Windows 2000、XP、2003 登录密码恢复攻略 2000、XP、2003, 登录密码恢复攻略, 密码, 攻略, Windows

superadmin

Windows 2000、XP、2003登录密码恢复攻略
Rock2000
2006.07
一、删除SAM文件，清除Administrator账号密码
二、从SAM文件中查找密码
1.L0phtCrack (LC)
2.LCP
3.SamInside pro
三、用Net User命令恢复系统登陆用户密码
四、用密码重设盘设新密码
五、修改屏保文件法
六、使用软件修改密码
1 .Windows XP 2000 NT Password Recovery Key
2.CleanPwd
3.Offline NT Password & Registry Editor
4.Winternals Administrator's ERD Commander 2002/2003/2005
5.用O&O Bluecon2000强制更改Windows2000本地管理员密码
6.不用修改密码登陆Windows 2000/XP---DreamPackPL
7.Active@ Password Changer Pro
七、古老的密技——输入法漏洞篇
八、不朽的力量——黑客技术篇
九、远程偷您没商量
1.用PWDUMP4获取密码
2.用findpass和pulist获取密码
十、如何在Windows 2003中得到登陆密码
10大最危险的杀人玩具

删除SAM文件，清除Administrator账号密码


适用系统：Windows 2000

Windows 2000所在的Winnt\System32\Config下有个SAM文件(即账号密码数据库文件)，它保存了Windows 2000中所有的用户名和密码。当你登录的时候系统就会把你键入的用户名和密码。与SAM文件中的加密数据进行校对，如果两者完全符合，则会顺利进入系统，否则将无法登录，因此我们可以使用删除SAM文件的方法来恢复管理员密码。

用Windows PE、Bart PE、NTFSDOS等启动，删除SAM文件后重新启动，此时管理员Administrator账号已经没有密码了，这时你可以用 Administrator帐户登录系统，不用输入任何密码，进入系统后再重新设置你的管理员账户密码即可。

小提示：

这方法不能在Windows XP/2003上使用，如果删除SAM文件，会引起系统崩溃。

WindowsNT/2000/XP中对用户账户的安全管理使用了安全账号管理器（Security AccountManager，SAM）的机制，安全账号管理器对账号的管理是通过安全标识进行的，安全标识在账号创建时就同时创建，一旦账号被删除，安全标识也同时被删除。安全标识是惟一的，即使是相同的用户名，在每次创建时获得的安全标识都是完全不同的。因此，一旦某个账号被删除，它的安全标识就不再存在了，即使用相同的用户名重建账号，也会被赋予不同的安全标识，不会保留原未的权限。

安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。SAM文件是WindowsNT/2000/XP的用户账户数据库，所有用户的登录名及口令等相关信息部会保存在这个文件中。

另外，在Windows XP中，将\WINDOWS\repair\sam文件复制到\WINDOWS\system32\config\目录下覆盖掉原有的文件（如果不放心可以先备份一下原有的SAM文件），Administrator帐号的密码即为空的了。

如有可能，建议使用其它方法。

优点：使用简单
缺点：破坏安全标识，不能在Windows XP、Windows 2003 使用，如果用EFS加密，加密破坏，数据丢失。



从SAM文件中查找密码


采用特殊软件，从本地系统或远程系统的SAM文件中，采用密码字典或暴力破解方法，查找出登录密码。此种方法可以找出原始是用户名何密码，但是，按机器性能不同，可能需时很长。

这类软件比较出名的有L0phtCrack (LC)、LCP和SamInside pro，三个软件要求有管理员(Administrator)权限才能安装，如果没有管理员权限（登录密码丢失了），怎么安装？可以借助 DreamPackPL进入Windows安装，或用Bart PE或Windows PE启动运行软件，不过L0phtCrack (LC)并不能在此种环境下运行。

优点：不破坏原系统密码，对于用EFS加密数据很重要。
缺点：速度慢可能需要几天甚至几个年。
　
下面分别介绍个软件简单使用方法
L0phtCrack (LC)
LCP
SamInside pro

superadmin

目前版本：v5.04
运行环境：Windows 2000/XP/2003 管理员权限下 Unix
支持系统：Windows NT/2000/XP/2003 Unix
软件主页：http://www.atstake.com
现在已经被Symantec（诺顿）收购整合 主页：http://www.symantec.com

著名的美国计算机安全公司@Stake出品的Window/Unix密码查找软件LC4/LC5，是由美国波士顿著名的黑客团体L0pht Heavy Industries被@Stake公司招安后的产品，很可惜，2004 年 10 月，@Stake公司也被Symantec赛门铁克收购，最后能得到的版本是LC5 v5.04，现在已经不能见到其后续版本出版，其软件已经整合到Symantec公司软件中，这是商业软件，未注册有功能限制。这里提供可以注册版 LC5。

