Ich bin hier, um ein interessantes Problem zu beschreiben, mit dem ich heute konfrontiert war, um einige Hinweise oder Lösungen zu erhalten.
Mein Ziel: Zugriff auf eine Windows (10)-Systemfestplatte meines Computers und deren Änderungum das „Utilman Bypass“-Szenario unter dieser brandneuen Version von M$ auszuführen.
Für diejenigen, die den Utilman-Bypass nicht kennen:http://fred151.net/en/bypass-windows-logons-with-utilman.exe-trick-and-solution/id/48 (im Wesentlichen wird die Eingabehilfe-EXE durch die Eingabeaufforderung ersetzt, damit wir beim Anmeldebildschirm Administratorzugriff haben).
Nun, nichts sehr kompliziertes bisher, aber hier kommtdas Unerwartete:
Ich starte eine aktuelle Version von Kali Live auf dem Computer, mounte die Systemfestplatte und wenn ich sie ausführe, ist das Ergebnis einfach cp utilman.exe utilman.exe.bak:Nicht unterstützter Vorgang...
Naja, mal her ls -ladamit "utilman.exe ->nicht unterstützter Analysepunkt"
Nach einigem Suchen im Internet bin ich ratlos und aktualisiere ntfs-3gdie neueste Version, die mit einer Art „Eingabe-/Ausgabefehler" anstelle der vorherigen Fehlermeldung.
Zeit zum Ausprobieren ntfsfixund chkdsk /Raus der Windows-Sitzung: Alles läuft einwandfrei und an meiner Situation hat sich nichts geändert.
Ich beschloss, einen letzten Versuch von der Windows-Installations-CD über die Rettungsaufforderung zu unternehmen und sah mich einemDas System kann nicht auf die Datei zugreifenwenn ich es versuche ren C:\Windows\System32\Utilman.exe C:\Windows\System32\Utilman.exe.bak.
Scheint mir eine komische Situation zu sein und ich frage mich, ob es sich um eine neue Sicherheitsfunktion handeln könnte, die mit dem aktuellen Windows 10 eingeführt wurde, oder ob es irgendeine Art von Dateisystemtrick gibt, den man anwenden kann.
PS: Bitte lassen Sie mich wissen, ob ich es crossposten oder in einen anderen Abschnitt verschieben soll. Ich dachte jedoch, aufgrund des Pentest-Aspekts ist es hier am besten aufgehoben.
PS2: Das Windows-System weist keinerlei Schäden auf, bootet und läuft problemlos.
Antwort1
In Ubuntu (und Linux im Allgemeinen) werden Windows NTFS-Dateisysteme vom ntfs-3g-Treiber verwaltet.
In Windows 10 hat Microsoft neue Arten von „Reparse Points“ eingeführt, die dieser Treiber nicht verarbeiten kann.
Ich würde empfehlen, Folgendes zu lesen:https://jp-andre.pagesperso-orange.fr/advanced-ntfs-3g.html
und installieren Sie die Plugins „Systemkomprimierung“ und „Deduplizierte Dateien“.
Es ist interessant – bitte sagen Sie uns, ob es geholfen hat.