File SAM trong folder "\system32\config\" chứa thông tin về tài khoản và mật khẩu của các user trên máy (dưới dạng mã hóa) và không thể sao chép, di chuyển, xóa hay mở file này khiWindows đang chạy bất kể người sử dụng logon vào máy với quyền quản trị hệ thống.
FileReg.icp (plug-in của IceSword) có thể truy cập trực tiếp xuống đĩa cứng nhờ vào các hàm của IceSword, vì thế nó có thể thao tác trực tiếp trên đĩa cứng và registry, bỏ qua 1 số thành phần hệ thống củaWindows như ntfs.sys, fastfat.sys, Windows NT Configuration Manager và tất nhiên cả rootkit (đây là tool chống rootkit).
Plug-inFileReg.icp không phân biệt được sự khác biệt giữa partition và volume. Có nghĩa là plug-in này có thể không làm việc trên các volume động (dynamic volume).
-----------------------------------------------------------------------------------------------
Mở IceSword.exe (dưới 1 tài khoản có quyền admin), vào menu Plugin/FileReg
Gõ lệnh: mount 0 0
Nếu mount thành công thì sẽ thấy như hình dưới.
Nếu báo lỗi không mount được thì gõ lệnh:
flush c:
mount 0 0
Tiếp tục gõ lệnh: copy windows\system32\config\sam c:\sam
Gõ tiếp 2 lần lệnh dir để xem có file SAM trong ổ C chưa
dir
dir
Nếu thấy như hình dưới là đã thành công
Cuối cùng, gõ lệnh:
unmount
exit
Bây giờ thì có thể thao tác thoải mái trên bản sao của file SAM, không phải mất công vào DOS.
(nguồn: http://chanret.com/showthread.php?t=30037)
FileReg.icp (plug-in của IceSword) có thể truy cập trực tiếp xuống đĩa cứng nhờ vào các hàm của IceSword, vì thế nó có thể thao tác trực tiếp trên đĩa cứng và registry, bỏ qua 1 số thành phần hệ thống củaWindows như ntfs.sys, fastfat.sys, Windows NT Configuration Manager và tất nhiên cả rootkit (đây là tool chống rootkit).
Plug-inFileReg.icp không phân biệt được sự khác biệt giữa partition và volume. Có nghĩa là plug-in này có thể không làm việc trên các volume động (dynamic volume).
-----------------------------------------------------------------------------------------------
Mở IceSword.exe (dưới 1 tài khoản có quyền admin), vào menu Plugin/FileReg
Gõ lệnh: mount 0 0
Nếu mount thành công thì sẽ thấy như hình dưới.
Nếu báo lỗi không mount được thì gõ lệnh:
flush c:
mount 0 0
Tiếp tục gõ lệnh: copy windows\system32\config\sam c:\sam
Gõ tiếp 2 lần lệnh dir để xem có file SAM trong ổ C chưa
dir
dir
Nếu thấy như hình dưới là đã thành công
Cuối cùng, gõ lệnh:
unmount
exit
Bây giờ thì có thể thao tác thoải mái trên bản sao của file SAM, không phải mất công vào DOS.
(nguồn: http://chanret.com/showthread.php?t=30037)
Không có nhận xét nào:
Đăng nhận xét