L0phtCrack是商业软件，安装后不注册有功能限制，并且需要有管理员权限才能安装，如果因为登录密码丢失导致失去管理员，可以借助 DreamPackPL进入Windows安装，并且建议采用Administrator Edition的unlock Code进行注册。下面介绍简单使用过程。
1.运行LC5，默认是运行LC5 Wizard，我们取消后并新建一个任务（New Session）
2.在进行密码破解之前，先进行破解模式及破解字典进行设置（Session--->Session Options），如下图：
3.设置完毕，可以开始导入本地SAM文件或其它文件（Session －>Import)进行破解，或通过嗅探器导入远程数据包进行破解（Session －>Import From Sniffer...)，后者需要安装WinPcap。
4.一般来说，我们是导入本地SAM文件或其它文件（Session －>Import)进行破解，如果想破解本机其它用户的用户名及密码，直接选“Local machine”就可以，如果是破解网内其它其中机器的，选择“Remote machine”，选择机器即可。可以直接导入SAM文件、LC4项目文件、PWDUMP取得的文件或Unix文件。
SAM文件位于X:\WINDOWS\system32\config，可以加载其它系统、DOS（NTFS分区需启动NTFSDOS）、Linux、 Windows PE、Bart's PE下启动，但是，如果系统密码经过Syskey双重加密，就不能直接用LC5直接导入SAM文件，需要用PWDUMP获取。
5.完成以上步骤，之后点击“Session->Begin Audit”，或按快捷键“F4”，或按快捷工具栏的“u”开始破解，视密码复杂程度、密码长度和机器性能，有时很快就等到结果，如果时间过长，还可以暂停，保存破解状态留待下次接着运行。

优点：安全，可以完全恢复原用户名和密码，EFS加密可以完整恢复。
缺点：破解时间长，不能破解Windows XP SYSKEY加密的密码。
luosen1003 2006-12-17 10:22
LCP

目前版本：v5.04 免费软件
软件网址：http://www.lcpsoft.com
运行环境：Windows 2000/XP/2003 管理员权限下、Windows PE、Bart's PE
支持系统：Windows NT/2000/XP/2003

LCP,它可以用来检测Windows、UNIX 用户是否使用了不安全的密码，同样也是最快的Win NT/2000/XP/UNIX 管理员帐号密码破解工具之一，类似SAMInside Pro或 L0phtCrack（LC），可以在Windows下安装使用，重要的是还可以Windows PE、Bart's PE使用，因为这样，可以在忘记管理员登录密码下不借助其它机器或工具就可以破解密码，在事实证明，简单的或容易遭受破解的管理员密码是最大的安全威胁之一，因为攻击者往往以合法的身份登陆计算机系统而不被察觉。

LCP and SID&User 自由软件
Main purpose of LCP program is user account passwords auditing and recovery in Windows NT/2000/XP/2003. General features of this product:
Accounts information import:
import from local computer;
import from remote computer;
import from SAM file;
import from .LC file;
import from .LCS file;
import from PwDump file;
import from Sniff file;
Passwords recovery:
dictionary attack;
hybrid of dictionary and brute force attacks;
brute force attack;
Brute force session distribution:
sessions distribution;
sessions combining;
Hashes computing:
LM and NT hashes computing by password;
LM and NT response computing by password and server challenge.
与L0phtcrack比较
Feature
LC5
LCP
Password auditing and recovery:

典型使用方法：
1.在菜单中，选择Import－>Import From SAM File...，，可以从本机、远程机器、SAM文件、LC项目文件、LCS项目文件、PwDump文件或Sniff文件导入，注意，如果是用 Windows PE/ Bart's PE启动电脑的，不要使用Import From local Computer...选项，因为这项在这光盘仅能获得本PE系统的登录名和密码，实际上本光盘登录密码是空的，如下图：
2.在SAM file Name中，选择需要导入的SAM文件，通常是在需破解的系统的Windows\system32\config目录下，可以直接键入目录和文件名，如 C:\Windows\system32\config\SAM,在SYSTEM key file name中键入C:\Windows\system32\config\system，如下图
3.F4或在菜单Session－>Begin Audit或按“w”按钮，开始密码破解，此时如果用户密码是一弱密码，将很快显示出了，如用户Administrator的密码是“123”，如下图

其它选项和用法请参考软件网页和SAMInside Pro或 L0phtCrack（LC）的使用方法。

优点：安全，可以完全恢复原用户名和密码，EFS加密可以完整恢复，支持破解Windows XP SYSKEY加密的密码。
缺点：破解时间长。

superadmin

SAMInside Pro

目前版本：v2.5.5.1
软件网址：http://www.insidepro.com/
运行环境：Windows 2000/XP/2003 管理员权限下、Windows PE、Bart's PE
支持系统：Windows NT/2000/XP/2003

InsidePro SAMInside可 “暴力” 破解 NT密码（LMHash/NTHash ）的软件，该软件没设字典功能，而是从你选定的字符里组合去破解你得到的LMHash/NTHash，且可以同时对几个LMHash/NTHash进行暴力破解，速度不受影响。
类似L0phtCrack（LC） 或LCP， 但比LC5功能强大，可以在Windows下安装使用，重要的是还可以Windows PE、Bart's PE使用，因为这样，可以在忘记管理员登录密码下不借助其它机器或工具就可以破解密码，
简单用法：
1.启动SAMInside Pro
2.导入本地系统SAM和SYSTEM或SYSKEY文件，当然，也可以从LC项目文件、LCS项目文件、PwDump文件或Sniff文件导入，如下图。
3.注意，SAM文件是系统的SAM文件，非本光盘上的SAM文件，一般是在X:\WINDOWS\SYSTEM32\CONFIG目录下，打开SAM文件时，一般提示要打开SYSTEM文件，也是在该目录下。
4.最后，按查找键（就是那镜子），即可开始破解。

