك اجرايي هست و نيازي به نصب ندارد.

کد:

---

http://www.nirsoft.net/utils/dialupass2.zip

---

حجم : 40 KB

WOW!

اين برنامه هم دقيقا همون كار را براي Network connection ها از قبيل Wireless ها يا Local area.

Network Password Recovery

کد:

---

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

---

تمامي اين برنامه از كوكي هاي ذخيره شده در مرورگر استفاده مي كنند.

اولين برنامه:

براي بازيابي پسورد فقط ايميل از بازيابي POP3/IMAP/SMTP .

Mail PassView

کد:

---

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

---

دومين برنامه:
براي بازيابي تمامي پسورد هاي ذخيره شده در مرورگرها و Outlook.(البته به نظر مياد كه روي Opera كار نكنه)

کد:

---

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

---

سومين برنامه:
براي بازيابي پسورد از massengerها.

کد:

---

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

---

چهارمين برنامه:
برنامه اي فوق الهاده براي به دست آوردن تمامي پسوردهايي كه از طريق يك شبكه منتقل ميشه.
SniffPass

کد:

---

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

---

نقل قول:

---

سومين برنامه:
براي بازيابي پسورد از massengerها.

---

سلام
تاپیک خوبی میشه !
ولی در نظر داشته باشید این برنامه فقط از روی کوکی اقدام به بازیابی پسورد میکنه ...
یعنی اگه شما تحت وب با یک مسنجر انلاین شده باشید ..
مثلا برای من پسورد جی میل ام رو داد با عنوان Google Talk .. چون توی Gmail دست راست پنلی هست برای چت آنلاین ...
اگه ممکنه برنامه ای قرار بدید تا پسورد یاهو مسنجر رو با استفاده از ویندوز به دست بیاره چون من شاهد بودم افرادی که پسورد خود رو خیلی زیاد عوض میکنند اونا رو فراموش میکنند !

خوب اين حرف شما غير ممكن هست. چون تمامي پسورد هاي مرتبط با اينترنت يا در كوكي ها ذحيره مي شوند، يا در قسمت مربوطه در خود برنامه.

پس براي امثال اين پسوردها چنين چيزي را نميشه پيدا كرد.

دوستان نظري ندارند؟
در حقيقت افراد خيلي كمي هستند كه بدانند اين پسوردها دقيقا كجا ذخيره مي شوند. ما در اين تاپيك قصدمون اين است كه با مشاركت هم ديگه و با دنبال كردن سر نخ ها به محل آنها دست رسي پيدا كنيم.

من چند تا ايده براي شروع كار ميدم.
بعضي از پسورد ها مرتبط با يك User account مخصوص است، پس به احتمال زياد يا در پوشه User مورد نظر در پوشه Documents and Settings است يا به نحوي در محلي ذخيره شده كه با اسم اون User نام گذاري شده.

بغضي ها هم كه اصلا ربطي به User ندارند بايد در جاي مربوطه ذخيره شده باشند. مثلا هيچ كدوم از شما هيچ ايده اي داريد كه DATA هاي مرتبط با network يا coonection ها در كدام فايل سيستمي ذخيره ميشود؟
براي مثال؛ من اين فايل را مشكوك مي دونم:

کد:

---

فايل هاي موجود در دايركتوري زير:
C:\WINDOWS\WinSxS
پوشه هاي:
x86_Microsoft.Windows.Networking.RtcRes_6595b64144ccf1df_5.2.2.3_en_16a24bc0
x86_Microsoft.Windows.Networking.RtcDll_6595b64144ccf1df_5.2.2.3_x-ww_d6bd8b95
x86_Microsoft.Windows.Networking.Dxmrtp_6595b64144ccf1df_5.2.2.3_x-ww_468466a7

---

البته ايده جالبي كه به نظر من رسيد اين است كه از برنامه هايي مثل Internet Security ها استفاده كنيم. اين برنامه تمامي فعاليت هاي ويندوز را زير نظر دارند و دقيقا به ما مي گويند كه اگر شبكه اي در حال بر قراري ارتباط است، از چه مسيري در حال اجرا است

