Windowsのログインパスワードを忘れた際に使える『Ophcrack』の操作でつまづいた事例
法人のお客さまの管理パソコンで、ご担当者の退職などの理由から、パソコン内のデータのバックアップ(外部メディアや別のパソコンに保存)とリカバリーをご依頼いただくケースがあります。
通常であれば、必要情報をメディアに書き出して、リカバリー及び必要なアップデートを施し、ご依頼主にお渡しして完了。となるのですが、ごく希にログインパスワードが分からなくなり、当該機器単体ではデータの退避(バックアップ)ができないというケースに遭遇する場合があります。
この場合、HDDパスワードがかかっているのでなければ、HDDそのものを取り出し、別のPCにUSB経由で接続し、可能な限りのデータを救出する、という方法をとります。
ですが、対象のパソコンにしかインストールされていないアプリケーションがあって、そのアカウント情報やライセンス情報などが見つからない場合、リカバリーしてしまうと、バックアップしたデータが使えなくなったり、アプリケーションそのものが使えなくなったりして、バックアップが無駄になってしまう場合があります。
そういった場合で、幸い?Windowsのログインパスワードが分からないだけであれば、『Ophcrack』というツールでパスワードを割り出せる場合が多々あります。
リリースから既に数年経過し、直近で使った際のバージョンは、3.6.0 です。
過去のバージョンを使った際の挙動がどうだったか?は実はあまり覚えてないのですが(躓いた記憶がないので)、今回は2点、躓いたことがありましたので、情報を記しておこうと思います。
(残念ながら、類似する記載に巡り会わなかったので)
まず、その1。
最新のPCを利用中か、USB3.0の拡張カードを増設しているPCを利用中の場合に限定されますが、LiveCDから起動し、automatiを選択しても、xHCIドライバ適用後、解析に入る前にカーネルがUSBデバイスからの応答待ちのまま無応答になります。
増設カードをお使いのデスクトップ機であれば、USB3.0拡張カードを取り外すことで対応できると思われますが、最新のPCでUSB3.0がオンボードで搭載されているもの(例えばノートPCは、まさにそれです)の場合は、LiveCDを利用せずUSBデバイスを使用することで回避できるかもしれません。
現在、手元に最新機種がないので、入手したら追記したいと思います。
次に、その2。
WindowsVista/7版限定の事象のようですが…
LiveCDから起動し、automatiを選択すると、本来はそのまま自動的にパスワード解析に突入~。のはずなのですが(少なくともXP版ではそう)、なにやらテキストメッセージが表示されてプロンプト表示になってしまいます。
(利用者のPC環境に起因するのかもしれませんが一例として)
まぁ、メッセージから推察してアクションすればいいのですが、プロンプトの直前に表示されている、
run '○○○○○○○○○○○○○○○○○○○○○○○○○○'
と書かれている'~'の部分を、プロンプトの後に、大文字小文字間違えることなく入力してEnter!
これで、ようやくパスワード解析が開始します。
これまで、automatiを選択するとGUIでアプリケーションが走る、という認識でしたが、このバージョンの場合?(この時の環境の場合?)、CUI(キャラクター表示モード)でアプリケーションが走り、GUIモードの時と同様にパスワードの解析が行われ、ちゃんとパスワードを吐きだしてくれました。
結果として問題はありませんが、何らかの環境の違いで?(バージョンの違いで?)異なる操作をしないと結果にたどり着けない場合があるようでした。
ということで、他のサイトで記載されている『Ophcrackの使い方』がうまくいかなかった方のための補足記事を書いてみました。