16. August 2006

Administrator Passwort zurücksetzen

Unter Windows. Mit eEye SysRq2.


Wenn man das Windows Passwort vergessen hat, gibt es viele Möglichkeiten. Der alte Bildschirmschoner-Trick zum Beispiel. Manche Leute bearbeiten die Registry sogar mit einem Hex-Editor. Urgh. Ein vergessenes Passwort lässt sich viel leichter wiederherstellen.

"System Request" ist die englische Bezeichnung der kryptisch "S-Abf" genannten Taste auf MF-2 ("PC") Tastaturen. Die Taste kommt eigentlich von Mainframe-Terminals und ist bei PCs nutzlos.

Die Sicherheitsfirma eEye hat eine Verwendung dafür gefunden: SysRq.

SysRq ist ein ISO-Image, das mit einem geeigneten Programm auf eine CD gebrannt werden kann. Die CD enthält dann ein Mini-Programm, welches sich beim Booten in den Speicher hängt, und dann Windows normal bootet. Dabei bleibt SysRq unsichtbar im Hintergrund aktiv, und wartet auf die Tastenkombination Strg - Umschalt - S-Abf. Im Grunde ist SysRq ein Rootkit (es basiert auch auf dem BootRoot Rootkit).

Wenn man die magische Tastenkombination drückt, öffnet sich ein Fester mit einer Kommandozeile. Man muss sich dafür nicht einloggen, es funktioniert bereits vor dem Login. Hier kann man (unter anderem) das Administrator-Passwort ändern. Der Befehl dafür ist

net user BENUTZER *

Eine Anleitung bekommt man mit

net help user

Vorsicht: Seit Windows XP ist EFS (verschlüsseltes Dateisystem) mit dem Passwort des Benutzers verknüpft. Wenn man das Passwort ändert, sind die Daten ohne Wiederherstellungsschlüssel verloren. XP Home Benutzer sind davon nicht betroffen, diese Version kann kein EFS.

Windows Passwort ändern mit SysRq
  1. Booten von CD im BIOS aktivieren.
  2. Von SysRQ CD Booten.
  3. Windows wird geladen.
  4. Strg - Umschalt - S-Abf drücken.
  5. Wenn man das Passwort vergessen hat vom Benutzer "Administrator" gibt man ein: net user Administrator * Dabei wird der Befehl das alte Passwort löschen.

Getestet unter Windows XP Pro und Windows 2000 Pro, sollte aber auch unter Windows 2003 funktionieren.

Was man sonst noch mit SysRq anfangen kann, kann sich jeder selbst überlegen...


SysRQ2 Homepage

12 Kommentare:

Anonym hat gesagt…

"Wenn man das Windows Passwort vergessen hat, gibt es viele Möglichkeiten."

Stimmt. Diese Methode kannte ich noch nicht...

Anonym hat gesagt…

SysRq scheint unter Windows XP den Dienst zu verweigern, zumindest stürzt mein Rechner ab, wenn ich versuche damit zu booten.

Bei genauerer Betrachtung kann XP nichtmal das iso öffnen, aus mir unklaren Gründen. Und nein, das Archiv scheint nicht beschädigt zu sein, mehrmaliges Herunterladen von verschiedenen Quellen brachte das gleiche Ergebnis.

Zu schade, aber da ich nichts davon verstehe kann ich auch nicht herausfinden was der Grund ist.

jörg hat gesagt…

Funktioniert hier ohne Probleme unter XP.

Vielleicht mal ein anderes Brennprogramm versuchen?

Keine Ahnung ob das gut ist, ist aber Freeware:

http://www.chip.de/downloads/c1_downloads_13012277.html
http://www.burnatonce.net/downloads/

Was meinst du eigentlich mit "verschiedenen Quellen"? Downloade es von der Homepage des Herstellers!

Anonym hat gesagt…

Sorry wegen meiner ungenauen Ausdrucksweise.