优点：安全，可以完全恢复原用户名和密码，EFS加密可以完整恢复，支持破解Windows XP SYSKEY加密的密码。
缺点：破解时间长。
luosen1003 2006-12-17 10:24
用Net User命令恢复系统登陆用户密码

如果你安装的是Windows XP操作系统，不慎忘记了系统登录用户“*****”的密码，你可以NET命令来解决问题：
　　Windows XP中提供了“net user”命令，该命令可以添加、修改用户账户信息，其语法格式为：

net user [UserName [Password | *] [options]] [/domain]
　net user [UserName {Password | *} /add [options] [/domain]
　net user [UserName [/delete] [/domain]]

如果这是域控制器，那么输入
net user administrator your-new-password/domain
　我们现在以恢复本地用户“*****”口令为例，来说明解决忘记登录密码的步骤：
　　1、重新启动计算机，在启动画面出现后马上按下F8键，选择“带命令行的安全模式”。
　　2、运行过程结束时，系统列出了系统超级用户“administrator”和本地用户“*****”的选择菜单，鼠标单击“administrator”，进入命令行模式。
　　3、键入命令：“net user ***** 123456 /add”，强制将“*****”用户的口令更改为“123456”。若想在此添加一新用户（如：用户名为abcdef，口令为123456）的话，请键入“net user abcdef 123456 /add”，添加后可用“net localgroup administrators abcdef /add”命令将用户提升为系统管理组“administrators”的用户，并使其具有超级权限。
　　4、重新启动计算机，选择正常模式下运行，就可以用更改后的口令“123456”登录“*****”用户了。

优点：简单，安全。
缺点：不能找回其它有管理员身份的帐户密码，只能修改，如果用EFS加密，加密破坏，数据丢失。

superadmin

用密码重设盘设新密码

在没有使用“欢迎屏幕”登录方式的情况下登录到Windows XP后。按下“Ctrl+Alt+Del”组合键，出现“Windows 安全”窗口，点击选项中“更改密码”按钮，出现更改密码窗口(图1)。这个窗口中，将当前用户的密码备份，点击左下角“备份”按钮激活“忘记密码向导”，按照提示创建密码重设盘。
如果在Windows XP的登录窗口输入了错误的密码，就会弹出“登录失败”窗口，如果你的确想不起来自己的密码是什么时，可点击“重设”按钮，启动密码重设向导，通过刚才所创建的密码重设盘，重新设定密码，登陆Windows XP。

如何创建密码重设盘
准备一张空白的、经过格式化的软盘。要为您的本地用户帐户创建密码重设盘，可使用下列方法之一。

使用计算机管理员帐户
如果您使用管理员帐户登录到计算机，请按照下列步骤为一个用户帐户创建密码重设盘：

单击开始，然后单击控制面板。

在控制面板中，单击用户帐户。
在用户帐户窗格中，单击您想使用的帐户。
在相关任务下，单击“阻止一个已忘记的密码”以启动“忘记密码向导”，然后单击下一步。
将一张空白的、已格式化的磁盘插入到驱动器 A 中，然后单击下一步。
在“当前用户帐户密码”框中，键入您在第 3 步中选择的用户帐户的密码，然后单击下一步。
备注: 如果此用户帐户没有密码，请不要在“当前用户帐户密码”框中键入密码。
“忘记密码向导”将开始创建密码重设盘。
当进度栏达到“100% 完成”时，单击下一步，然后单击完成。
取出密码重设盘并给它贴上标签。将该软盘放到一个安全的地方。
　

优点：安全，对于用EFS加密数据很重要。
缺点：需要软盘，并且要求在设密码时建立密码重设盘，对于没有软驱的机器就没办法。

superadmin

修改屏保文件法


原理：Windows 2000/XP启动时，如果不进系统，会自动启动屏保，如果用CMD.EXE或EXPLORER.EXE代替logon.scr，启动启动时实际启动的是CMD命令。

步骤

拷贝系统安装目录system32\logon.scr文件备份(需要DOS，必要时需NTFS4DOS，或Windows PE/ Bart's PE启动后进行)；
改cmd.exe或explorer.exe名为logon.scr文件，替换掉需要破解的系统的system32目录下logon.scr；
启动系统，按下CTRL+ALT+DEL，不做任何动作，等一会儿系统会自动运行logon.scr屏保，事实上，这个确是cmd.exe，并且当前身份为local system
在命令行方式下改密码 （实际上就是用Net User命令恢复系统登陆用户密码）
net user administrator your-new-password
如果这是域控制器，那么输入net user administrator your-new-password/domain

登陆系统，将第一步中备份的logon.scr恢复回去即可。

优点：简单，安全。
缺点：等待时间长，原来没有启动屏保者不一定有效，不能找回其它有管理员身份的帐户密码，只能修改，如果用EFS加密，加密破坏，数据丢失。　
使用软件修改密码
　
借助第三方软件，可以重置Windows 2000/XP/2003的Administrator的登录密码，或者不用密码直接登录（DreamPackPL），这些软件重置密码很快，但是，不能找回系统原来的密码或者重置其它用户的密码（DreamPackPL例外），因为是重置密码，如果是NTFS分区并且使用EFS加密，这样做EFS加密的数据将不能打开，请小心。

