撰写ThinApp下的发现
通过使用Vmware ThinApp对PowerShadow进行追踪,发现PowerShadow8.5.5的密码储存在C:\Windows\System32\PsConfig.set文件中,存储在C:\Program Files\PowerShadow\Data中的PsConfig.set文件可能仅仅只是记录了程序的安装信息。
因此,我们只需要在WinPe模式下使用初次安装PowerShadow时保存在System32目录下的PsConfig.set文件替换掉已经忘掉正常模式密码下的PsConfig.set文件,重新启动计算机,你会惊讶的发现,PowerShadow已经恢复了初始安装时候的配置。
此时,无论是需要重置密码还是卸载程序,完全都不是问题了。
但是需要注意的一件事就是,千万不可以直接将System32目录下的PsConfig.set文件删除,否则会导致PowerShadow在启动的时候无法正常加载配置而导致计算机无法开机。
OllyDbg带来的意外惊喜
而我面临的是一个很极端的情况,电脑无法从外部USB/DVD设备中启动WinPe,因而,无法通过替换的配置文件替换的方式从正常模式启动PC,从PsConfig.set这个配置文件中解出密码就成了当务之急,但经过一个下午的编码和测试,最终只有放弃从PsConfig.set破解密码的想法,一是不知道加密的方式(虽然能定位到password所在的位置),二是这个配置文件完全不遵循标准二进制文件的模式。因此需要知道这个程序是如何运作的,这个时候就需要使用到OllyDbg(2.00)(1.10的版本也可以,貌似,此处未测试)。但没等程序的运作模式,就发现了另一个令人震惊的操作。
从OllyDbg启动ShadowMaster.exe(也可以直接从桌面选择影子系统的启动快捷方式),然后在OllyDbg中选择运行,此时打开影子系统控制台,直接选择正常模式,要求用户输入密码,不管你知不知道密码,直接点确认。此时回到OllyDbg,继续点运行。再回到影子系统控制台,已经发现提示变成了确认重启到正常模式吗?随便选择一个确认或者取消都可以。回到OllyDbg,继续点运行,计算机重启到正常模式。
在正常模式下可以选择卸载影子模式或者替换System32下的PsConfig.set文件使之恢复初始安装状态。
关于安全模式
Windows XP下无法从安全模式卸载影子系统,在该版本系统下,影子系统的驱动可以正常载入到系统中。从Windows7开始,影子系统可以在安全模式下进行卸载,文件更换等操作。