فكر مي كنم بهترين ابزاري كه مي تونم در رابطه با موضوع اين تاپيك معرفي كنم اين برنامه باشه

کد:

---

DLL Export Viewer

---

اين برنامه فوق العاده همه ي همه ي چيزهايي را كه توسط CPU پردازش و بعد از آن export شده را نمايش مي دهد و با كليك كردن بر روي ان محل فايل آن را به شما نمايش مي دهد.
و شما به راحتي با يك debugger اطلاعات داخل آن را استخراج مي كنيد

اين هم لينك براي دانلود اين برنامه:

کد:

---

http://www.nirsoft.net/utils/dllexp.zip

---

مثل اينكه من بايد خودم تنهايي اين تاپيك را بگردانم! ...

يه چيزي را در پست اول گفته بودم، حالا مي خوام يه خورده توضيح در موردش بدم.
اگر توجه كنيد مي بينيد كه در پست اول از چيزي به اسم asterisk حرف زدم.

در واقع asterisk به معني با علامت ستاره(*) چيزي را نشان دادن ، مي باشد.
هميشه پسوردها به اين شكل نمايش داده مي شوند ولي اين به اين معني نيست كه هميشه به همين روش ذخيره مي شوند.
شما وقتي مي خواهيد پسورد را وارد كنيد، كاركترها را وارد مي كنيد ولي همه به صورت * نمايش داده مي شوند اين به اين معني نيست كه حقيقت اين كاركترها * است بلكه كاركتر ها در text box ي كه آنها را در آن وارد مي كنيد، وجود دارند ولي فقط شكل نمايشي آنها به صورت * است و در واقع پشت ستاره ها پنهان شده اند و اين همون معني asterisk است. در اين موارد شما مي توانيد از برنامه ي Asterisk Password Recovery استفاده كنيد تا پسورد را از اختفا خارج كنيد.
د اكثر موارد پسورد ها به همين شكل ذخيره مي شوند و تنها در خفاي asterisk هستند. در اين موارد به راحتي پسوردها قابل بازيابي هستند.
شايد شما هم بگوييد چه طور مرورگر NetScape با تمامي ضعف هايي كه صاحب نظران به سيستم امنيتي آن گرفته اند مي تواند پسورد شما را محفوظ نگاه دارد؟
جواب اين است كه در اين مورد NetScape قوي ظاهر شده است، زيرا كه اين مرورگر پسوردهاي خود را به هنگام ذخيره كردن به روش asterisk ذخيره نمي كند.
همان طور كه رد پست اول هم گفتم، موارد زير از اين روش براي حفظ امنيت پسوردها استفاده مي كنند:

کد:

---

Netscape 6.x (Passwords in the Web page)
Dialup and network passwords in Windows 2000
Windows NT/2000/XP user management tools

---

ميشه گفت در اين موارد پسورد ها واقعا در text box قرار ندارند و ستاره هايي كه مشاهده مي شوند فقط ستاره هستند و تنها به پسوردي كه در محلي امن ذخيره شده اند اشاره دارند.

باز هم خودم...

اون قديما persian tools هم انجمن داشت. من يك سري آموزش كركينك را از اونجا كش رفته بودم و تبديل به PDF كردم. البته اون موقع ها در دوران علافي با بچه ها يك وبلاگ را مي گردونديم كه از وقتي من ازش رفتم به گل نشتسته!براي همين در اين مقاله هايي كه قرار دادم احتمالا اسم اون وبلاگ را پيدا مي كنيد.(اگر به اون وبلاگه سر نزنين، سنگين تر هستيد!)

حالا گفتم اين مقاله ها رو قرار بدم تا شما بتوانيد پسورد هايي را كه در يك فايل اجرايي ذخيره شده بازيابي كنيد.
كه به اين معني است كه اگر شما فايل user32.dll را در system32 به اين روش دي كامپايل كنيد مي توانيد پسورد را به دست آوريد.

کد:

---

http://lordlord.persiangig.ir/other/cracking1.pdf
http://lordlord.persiangig.ir/other/cracking2.pdf
http://lordlord.persiangig.ir/other/cracking3.pdf
http://lordlord.persiangig.ir/other/cracking4.pdf

---