优点：使用简单，安全
缺点：只能重置密码，如果用EFS加密，加密破坏，数据丢失。

此类软件比较常用的有以下软件：
Windows XP 2000 NT Password Recovery Key
CleanPwd
Offline NT Password & Registry Editor
Winternals Administrator's ERD Commander 2002/2003/2005
用O&O Bluecon2000强制更改Windows2000本地管理员密码
不用修改密码登陆Windows 2000/XP---DreamPackPL版



Windows XP 2000 NT Password Recovery Key

软件名：Windows XP 2000 NT Password Recovery Key
目前版本： v7.9.2157
支持系统：Windows NT/2000/XP/2003/2003R2
软件网页：http://www.lostpassword.com

特点：

100%恢复
可以不需要软盘、光盘，直接地从可起动的USB驱动重新设置密码；
可以重新设置所有帐户密码
可以重新设置经本地安全策略设置的所有帐户密码
可以详细显示本地所有用户帐号的详细信息
支持Windows XP Tablet PC
支持Windows 2003 Server
支持Windows 2003 Server R2
支持Windows XP家庭版和专业版
支持Windows 2000专业版、服务器版和先进的服务器版
支持Windows NT工作站版和服务器版
重置AD域控制器上的域管理员的账户密码(仅企业版)
所有安全启动选择支持
支持所有系统补丁包（Service Packs，SP）

使用方法：
安装软件，运行出现界面：

新版本支持创建软盘、光盘或U盘启动，按指示即可创建。

创建完毕启动盘，可用此盘启动，按以下步骤即可重置密码：
1.选择需要重置密码的系统详细安装路径 ，如C:\Windows；
2.选择选择重置用户，如“Administrator”，或其它用户；
3.选择用户后，程序显示用户的特性、密码长度、最后成功登录系统时间等，提示是否重置该用户密码，如键入“Y”，程序将把该用户密码清空；
4.完成上一步后，将询问是否重置其它用户密码，键入“N”将完成重置过程。


优点：使用简单，安全，支持Windows NT/2000/XP/2003/2003R2所有版本及AD域。
缺点：需要软盘，对于没有软驱的机器就没办法，当然可以创建启动光盘。不能找回其它有管理员身份的帐户密码，只能修改，如果用EFS加密，加密破坏，数据丢失 。

superadmin

CleanPwd

作者: bingle
Email: bingle@email.com.cn
Web: www.BingleSite.net
支持系统：Windows NT/2000

用一个修改密码的小程序来替换系统启动的必要程序，然后系统启动时就会替换密码，随后把被替换的程序在还原就行了。当然首先你还是要能够访问系统分区，来替换随系统启动的程序。

替换系统启动的必要程序的一种方法是我写的一个清除administrator密码的小程序CleanPwd（按此下载），你可以在www.BingleSite.net下载，他所作的就是把administrator密码清空。使用方法如下：

用法
1) 用双系统或者启动盘或者挂到别的系统上，如果是NTFS分区其他系统或启动盘要能读写NTFS分区，把windows安装目录下的system32\ svchost.exe改名svchost.bak.exe备份,把CleanPwd.exe拷贝成svc host.exe。

2) 启动该系统，就把administrator的密码清空了，可以直接登陆。

3) 把svchost.bak.exe 恢复就行了。
（你也可以选择替换其他程序，如果你替换的是svchost，最好重新启动或者启动rpc服务以使系统正常工作）

4) 为什么选用svchost.exe而不是其他程序。
每个Windows NT/2000系统都有这几个进程，
System(kernel Executive and kernel)
smss(session manager)
csrss(win32 subsystem)
winlogon(logon process)
services(Service control manager)
lsass(local security authentication server )

如果任何一个被杀掉或者出错，系统将重新启动。不过在lsass启动之前你不能修改密码，因为lsass是负责密码验证的安全系统，而系统启动的顺序就是上边列出的顺序，所以不能选用这几个程序。

另外系统中一般还有以下一些程序：
svchost.exe(Remote Procedure Call (RPC) 还有其他一些服务)
WBEM\WinMgmt.exe(Windows Management Instrumentation)
mstask.exe(Task Scheduler)
regsvc.exe(Remote Registry Service)

可能还有其他服务程序，你可能禁止了除RPC之外的其他服务，但不会禁止RPC，否则系统工作就不正常了。所以我选择了svchost，如果你知道其他服务会自动启动，你也可以选择它。
当然如果系统安装了杀毒软件的话，你替换杀毒软件也可以，因为一般杀毒软件都会在系统启动时启动杀毒防火墙来杀毒的。
其他
有这个想法是几个月之前了，不过一直没有写这个程序 程序运行会在c:\CleanPwd.txt记一个简单的日志，我也附了源码，你可以任意修改它以满足自己的要求，比如添加一个用户而不是修改管理员的密码（或者你把管理员改名了）。

优点：使用简单，安全。
缺点：不能找回其它有管理员身份的帐户密码，只能修改，如果用EFS加密，加密破坏，数据丢失。
luosen1003 2006-12-17 10:25
Offline NT Password & Registry Editor

目前版本：20060213
运行介质：光盘、软盘
支持系统：Windows NT/2000/XP （不支持AD域密码重置）
最新版本：Offline NT Password & Registry Editor 20060213

