Собсно проблема вот в чем: качнул шеллом SAM и SYSTEM из %SystemRoot%\Repair\ , расбрутил, но пассы не подошли, затем взглянул на дату... (май 2005го) Попытался стянуть свеженькие из %SystemRoot%\System32\config\ , и естесно не получилось, файлы используются... Можно ли как-нить стянуть текущие SAM и SYSTEM имея только Шелл с рутовыми правами?
Ставил РАдмин, все гуд, запускается, порт открывается, но законнектиццо немогу... Виндовый фаервол поидее отключен (на попытку добавить правило кричит: "Служба не запущена."), но наставлена куча Symantec-овых муток... и то не факт, что на выходе из ждущего режима там не стоит защита паролем... так что в идеале - хотел бы стащить нормальные САМ и СИСТЕМ...
Файлы Sam и System залочены и от Администратора и от пользователя с правами System вытащить их можно ИМХО только под другой системой...
MPR работает только с копиями типа Repair, а коль они устарели, то с рабочей системы врятли ты их вытянеш, да и вообще, вопрос такой зачем они, если у тебя достаточно прав?
Ответ на твой удаленный пост wspsrv.exe 5340 fwsrv - Помойму это ядро фаервола nod32krn.exe 5052 NOD32krn - Нод может то же килять твой радмин, хотя в роде он нормально загрузился
http://wasm.ru/pub/21/files/lockfileswork/samcopy.rar Пример копирования SAM с помошью изменения прав доступа в таблице хэндлов http://wasm.ru/pub/21/files/lockfileswork/RawRead.rar Пример чтения SAM с помошью прямого доступа к тому пробуй, взято с васма =) http://wasm.ru/article.php?article=lockfileswork by ms-rem =)
madnet Попрпобовал позавершать, но они грузятся заново... внизу списка с новым ПИДом... кста, я ваще правильно делаю: "taskkill /f /pid 364 /t" ? а ваще не принципиально добить именно этот сервак, такого рода шеллов есть штук 10 с работающим РАдмином и проблема состоит в том, что при выходе из ждущего режима требует авторизацию.. Так что хотелось бы сакцентироваться на расшифровке паролей =) AHTOLLlKA Проверял эти темы? бо у мну даж на локале не пашет.. пытался разобраться в коде, но С ваще не знаю =)
