การใช้งานคอมพิวเตอร์

ตอนที่  40

ไฟล์ SAM (Security
Accounts Manager )

 

                                SAM (Security
Accounts Manager) เป็นไฟล์เก็บข้อมูลของชื่อผู้ใช้ (User
Name) และรหัสผ่าน
(
Password) ที่ใช้เข้าสู่ระบบปฏิบัติการ โดยปกติจะถูกเก็บโดยการเข้ารหัสไฟล์แบบ
LM Hash (Cryptographic hash) ไว้ที่โฟลเดอร์ C:\WINDOWS\SYSTEM32\Config   ไม่สามารถอ่านหรือเขียนข้อมูลในโฟลเดอร์นี้ได้โดยตรง

                                ใน Windows รุ่นใหม่นั้นสามารถจัดเก็บไฟล์
SAM เข้ารหัสแบบ NTLM Hash แต่ต้องเข้าไปกำหนดเอาเองผ่านทาง
Registry Editorโดยดำเนินการดังนี้

1        
คลิก Start > Run

2        
พิมพ์คำว่า Regedit ลงในช่อง Open แล้วคลิก OK

3        
ดับเบิลคลิก HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

4        
ดับเบิลคลิกที่ค่า nolmhash

5        
ในหน้าต่าง Edit DWORD Value ที่ช่อง Value
data ให้เปลี่ยนค่าจาก 0 เป็น 1

6        
คลิก OK

                                การกระทำดังกล่าวข้างต้นนั้นเป็นการป้องกันพวก
Hacker เข้ามาถอดรหัสชื่อผู้ใช้ (User Name) และรหัสผ่าน (Password) การเข้ารหัสไฟล์แบบ LM
Hash (Cryptographic hash)
มีความซับซ้อนน้อยกว่าแบบ
NTLM Hash แต่สามารถใช้กับWindows
รุ่นเก่าได้

                                อย่างไรก็ตามถึงแม้จะเข้ารหัสแบบใหม่ให้กับไฟล์
SAM แล้ว แต่ก็ยังมีโปรแกรมถอดรหัส User
Name และPassword ได้อยู่ดี ฉะนั้นการตั้ง Password
ควรให้มีความซับซ้อนและปลอดภัยในเบื้องต้นซึ่งจะทำให้การถอดรหัสยากมากขึ้นและใช้เวลามากขึ้นนั่นเอง

                                 การถอดรหัส User Name และPassword ได้นั้นจำเป็นต้องมีการเข้ามาติดตั้งโปรแกรมในเครื่องเป้าหมายเสียก่อน  เมื่อเครื่องถูกป้องกันด้วย Password พวก Hacker
ก็สามารถเข้ามาถอดรหัสได้โดยการใช้โปรแกรมแบบพกพาหรือแบบ Portableไม่ต้องติดตั้งในเครื่อง แต่ก็ต้องสร้าง Flash Drive หรือแผ่น CD/DVD
สำหรับบู๊ตเครื่องขึ้นมาเสียก่อน แล้วจะต้องเข้ามาปรับเปลี่ยนค่าใน BIOS
ให้บู๊ตเครื่องจาก Flash Drive หรือแผ่น CD/DVD ด้วย

                                ถ้าคอมพิวเตอร์ที่เราใช้เป็นเครื่องส่วนตัวก็ไม่ต้องระมัดระวังในเรื่องการจะถูกถอดรหัส
เพราะไม่ได้ไปให้คนอื่นมาใช้ร่วมด้วยอยู่แล้ว 
แต่ถ้าเป็นเครื่องสาธารณะจะต้องระมัดระวังรหัสต่าง ๆ ของเราเป็นพิเศษด้วย

                                การใช้คอมพิวเตอร์ที่เป็นเครื่องสาธารณะนั้น
พยายามอย่าใช้คุณสมบัติที่เรียกกันว่า
Auto Complete Password   กล่าวคืออย่า Log On โดยยอมให้เครื่องจดจำรหัสผ่านเป็นอันขาด
หรือถ้าเลิกใช้งานแล้วก็ให้ยกเลิกคุณสมบัตินี้เสีย
โดยการเข้าไปยกเลิกผ่านทางโปรแกรม
IE ดังนี้

1        
คลิกเมนู Tool > Internet Options

                                2        
คลิกแท็ป Content ในส่วนของ AutoComplete ให้คลิก Settings แล้วคลิกยกเลิกการใช้ AutoComplete
ในช่อง User names and passwords on form ถ้าจะให้ดีก็ยกเลิกในช่อง
Forms ด้วย