Windows管理员密码丢失还有一个解决方法是使用Petter Nordahl-Hagen的The Offline NT Password Editor(http://home.eunet.no/~pnordahl/ntpasswd/)，这个工具是离线修改注册表文件sam来设置密码的。需要用他的映像文件制作启动盘来引导，进而访问ntfs分区重新设置密码；虽然作者经常更新他的程序，不过我还是会担心他直接操作sam文件的安全性，可能有时会导致系统出错。（注：在网上听说有人使用这个工具导致系统崩溃，之后不能在使用其他方法恢复了，因此使用这类工具之前先要备份SAM相关文件）
用软盘启动后，我们可以看到很多Linux启动的输出信息，看到了吧，这个“精简的Linux系统”的名字是SysLinux。
然后就是软件的版权声明，并指出软件在NT3.51,NT4.0,Windows2000 Professional & Advanced Server RC2下测试通过，而使用了Active Directory的Windows2000系统没有测试。
　　接下来，系统提示“Do you have your NT disks on a SCSI controllers?”,问你NT系统是否安装在SCSI硬盘上，看你的具体情况，一般这里输入“n”。系统就开始检测硬盘以及硬盘分区，并把检测结果以Linux下的方式表示出来，在出现提示字串后敲回车继续。
系统提示“Select what you want to do:1-set passwords[default] 2-Edit registry”，我们的目的是更改管理员的密码，所以，输入数字“1”，Enter。接着提示“what is the full path to the registry directory?”,询问注册表存放路径，默认的应该是“winnt/system32/config”，如果你原来安装系统的时候改变了路径，那么请按照你的实际情况更改路径后回车继续。
接着出现“which hids(files) do you want to edit (leave default for password setting,separate multiple name with space)”，回车，然后会把所有用户的账号列出，并询问“do you really wish to disalbe syskey(y/n)”，输入“n”,回车。提示“Username to change (! to quit,. to users):”，输入“administrator”（假设你的管理员账号是 administrator），回车后“Please enter new password”按提示，你可以输入“Administrator”账号的新密码，再问一次“Do you really wish to change it?(y/n)”，输入“y” 确定并回车。系统最后问你“About to write files back！ Do it?”（有点罗嗦吧，呵呵），输入“y”确认后，系统提示，按“Cltrl-Alt-del”三键重新启动系统。
　　好了，启动系统后，已经可以用我们修改好的密码登录。

优点：使用简单，安全。
缺点：不能找回其它有管理员身份的帐户密码，只能修改，如果用EFS加密，加密破坏，数据丢失。

superadmin

Winternals Administrator's
ERD Commander 2002/2003/2005

目前版本：2005
运行介质：光盘
支持系统：Windows NT/2000/XP/2003
网站 http://www.winternals.com/

ERD Commander这可以算是Winternals Administrators' Pak工具中最强大的组件了，其中一个引人注目的功能就是修改密码，Windows NT/2000/XP/2003 系统中任何一个用户的密码都可以在不知道原先密码的情况下被ERD修改掉。可以用ERD Commander自己的启动光盘、Windows PE 或Bart PE启动后启动ERD Commander。

注意：XP系统用了SYSKEY命令后，ERD Commander不能修改密码，需要用Offline NT Password & Registry Editor 或 Windows XP 2000 NT Password Recovery Key。或参考后面介绍重置密码。

善意小提示：
1.如果这台电脑加入了域，由于域用户密码不在本地，ERD Commander对这样的情况是无能为力的。
2.在组策略设置中有一条“密码最少为8位且不能为弱口令”，如果该策略被启用，那么你在用ERD Commander重设密码的时候也必须遵循这个限制。有些朋友为了图简单，试图将密码重设为类似“1234”这样的简短密码，结果都无法成功。解决方法就是在密码重设时选择一个8位以上复杂密码。


启用了SYSKEY，但是将密钥软盘丢失了，怎么用ERD Commander重置密码？

一、系统还原已经启用

如果Windows XP启用了系统还原，那么可以借助启用SYSKEY之前的还原点进行操作，方法有以下两种：

1． ERD Commander 2005

如果能够恢复到启用SYSKEY之前的还原点，那么这个问题就能得到解决，这里的关键是能够Offline访问系统还原功能。
可以借助ERD Commander 2005来离线访问Windows XP的系统还原。
用ERD Commander 2005恢复光盘引导系统，进入Winternals桌面以后，首先备份重要数据，例如C:\Documents and Settings\UserName\Desktop（这里的UserName要用你的工作帐户名称代替）下的文件。
然后启动Winternals自带的System Restore，选择一个以前的还原点恢复即可。

2． 借助还原点的注册表备份
【该方法未经测试，请慎用】
如果没有ERD Commander 2005，可以借助WIN98启动盘，如果C盘是NTFS，则需要借助NTFSDOS Pro软盘，以便能够访问NTFS分区。然后进入实模式DOS环境下，利用启用SYSKEY以前的还原点，将注册表配置单元恢复到原来的状态。
进入实模式DOS环境后（根据实际情况，可能需要借助NTFSDOS Pro挂载启动分区），或用Windows PE/Bart's PE启动，然后进入系统还原的工作目录C:\System Volume Information，当然你得先用dir命令显示其8.3短文件名。然后参考KB307545的“第二部分”恢复注册表配置单元（唯一的区别在于，您只能“屈尊”在DOS下完成）。
http://support.microsoft.com/kb/307545/zh-cn

