双重加密仍遭“黑”
安全阵地
小张是一家IT公司的职员,每天上班的第一件事就是打开自己的电脑。然而,今天他重复这件事的时候,系统提示找到新硬件,需要安装驱动程序。搞定之后,他才发现系统中的软件几乎全消失了,而重要的文件、数据还在。难道系统被还原了?不可能,自己使用的是Windows XP系统,同时还使用了Syskey双重加密,有谁能进入自己的电脑系统?小张带着满腹疑惑找到了反黑刀……
案情分析
解析Syskey双重加密
接到小张的“报案”,反黑刀着实吃了一惊,按理说使用Syskey双重加密,系统应该很安全了,没想到捣乱者的手段竟如此高明。反黑刀打算先分析一下Syskey 双重加密,看看捣乱者是从何处找到突破口的。
Windows 2000/XP系统提供了良好的密码保护机制,输入正确的用户名和密码后才能进入系统。但这样并不能保证系统绝对的安全,利用一些软件或通过工具破解系统中SAM账号密码数据文件,就可轻松突破密码限制。为了系统安全,很多朋友都使用了Windows 2000/XP自带的Syskey命令来进行系统双重加密。
1.使用Syskey设置双重开机密码
在系统中的账号密码数据文件已经被加密了,采用普通方法无法看到真实的内容,但使用一些软件就可以轻易看到,而Syskey能对这个账号密码数据文件进行二次加密,这样更能保证系统的安全。同时它还能设置启动密码,这个密码先于用户密码之前,因此起到双重保护的功能(以Windows XP为例)。
①在“运行”栏中输入“syskey”就可启动加密。点击“确定”后就可完成对SAM文件(它保存了Windows中所有的用户名和密码)的二次加密工作。
②如果要设置双重启动密码,可点击“更新”进入密码设置窗口进行设置(图1)。
进行上述设置后,在启动系统时系统会先要求输入启动密码,接着才会出现用户和密码的输入界面。
提示:这个加密功能一旦启动是无法关闭的。唯一的解决办法就是在开启之前备份注册表,需要关闭时恢复备份的注册表即可。取消启动密码很简单,在启动密码设置窗口中选择“在本机上保存启动密码”,输入设定的启动密码即可使启动时不再显示启动密码窗口。
2.创建“开机软盘”
使用上述方法虽然在一定程度上增强了安全性,但如果有人偷窥到了你的密码,那么安全问题还是存在,要真正做到绝对安全,还需要随身带上一把系统开机“钥匙”。利用Syskey能创建“开机钥匙”,在开机时插入这把“钥匙”才能进入系统。
在启动密码设置窗口中,选择“在软盘上保存启动密码”,此时会提示输入所设定的启动密码。接着插入软盘,密码文件会被保存在软盘上。
提示:密码软盘中的文件可以被复制到其他软盘上,同时软盘也是极易损坏的,所以用户必须保护好自己的软盘。
设置完成后,下次启动机器时,首先会提示插入密码软盘,验证成功后才能进入系统。
小张虽然没有创建“开机软盘”,但双重加密后,他的系统比普通系统安全了很多,而且从他报案的情况来看显然不是别人知道他的启动密码而登录了他的系统。究竟是谁“动”了他的电脑呢?根据实际情况来看,系统似乎被还原到了刚安装完毕时的状态,那么所谓的“黑客”究竟采用了什么方法突破Syskey双重加密的呢?反黑刀进行了苦苦的思索……
突击侦破
系统还原法被利用了
某些人对系统文件夹研究比较透彻,在Windows 2000/XP系统的安装目录(假设在X盘)中有一个“repair”文件夹,其中保存的就是系统安装完毕后首次启动时创建的注册表备份文件(图2)。
“如果别人用这个注册表备份文件来替换当前系统中的注册表信息文件,那么系统就会被恢复到刚安装完系统时的状态”,反黑刀凭借自己多年积累的安全知识大胆地对整个“案件”进行了推断。他甚至还在脑海中重现了捣乱者进行破坏的一幕:
捣乱者首先使用Windows XP安装光盘引导系统,进入系统故障恢复控制台,然后将“X:\Windows\system32\config”中的文件替换为“repair”文件夹中的文件。具体操作命令如下:
copy windows\repair\sam c:\windows\system32\config
copy windows\repair\system c:\windows\system32\config
copy windows\repair\security c:\windows\system32\config
copy windows\repair\software c:\windows\system32\config
copy windows\repair\default c:\windows\system32\config
完成以上替换操作后,重新启动计算机就能清除Syskey密码,此时就可以Administrator用户身份登录系统。这样,捣乱者可以轻易突破Syskey的限制。
由于“repair”文件夹中的注册表文件信息是系统安装完毕时生成的,用这个注册表文件覆盖当前系统的注册表信息后,必然导致大部分的软件和硬件信息丢失,因此进入系统后,需要重新安装软件和硬件方面的程序并重新建立用户信息。
现在,小张总算明白了机器出现安装硬件驱动的提示、软件全部消失的根本原因。由于他的资料和数据并没有丢失,看来捣乱者只是想挑战一下Syskey加密。
小张突然想到前一阵自己刚学会Syskey双重加密时曾扬言自己的系统无人能破,要是谁能破就请吃大餐,看来办公室里对电脑颇有研究的小王很值得怀疑……
反黑刀支招
防范措施要彻底
系统安全是大家都非常关心的问题,大家都在寻觅各种有效的防范方法。本来Syskey加密的系统已经非常安全了,但总有如小王这样的挑战者。针对这类的破解,我们一定要看好自己的爱机,输入密码时不能让别人看见,不给一些居心叵测的人下手的机会。
当然,我们还可采用市面上比较流行的闪存电脑锁来保护自己的系统(图3)。电脑锁的主要功能是防止他人非法使用自己的电脑,并可自行设定电脑锁定时间等,建议对安全性要求特别高的用户使用。
