Sakarā ar Windows vīrusiem un neiespējamību palaist regedit, nācās meklēt iespēju rediģēt reģistru no ārpuses. Atradu pagaidām vienīgo linux utīlitu chntpw, kura sākumā tika izstrādāta lai nomestu paroles, bet vēlāk arī ieguva reģistra rediģēšanas funkciju.
Reģistra rediģēšana:
1. Ielādējamies no LiveCD vai arī uzstādam Ubuntu kā otro sistēmu
2. uzinstalējam chntpw utīlitu:
sudo aptitude install chntpw3. Pieslēdzam Windows partīciju:
Skatamies kura tā ir:
sudo fdisk -l
meklējam ntfs partīciju un piemontējam:
$ sudo mkdir /media/windows
$ sudo mount /dev/sda2 /media/windows
4. rediģējam reģistru:
chntpw -l /media/windows/Windows/system32/config/softwareRediģēšana īstenojas pārvietojoties pa zariem, piemēram:
cd Microsoft\Windows NT\CurrentVersion\Winlogon
un ar pašu atslēgu rediģēšanu, piemēram:
ed ShellParoles nomešana:
1. Punkti 1-3 no iepriekšējā paragrāfa
4. Skatamies kuram lietotājam mainīsim paroli:
chntpw -l /media/windows/Windows/system32/config/SAM
5. Nometam paroli:
chntpw /media/windows/Windows/system32/config/SAM -u AdministratorUzreiz parādīšu vietas reģistrā, kur var slēpties ieraksti par vīrusu palaišanu:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Noklusētās vērtības iekš Regedit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe"
Pārbaudiet failu Explorer.exe - vai tam nav uzradies dubultnieks… Tam būtu jāatrodas mapē Windows\, bet ne Windows\System32\...
Avots
No comments:
Post a Comment