注意 恢复以后，在该还原点以后安装的驱动和应用程序可能需要重新安装。

二、系统还原已经禁用

借助WIN98启动盘＋NTFSDOS Pro软盘进入实模式DOS环境，或ERD commander光盘启动，将C:\WINDOWS\repair目录下的注册表配置单元覆盖C:\WINDOWS\system32\config目录下的同名文件，以恢复到初始安装时的注册表配置。具体方法请参考KB307545的第一部分，这样就 可以用ERD commander重置密码。

优点：使用简单，安全
缺点：不能找回其它有管理员身份的帐户密码，只能修改，如果用EFS加密，加密破坏，数据丢失。

superadmin

用O&O BlueCon XXL Admin Suite
强制更改WindowsNT/2000/XP本地管理员密码

目前版本：v5.0.414
网页：http://www.oo-software.com/en/
支持系统：Windows NT/2000/XP（up to SP1）
运行介质：软盘（6张）、光盘

O&O Bluecon XXL Administrators Suite 是一款德国人开发的工具软件,最新版本是v5.0.414它可以让你方便的修复被损坏的Windows NT/2000/XP系统,与Windows 2000的恢复控制台差不多,唯一不同的是它不需要你输入密码就能够进入系统.这款工具最常用的功能可能就是修改本地管理员的密码了。
O&O Bluecon XXL Administrators Suite 商业软件，安装后可以创建应急启动光盘或应急软盘（六张），用此应急启动光盘启动电脑，你可以作为Administration的身份进入Blue Screen模式，恢复系统的bug，或者系统的运行数据（支持FAT32、NTFS分区），修改管理员密码。启动后，键入“？”或“help”即可显示其支持的命令。这里只要介绍O&O Bluecon XXL Administrators Suite修改本地管理员密码的步骤如下:


(1)将应急启动光盘或软盘启动机器；
(2)使用Passwd命令对SAM数据库账号的密码进行修改,Passwd命令的用法如下:

Passwd []

Passwd命令中Password参数是可选的,如果你不输入该账号的密码,那么该账号的密码将被清空(不建议这样).
如果你要将管理员Administrator的密码修改为123456,就可以这样使用:

A:\>Passwd Administrator 123456

回车后如果你当前系统中存在多个操作系统,系统会提示你要修改哪个操作系统的管理员密码.类似提示如下:

Please choose a system to logon
1. "Microsoft Windows 2000 Server" /fastdetect
2. "Microsoft Windows XP Professional" /fastdetect
3. "Microsoft Windows 2000 Recovery Cortrol" /cmdcons

选择一个合适的要修改的操作系统,我们这儿选1,即要修改Windows2000 server的管理员密码.一会儿如果系统提示"Password was successfully changed"就表示管理中的密码修改成功.如果你的O&O软件不是完全版而只是未注册版,那系统会提示管理员的密码是只读的,不能够进行修改.
(3)重新启动系统,进入目录恢复模式,我们就可以使用新的管理员密码进入系统了。

优点：较安全。
缺点：需要软盘，对于没有软驱的机器就没办法，操作较复杂，不能找回其它有管理员身份的帐户密码，只能修改，如果用EFS加密，加密破坏，数据丢失。

superadmin

不用修改密码登陆Windows 2000/XP---DreamPackPL

目前版本:2oo4.o6.1o
运行介质：光盘、Windows PE、Bart's PE
支持系统:Windows 2000/XP
主页：http://www.d--b.webpark.pl/dreampackpl_en.htm

全新思想的软件，本人极力推荐。

它允许让你不必知道本地系统的管理员或用户密码登录系统；
它不会改变本地系统用户的密码；
它允许你对本地系统具有完全访问权限；
它允许你访问本地系统用户通过EFS加密系统加密过的文件和文件夹 （对Windows 2000）；（本人在Windows XP SP1简体中文版上测试，此功能不成功，仅能浏览文件夹或 文件名，但不能打开文件、Copy、移动文件。）

使用方法：
1.用光盘或Bart PE启动，执行该程序，按程序要求选择Windows系统安装目录，安装DreamPackPL；
2.重新启动计算机到本地系统；在出现登陆用户名或登陆密码界面后，键入“dreamon”激活DreamPackPl配置界面， 再用鼠标点击配置界面上半部分即出现命令界面，这样可以选择不同命令，详细命令请参考后面有关说明。
友善提示：除了在Windows 2000/XP下安装使用、自带光盘启动使用DreamPackPL，尚可以在Windows PE/Bart's PE使用，而且更直观、方便
所上传图片

卸载
不需要启动CD，仅在DreamPackPL命令菜单中选择"Uninstall DreamPackPL"并创启系统，原sfcfiles.dll 将由备份的sfcfiles.lld改名代替（系统重启后sfcfiles.lld将被删除），如果你原来没有备份sfcfiles.dll文件， DreamPackPL将尝试在system32/dllcache目录恢复原系统的sfcfiles.dll。

友善提示：如果使用Bart's PE安装DreamPackPl的，如果不能DreamPackPL命令菜单中选择"Uninstall DreamPackPL"，也可以选择光盘启动后启动DreamPackPL for PE卸载。

