В предыдущих частях статьи я рассказывал о восстановлении паролей учетной записи пользователя при работе с операционными системами Windows XP/Vista/7 и восстановлении паролей к почте и интернет-сайтам. Следующей задачей, которой часто приходится заниматься при расследовании инцидентов, является восстановление паролей к архивам, почтовым клиентам и EFS (Encrypting File System). Об этом и пойдет речь.
Методы шифрования при архивировании данных
На сегодняшний день существует довольно много алгоритмов криптографической защиты информации в архиваторах. Однако в подавляющем большинстве архиваторов реализован, как правило, какой-либо один метод. Речь идет о наиболее распространенных архиваторах. При этом необходимо признать, что на сегодня ZIP-кодирование, как и шифрование по алгоритму DES (Data Encryption Standard), сложно назвать устойчивым. Наиболее надежным сейчас является алгоритм AES, принятый в качестве стандарта в США в 2001 году. Если посмотреть на самые популярные в странах СНГ архиваторы, то это, без сомнения, WinZip и WinRAR. Рассмотрим шифрование в этих архиваторах чуть подробнее.
В архиваторе WinZip реализовано три алгоритма шифрования:
- Standard Zip 2.0 encryption - используется по умолчанию;
- 128-it AES encryption - криптографический алгоритм AES с длиной ключа 128 разрядов;
- 256-it AES encryption - криптографический алгоритм AES с длиной ключа 256 разрядов (усиленный алгоритм шифрования).
К сожалению, как правило, пользователи применяют первый алгоритм (по умолчанию), а ведь он является наиболее слабым. Ведь если вы не знаете, с помощью какого архиватора получатель вашего архива будет распаковывать его, вы вынуждены задействовать метод по умолчанию.
Вместе с тем, необходимо подчеркнуть, что какой бы алгоритм шифрования вы ни использовали, стойкость вашего шифра в первую очередь будет зависеть от стойкости ключа. Так что при использовании шифрования необходимо применять устойчивые пароли!
К недостаткам шифрования WinZip стоит также отнести то, что WinZip не шифрует комментарии zip-файлов и такие свойства зашифрованных файлов, как наименования, даты и т. д. А ведь это весьма ценная информация для аналитика. Далеко не всякий пользователь переименовывает архивируемые файлы, а уж тем более изменяет остальные атрибуты (дата создания, изменения, размер и т. д.).
В архиваторе WinRAR применяется алгоритм шифрования AES с длиной ключа 128 разрядов. Стоит отметить, что файлы, зашифрованные в WinRAR, будут открываться и в WinZip. Однако обратное будет верно лишь для алгоритма шифрования Zip 2.0. Кроме того, стоит запомнить, что если вы решили запаковать некоторые данные в архив с шифрованием, необходимо позаботиться о надежном удалении файлов с носителя, на котором они находились. Однако это уже тема для другой статьи.
Итак, вы решили восстановить пароль к архиву. Чем? В данном случае на помощь вам придет программное обеспечение Advanced Archive Password Recovery.
Advanced Archive Password Recovery
Данное программное обеспечение предназначено для восстановления паролей к архивам Zip, RAR, ACE, ARJ.
Это программное обеспечение восстанавливает доступ к зашифрованным архивам двумя путями:
- снимает парольную защиту;
- восстанавливает оригинальный текстовый пароль.
Поддерживаемые форматы архивов - ZIP/PKZip/WinZip, RAR/WinRAR, ARJ/WinARJ, а также ACE/WinACE (1.x), созданные любыми программами-архиваторами, и самораспаковывающиеся архивы, созданные в PKZip, WinZip, RAR и WinRAR. При использовании WinZip 8.0 и более младших версий гарантируется снятие защиты в течение часа. Кроме того, стоит отметить, что при наличии хотя бы одного файла из архива весь архив будет расшифрован за минуту (для архивов в формате ZIP и ARJ).
Следующим шагом, без сомнения, является восстановление пароля к почте. Так как почтовых клиентов существует огромное количество, то здесь требуется специализированное программное обеспечение.
Восстановление паролей с помощью Advanced Mailbox Password Recovery (AMBPR)
Данное программное обеспечение предназначено для восстановления паролей следующих почтовых клиентов:
- Microsoft Internet Mail And News
- Eudora
- TheBat!
- TheBat! Voyager
- Netscape Navigator/Communicator Mail
- Pegasus mail
- Calypso mail
- FoxMail
- Phoenix Mail
- IncrediMail
- @nyMail
- QuickMail Pro
- MailThem
- Opera mail
- Kaufman Mail Warrior
- Becky! Internet Mail
Кроме того, это программное обеспечение включает эмулятор серверов POP3 и IMAP, что позволяет получать пароли POP3/IMAP из любого почтового клиента.
Вместе с тем необходимо учесть, что возможно:
- восстановление паролей даже в том случае, если почтовая программа уже деинсталлирована;
- восстановление паролей из поврежденных баз данных и установок почтовых клиентов;
- автоматический режим (отображение паролей во всех установленных программах);
- ручной режим (работа с поврежденными файлами настроек и предыдущими установками программ).
Отдельно хотелось бы упомянуть, что некоторые клиенты электронной почты, такие как Microsoft Internet Mail and News, Netscape Navigator/Communicator mail, IncrediMail и т. д., всю информацию, связанную с почтовым ящиком, хранят в реестре Windows, следовательно, при переустановке Windows такая информация будет просто утеряна.
Еще надо сказать несколько слов о мобильных почтовых клиентах. В случае утери пароля от мобильного почтового клиента все, что вы сможете сделать, это просто заменить адрес сервера POP3/IMAP в почтовой программе, установленной на мобильном устройстве, на адрес эмулятора сервера POP3/IMAP. Далее Advanced Mailbox Password Recovery перехватит и отобразит искомый пароль в тот самый миг, когда почтовая программа, запущенная на мобильном клиенте, соединится с сервером и попытается забрать новую почту.
Владимир БЕЗМАЛЫЙ
Комментарии
А кряки к проге где взять?
У разработчика. За деньги. ))))
http://tracker.org/forum/viewtopic.php?t=3278866
http://tracker.org/forum/viewtopic.php?t=3017528
шутка
Пасип!