Bearbeiten der Registry über Knoppix und chntpw

Aus MK Wiki DE
Zur Navigation springen Zur Suche springen

Mit dem Programm chntpw (Change NT Password) lässt sich die Registrierungsdatenbank (engl. Registry) von Windows bearbeiten und damit auch die Kennwörter der lokalen Benutzer.

Laden der Registry in Knoppix

Zuerst muss auf jeden Fall die Partition eingebunden werden, die das Windows enthält, dessen Registry bearbeitet werden soll. Unter Knoppix klickt man dazu ganz einfach auf das entsprechende Icon am Desktop. Danach klickt man mit der rechten Maustaste auf dieses Icon und wählt "Lese/Schreibmodus ändern" und bestätigt die drauffolgende Sicherheitsabfrage. Somit kann Knoppix auf die Partition schreiben und Änderungen durchführen.

Entfernen von Programmen aus den Run-Schlüsseln

Dies ist beispielsweise nach einem Befall von Schadsoftware nötig. In Windows gibt es zwei Run-Schlüssel:

  • Jener, der alle Programme enthält, die beim Starten von Windows ausgeführt werden: Er befindet sich in der Registry im Hive HKEY_LOCAL_MACHINE und dort im Unterschlüssel SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Jener, der alle Programme enthält, die ausgeführt werden, wenn sich ein bestimmter Benutzer anmeldet: Er befindet sich im benutzerbezogenen Teil der Registry im Unterschlüssel SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Im Registrierungseditor von Windows (regedit) sieht das ganze so aus:

Reg user.PNG Reg pc.PNG

Das Programm chntpw arbeitet über die Konsole. Man klickt also im Iconbereich von KDE auf das Icon für die Konsole um diese zu starten.

Um nun den benutzerbezogenen Teil der Registry zu bearbeiten, gibt man Folgendes ein:

knoppix@Knoppix:~$ cd /media/hda1/WINDOWS/system32/config/

knoppix@Knoppix:/media/hda1/WINDOWS/system32/config$ chntpw software -e

chntpw version 0.99.3 040818, (c) Petter N Hagen openHive(software) failed: Read-only file system, trying read-only Hive's name (from header): <emRoot\System32\Config\SOFTWARE> ROOT KEY at offset: 0x001020 * Subkey indexing type is: 686c <lh> Page at 0xd17000 is not 'hbin', assuming file contains garbage at end File size 13893632 [d40000] bytes, containing 3257 pages (+ 1 headerpage) Used for data: 268626/13592664 blocks/bytes, unused: 1961/24712 blocks/bytes. Simple registry editor. ? for help.

[1020] > cd Microsoft

[847798] \Microsoft> cd Windows

[93a608] \Microsoft\Windows> cd CurrentVersion

[93a660] \Microsoft\Windows\CurrentVersion> cd Run

[9682c8] \Microsoft\Windows\CurrentVersion\Run> ls ls of node at offset 0x9682cc Node has 0 subkeys and 2 values offs size type value name [value if type DWORD] [93c9f4] 104 REG_SZ <VMware Tools> [ab022c] 104 REG_SZ <VMware User Process>

[9682c8] \Microsoft\Windows\CurrentVersion\Run> cat VMware Tools Value <VMware Tools> of type REG_SZ, data length 104 [0x68] C:\Program Files\VMware\VMware Tools\VMwareTray.exe

Um den computerbezogenen Teil zu bearbeiten, gibt man Folgendes ein:

knoppix@Knoppix:/media/hda1/WINDOWS/system32/config$ cd ../../../Documents\ and\ Settings/Administrator/ knoppix@Knoppix:/media/hda1/Documents and Settings/Administrator$ ls Application Data Favorites NetHood ntuser.ini SendTo Templates Cookies Local Settings NTUSER.DAT PrintHood Start Menu UserData Desktop My Documents ntuser.dat.LOG Recent Sti_Trace.log knoppix@Knoppix:/media/hda1/Documents and Settings/Administrator$ chntpw NTUSER.DAT -e chntpw version 0.99.3 040818, (c) Petter N Hagen openHive(NTUSER.DAT) failed: Read-only file system, trying read-only Hive's name (from header): <ttings\Administrator\ntuser.dat> ROOT KEY at offset: 0x001020 * Subkey indexing type is: 666c <lf> Page at 0xf9000 is not 'hbin', assuming file contains garbage at end File size 1048576 [100000] bytes, containing 171 pages (+ 1 headerpage) Used for data: 14285/931072 blocks/bytes, unused: 817/79264 blocks/bytes. Simple registry editor. ? for help.

[1020] > cd Software

[13940] \Software> cd Microsoft

[13bd8] \Software\Microsoft> cd Windows

[28888] \Software\Microsoft\Windows> cd CurrentVersion

[288e0] \Software\Microsoft\Windows\CurrentVersion> cd Run

[2b378] (...)\Microsoft\Windows\CurrentVersion\Run> ls ls of node at offset 0x2b37c Node has 0 subkeys and 1 values offs size type value name [value if type DWORD] [ 2b3d4] 62 REG_SZ <CTFMON.EXE>

[2b378] (...)\Microsoft\Windows\CurrentVersion\Run> cat CTFMON.EXE Value <CTFMON.EXE> of type REG_SZ, data length 62 [0x3e] C:\WINDOWS\system32\ctfmon.exe

Abgerufen von „https://wiki.mkcs.at/wikide/index.php?title=Bearbeiten_der_Registry_über_Knoppix_und_chntpw&oldid=480