优点：使用简单，安全，不用修改系统原来所有用户密码即可登录。
缺点：不能找回其它有管理员身份的帐户密码，只能修改。对Windows XP用EFS加密，不起作用。对Windows 2003效果不明。

superadmin

古老的密技—输入法漏洞篇

输入法漏洞由来已久，想来已经为众多朋友熟知。在可行情况下，其不失为夺取系统管理权限的首选之技。所谓输入法漏洞，即当我们启动Windows2000（NT）到登录验证的界面时，任何人都可以打开各种输入法的帮助栏，并可以利用其中的URL跳转功能越 权访问系统。
系统：Windows2000 Professional [Version 5.00.2195]、Windows XP，未升级漏洞补丁。
相关情况：系统管理员帐号administrator密码丢失、无其它可登陆用户帐号、SAM文件无法读取或做其它操作、有输入法漏洞。
所需工具：无
操作过程及相关解答：
启运系统到登陆状态，按Ctrl+Shift键切换输入法状态到“全拼”（或其它输入法，只要可调出输入法帮助即可）状态，依次点选状态条上的“帮助”、 “操作指南”。右击“操作指南”窗体的标题栏，选择“跳转至URL”，在跳转输入框中输入c:\win dnnt\system32,点确定即可成功进入该文件夹。找到 net.exe文件，并创建快捷方式。然后右键此快捷方式，选其属性，将“目标”一栏中改为：C:\WINNT\system32\net.exe user wing 123456 /add，点确定后，点击执行。这样，便给系统添加了一个用户名为wing，密码为123456的新用户。之后以同样的步骤再创键一快捷方式，在其属性中将“目标”改为：D:\WINNT\system32\net.exe localgroup administrators wing /add，同样双击执行。这一步是将刚刚创建的新用户wing增加到了本地管理员组。

优点：安全
缺点：不能找回其它有管理员身份的帐户密码，只能修改。操作复杂，升级漏洞补丁后不能使用。对2003效果不明。



不朽的力量—黑客技术篇

黑客技术，这这是专业人士的专利，如何系统，在专业黑客中总能找出漏洞，从而破获密码。
这里将向各位演示如何使用黑客技术来取回自己的权限。
系统：Windows2000 Professional [Version 5.00.2195]
相关情况：系统管理员帐号administrator密码丢失、无其它可登陆用户帐号、无输入法漏洞等可利用漏洞，无法取得SAM文件、无输入法漏洞。提供IIS服务等，并有若干漏洞。
所需工具：GFI LANguard Network Scanner（或其它同类漏洞扫描软件）
其它：待破解系统处于局域网中。
操作过程及相关解答：
将待破解系统启动至登陆状态。在与此机器在同一局域网的另一台机器上进行如下操作：
首先，从http://www.newup.com.cn/software/GFI-languard-network-scaner处下载扫描软件。下载后按提示安装。安装过程很简单，这里不多缀述。
接下来，使用该软件对目标系统进行扫描，可以看到扫描结果中的：- Escaped Characters Decoding Bug /scripts/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/cmd.exe? /c+dir，这说明目标系统存在UNICODE及IDQ等数个CGI漏洞，对于不同的漏洞可以使用不同的方法入侵，进而取得对系统的控制。对于此，本文无法详细介绍，因为黑客技术实在是如此博大精升，如果要讲的话，恐怕不是一二年能讲完的。这里只是提及此可行方法，具体情况还请具体分析。网上有很多关于这方面的资料，有兴趣的朋友可以自行查找。

优点：安全
缺点：使用复杂，需要专业知识。


远程偷您没商量－远程获取密码


安全只有相对的安全，没有绝对的安全。如果发生安全问题，那么其中一个很主要的原因就是用户或者管理员的粗心。只要平时使用计算机中能够仔细一点，对系统所发生的任何不正常事件进行分析，就可能避免因此而带来的各种损失。不怕自己丑，就怕不知道自己丑，知 道了才能更好地防范于未然。
　　笔者在管理本单位的计算机时，发现某计算机使用了Windows自身附带的文件加密方式，一旦用户忘记或者不知道原来的用户名和密码，这些加密文件就将无法打开。尤其是在员工离职后，如果交接存在问题，有些资料就无法再打开。
　　抱着研究的态度，笔者试用了多种方法，最后发觉远程获取用户的密码其实非常简单。
　　运行环境和所需软件：
　　操作系统：Windows 2000 Professional
　　软件：PWDUMP4.0.exe、Findpass.exe、Pulist.exe和 L0phtCrack (LC)、 LCP、 SamInside pro
　　具有复制文件到远程计算机的权限，或者有账号可以登录该计算机。
　　
这里主要介绍
用PWDUMP4获取密码
用findpass和pulist获取密码

优点：安全，用EFS加密可以完整恢复。
缺点：使用复杂，远程用户需要域管理员身份，破解时间长。

superadmin

用PWDUMP4获取密码

目前版本：4.02
支持破解系统：Windows NT/2000/XP
需要配合L0phtCrack 5.04 (LC5 5.04)、 LCP、 SamInside pro才能获得密码