3        
คลิก OK

4        
คลิกแท็ป General ในส่วนของ Browsing
history ให้คลิก Delete

5        
คลิก Delete forms และ Delete
passwords

                                พวก Hacker รู้อยู่ว่าคนใช้งานคอมพิวเตอร์นั้นมีความระมัดระวังอยู่พอสมควรแต่ก็มักจะมีช่องโหว่อยู่เสมอ  ถ้า Hacker เข้ามาติดตั้งโปรแกรมในเครื่องได้แล้วก็เป็นอันจบกันเพราะมันจะซ่อนไฟล์โปรแกรมจารกรรมไม่ให้คนใช้งานเครื่องได้เห็นง่าย
ๆ เช่น โปรแกรมดักจับการใช้งานคีย์บอร์ด หรือการถอดรหัสแบบ
Key Logger ซึ่งสามารถทำงานใน Stealth Mode ซ่อนตัวไม่ให้ใครเห็นการทำงานของมัน
เมื่อมีการใช้งานคีย์บอร์ด โปรแกรมจะบันทึกข้อมูลในรูปแบบไฟล์
Text หรือ HTML ซึ่ง Hacker จะมาดึงข้อมูลพวกนี้ภายหลังจากที่บุคคลเป้าหมายใช้งานคอมพิวเตอร์ไปได้ระยะเวลาหนึ่งแล้ว  
แต่เราสามารถทำการป้องกันเรื่องนี้ได้โดยติดตั้งโปรแกรมป้องกันการถอดรหัสแบบ
Key Logger 
ซึ่งเราสามารถตรวจสอบและกำจัดโปรแกรมแบบ
Key Logger ออกไปได้  แต่วิธีที่ดีที่สุดก็คือให้เลือกใช้โปรแกรมคีย์บอร์ดเสมือน(On-Screen Keyboard) ซึ่งมาพร้อมกับ Windows XP เราสามารถใช้เมาส์คลิกตัวอักษรเพื่อพิมพ์
Passwordได้ โปรแกรมแบบ Key Logger มันไม่สามารถดักจับการใช้แป้นพิมพ์ในกรณีนี้

                                ตัวอย่างการใช้โปรแกรมประเภท
Key Logger

                                Family
Keylogger
เป็นโปรแกรมขนาดเล็ก
มีประสิทธิภาพในการดักจับการใช้งานบนคีย์บอร์ดได้ดี หามาทดลองใช้ได้ที่
www.spyarsenal.com  ดูชื่อเว็บไซต์แล้วก็รู้ทันทีว่าเป็นโปรแกรมสปาย เมื่อติดตั้งโปรแกรมนี้
ค่า
default จะอยู่ที่โฟลเดอร์ C:\WINDOWS\System32\mwmmgr  ( ซึ่งถ้าเป็นโปรแกรมธรรมดา ๆ
ปกติไฟล์โปรแกรมติดตั้งจะต้องอยู่ที่
C:\Program Files)
เมื่อติดตั้งแล้วจะมี
Icon บริเวณมุมล่างขวาหน้าจอ   พวก Hacker จะปรับแต่งองค์ทรงเครื่องและซ่อนตัวไอคอน
ทำงานใน
Stealth Mode ดังนี้

1        
คลิกขวาที่ Icon เลือก Options…

                                2        
จะปรากฏหน้าต่างและการเลือกปรับค่าในการทำงาน เช่น
ทำงานใน
hidden
mode ซ่อน
task list and
explorer  ทำงานอัตโนมัติเมื่อสตาร์ทเครื่อง  ซ่อน shortcuts และรายชื่อโปรแกรมเพื่อยกเลิกการติดตั้ง
  ในหน้าต่างนี้ยังถามอีกว่า Want
more features ? Just tell us ! อยากได้อะไรอีกให้บอกมาได้เลย  แสดงว่าสนับสนุนการซุ่มซ่อนจริง ๆ

3        
คลิก OK

4        
คลิกขวาที่ Icon เลือก Hide icon

5        
จะมีหน้าต่างโผล่ขึ้นมาบอกว่าถ้าจะเลิกซ่อนไอคอนให้คลิก
CTR+ALT+SHIFT+F

6        
คลิก OK

                                เมื่อมีการใช้งานคีย์บอร์ดโปรแกรมจะบันทึกข้อมูลไว้ซึ่ง
Hacker จะมาดึงข้อมูลภายหลังจากที่บุคคลเป้าหมายใช้งานคอมพิวเตอร์ไปได้ระยะเวลาหนึ่งแล้ว
วิธีกลับมาเอาข้อมูลก็ต้องคลิกเลิกซ่อนไอคอน
CTR+ALT+SHIFT+F แล้วไปคลิกขวาไอคอน
เลือก
View log ซึ่งโปรแกรม Notepad จะเปิดขึ้นมา
และแสดงข้อมูลการใช้คีย์บอร์ด นำมาวิเคราะห์หา
Password ได้อย่างง่ายดายทันทีเลย

วิธีการใช้งานโปรแกรม
จะมีรายละเอียดบอกอยู่ในไฟล์
mwmmgr โดยเข้าไปดูดังนี้

1        
ไปที่ Folder Options สั่งแสดงโฟลเดอร์ที่ถูกซ่อน

2        
ไปที่ C:\WINDOWS\System32\mwmmgr   มองหาโฟลเดอร์ที่ชื่อว่า
mwmmgr

3        
ดับเบิลคลิกโฟลเดอร์ mwmmgr

รายละเอียดจะอยู่ในนี้ทั้งหมด

                                เมื่อ Hacker ได้ Password ไปแล้วข้อมูลของเราก็ถูกขโมยต่อไปอีกหลายอย่าง ข้อมูลสำคัญที่อยู่ในเครื่อง
ส่วนใหญ่เรามักจะคลิกยอมให้เครื่องมันจำ
Password ทั้งนี้เพื่อสะดวกในการใช้  ไม่ว่าจะเป็นรหัสผ่านของ E-Mail หรือ Messenger ของค่ายต่าง ๆ หรือข้อมูลที่ใช้บน IE
ตลอดจนไฟล์ Zip และไฟล์ PDF และ…และ…และอะไรอีกเยอะแยะเลยละครับ
เว็บไซต์ที่มีโปรแกรมสำหรับถอดรหัสโปรแกรมต่าง ๆ ที่มีผู้นิยมไปดาว์นโหลดมาใช้คือ
www.nirsoft.net  ซึ่งพวกเราน่าจะนำไปศึกษาดูนะครับ

ข้อความนี้ถูกเขียนใน คอมพิวเตอร์และอินเทอร์เน็ต คั่นหน้า ลิงก์ถาวร

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s