Mit "verschiedene Quellen" meinte ich eben die Homepage des Herstellers, und, als das dort heruntergeladene Archiv nicht funktionierte, eben was ich noch so über Suchmaschinen an Mirrors gefunden habe, allerdings immer mit dem gleichen Ergebnis.

Ich verwende Windows XP Home, vielleicht liegt es daran.

Zum Brennen habe ich Nero 6 verwendet, aber mein Problem beginnt ja eigentlich schon beim iso selbst, das ich zwar brennen kann, aber nicht wie gewohnt mit WinRar öffnen (Warum ich das getan habe? Nur testweise...). Brenne ich das iso, erhalte ich eine CD, die sich im Explorer nicht anschauen lässt. Versuche ich von dieser CD zu booten klappt das bis kurz vor dem Anmeldebildschirm, dann stürzt der PC ab.

Ich werde trotzdem bei Gelegenheit mal ein anderes Brennprogramm versuchen.

jörg hat gesagt…

"Brenne ich das iso, erhalte ich eine CD, die sich im Explorer nicht anschauen lässt"

Das ist normal, die CD hat kein Dateisystem, nur einen Bootblock der SysRq2 lädt.

"klappt das bis kurz vor dem Anmeldebildschirm, dann stürzt der PC ab"

Möglicherweise ist SysRq2 tatsächlich inkompatibel mit deinem Rechner. Komische Hardware? USB-Tastatur?

Anonym hat gesagt…

Komische Hardware eigentlich nicht, aber meine Tastatur hängt am USB, ja.

Wenn ich nach "sysrq2" google erhalte ich allerdings einige Treffer (schon auf der ersten Seite), die auch von Inkompatibilitäten mit Windows XP berichten (z.B. http://i2tb.teamslack.net/static.php?page=static-sysrq2&PHPSESSID=54ad748d1dada6785d037cf5c81bffdc )

oder hier: http://justfriends4n0w.blogspot.com/2006/08/eeyes-sysrq2-tool.html

Irgend eine Ahnung woran das liegen könnte?

jörg hat gesagt…

Ich würde mal temporär die USB-Tastatur gegen eine normale austauschen oder einfach abziehen, dann kannst du wenigstens sagen ob es daran liegt.

Möglicherweise kann man auch im BIOS was einstellen. Manche Rechner "emulieren" eine PS2-Tastatur, wenn man eine USB anschliesst.

Anonym hat gesagt…

Führt genau zu dem selben Effekt, kurz vorm Anmeldebildschirm raucht winlogon.exe ab (Anweisung in in 0x7ffe0aee verweist auf Speicher in 0x7ffe0aee. Der Vorgang "written" konnte nicht...).

Also, an der USB-Tastatur liegts nicht.

jörg hat gesagt…

Tja... das Readme zum "Mutterprojekt" eEye Bootroot hat ein paar E-Mail Adressen. Vielleicht bringt es was den Programmierern mal freundlich zu schreiben...

Andreas hat gesagt…

Liegt am NX Feature einiger moderner CPUs (Athlon64, Intel Core)
entweder ältere CPU verwenden oder in der Boot.ini den /noexecute= Eintrag auf alwaysoff ändern.

Dieses Rootkit macht mir aber trotzdem Sorgen. Dürfte kein allzugroßes Problem sein das noexecute Feature auszuhebeln, Rechte hat man ja genug.

Anonym hat gesagt…

Tja, bekanntlich führen viele Wege nach Rom. Eben Wege... man kann aber auch die Autobahn nehmen, geht dann schneller... :-)))

Geniales Tool und so schön einfach !!!

Anonym hat gesagt…

Also habe 2 rechner bei einem geht das mit dem tool bei dem anderen jedoch startet windows immer wieder neu so wie ein reset gibt es noch ne andere möglichkeit das admin passwort zurück zu setzen? also ein anderes tool weil genau bei dem rechner der nicht geht brauche ich das tool.