获取密码过程
　　（1）获取SAM文件
　　首先，利用PWDUMP4获取机器上的SAM文件，然后使用L0phtCrack 5.04 (LC5 5.04)、 LCP、 SamInside pro软件来分析获取的SAM文件，并将用户的密码分析出来。
　　说明：Windows NT/2000/XP是使用SAM来保存用户和密码信息的，SAM通常保存在“Winnt\system32\config”目录下，攻击者在拿到SAM 文件后用LC5.0软件可以很轻易地破出密码来，尤其是密码强度比较低的情况下。而SYSKEY可以对SAM进行加密并将用户密码的加密键扩展为128位，从而增大破解的难度。
　　用法如下：
　　PWDUMP4 [Target|/l][/s:share][/outputFile] [/u:userName]
　　说明：
　　[Target]：标计算机的名称或者ip地址
　　[/l]：在本地机器上运行
　　[/s:share]：用来共享文件
　　[/outputFile]：将SAM文件输出到给定的文件中。
　　[/u:userName]：使用用户名和密码登录远程计算机。
　　
例如，在本地机器192.168.1.100上获取SAM文件，可以使用命令：
　　
PWDUMP4.exe /l /o:192.168.1.100.SAM
　　
说明：此命令表示在本地机器上抓取密码信息，并在本地计算机上生成一个“192.168.1.100.SAM”文件。
　　
又如，在远程计算上获取SAM文件，可以使用命令：

　PWDUMP4.exe 192.168.1.100 /o:192.168.1.100.SAM /u:admin
　　
说明：该命令是在本地机器获取远程机器的密码文档信息。其中，192.168.1.100为远程计算机的IP地址，不过其“/u：”后跟的必须是具有管理员的权限，且在随后必须输入正确的密码才能获取，如图1所示。
2）破解SAM文件：可以使用L0phtCrack 5.04(LC5 5.04)、LCP 5.04、SamInside Pro进行破解，下面介绍用LC5破解步骤。
具体方法参考相关内容

说明：PWDUMP4是一个用来抓取Windows NT/2000/XP用户密码信息的工具，但对于Windows 2003 Server无效。

建议防范
　　对于入侵者来讲，入侵系统成功得到一个shell后，添加一个具有超级权限的用户是相当简单的事情，但是如果使用自己添加的用户再次进行登录很容易被管理员或者用户发现。
　　而利用PWDUMP4.0则完全不同，只需要登录对方计算机运行一下该命令，然后使用LC分析SAM密码信息，获得管理员或者用户正常登录时使用的密码，这样就安全多了，想在系统中做点什么都可以。
　　所以，对于此类窃取密码的方法，我们平时还是要特别防范的。
　　◆ 关闭远程注册服务（Remote Registry Services）,PWDUMP4.0就无法对您系统的密码进行Dump了。要知道，在Windows 2000中，该服务默认是打开的，但这项服务是极其危险的。
　　◆ 最好在个人计算机上安装防火墙，或者使用“IPSec”等工具自行制定安全策略。
　　◆ 养成定期更改密码的好习惯，并设置一个不容易破解的密码。
　　◆ 定期查看系统中所有用户的权限及其所在组,一旦发现有不明用户则需要提高警惕。
　　◆ 定期使用“net user 用户名”命令查看用户密码更改信息及其最后一次登录时间。如果跟自己最后一次登录时间不一致，呵呵，那您就自己看着办好了。
　　◆ 尽量不要在同一台机器上给多个用户权限，一旦某一个用户具有登录该机器的权限，那么他就可能利用该PWDUMP和LC软件获取该计算机所有用户的SAM信息并分析出所有用户的密码。
　　◆ 使用“SYSKEY”命令进行再次加密。关于该命令的详细使用方法，大家可以查看Windows中的帮助文件。

优点：安全，用EFS加密可以完整恢复。
缺点：使用复杂，远程用户需要域管理员身份，需要其它软件配合才能破解。

superadmin

用findpass和pulist获取密码

支持破解系统：Windows NT/2000/XP

获取过程
　　（1）获取PID、机器名称和当前登录用户名。将findpass.exe和pulist.exe这两个软件复制到对方机器上，首先运行 pulist.exe，可以查看系统当前正在运行的进程，在其中找到Winlogon.exe所在的进程ID号,即 PID号。本例中的PID为184。如图3所示。
2）移动鼠标查看User信息，使用pulist.exe后可以找到形如“AAdministrator”的User信息。
　　（3）使用findpass.exe命令获取密码信息，使用方法为：
　　findpass.exe 机器名称 用户名 PID
　　在本例中使用的命令为：
　　findpass.exe A administrator 184
　　如果在自己的机器上运行该命令，可以直接使用findpass.exe命令，后面不跟任何参数。破解结果如图4所示。


防范建议
　　这种方法需要在对方机器（远程计算机）上执行，执行完毕后可以很容易删除该软件，使得查找起来相当困难。所以，我们要尽量做到未雨绸缪。
　　◆ 设定安全策略，启用系统的审核机制。
　　◆ 养成查看“事件查看器”的习惯，分析不平常事件和不正常时间系统所运行的程序等。
　　◆ 定期杀毒，并将杀毒软件设为自动监控，一旦入侵者将该软件复制到系统中，杀毒软件一般都能识别。可惜，如果入侵者对findpass.exe进行二次或者多次的加壳后，杀毒软件就无能为力。
　　◆ 仍然是设置健壮的密码并不定期进行更换。系统中设置的用户越少越好。