3 replies to this topic

[Kaiy]

In diesem Tutorial zeige ich, wie man unter Windows 7 Systemzugriff bekommt.
Dies kann nützlich sein, wenn man infiziert wurde oder wenn man tiefe Systemeingriffe vornehmen möchte.
Es gibt einige Methoden Systemzugriff zu erlangen. Ich stelle euch insgesammt drei davon vor.

Grundprinzip von Methode 1 und 2:
Die erleichterte Bedienung von Windows (utilman.exe).
Diese lässt sich nämlich im LogonScreen ausführen.


Unser Ziel ist es bei einem Klick auf die erleichterte Bedienung nicht "utilman.exe" sondern "cmd.exe" zu starten.
Da wir im LogonScreen nicht direkt mit einem Benutzer angemeldet sind, wird die Anwendung die wir mit "utilman.exe" vertauschen als Benutzer "SYSTEM" ausgeführt.

Methode 1 (Aufwendig/Empfehle ich nur wenn der Computer bereits infiziert ist)
Für diese Methode benötigen wir eine Linux-Live CD, da wir unter Windows keine Systemdateien verändern können.
Ich empfehle hierfür "PartedMagic" (Ist nur rund 350MB groß):

Die neueren Versionen von PartedMagic sind kostenpflichtig.
Bei CHIP allerdings wir noch eine ältere Version kostenlos zum Download angeboten.
Link:

Please Login HERE or Register HERE to see this link!

PS: Jede andere Linux-Distribution tuts ja auch.

Die .ISO Datei einfach auf einen USB-Stick oder eine CD/DVD brennen und dann von dieser booten.

Im Menü dann einfach die standart Einstellungen anwählen.


Jetzt suchen wir über den File Manager unsere System-Festplatte und wechseln zum Ordner "Windows".


Anschließend wechseln wir in den Ordner "System32".


Dort suchen wir jetzt die Datei "utilman.exe".


Diese benennen wir in z.B. "utilman2.exe" um.


Jetzt suchen wir nach unserer Eingabeaufforderung "cmd.exe".


Diese kopieren wir jetzt und fügen sie unter dem Namen "utilman.exe" wieder ein.


Fertig! - Wir können den Rechner nun neustarten und wenn alles geklappt hat, sollte sich wenn wir auf das "Erleichterte Bedienung"-Icon im LogonScreen klicken die Eingabeaufforderung öffnen.



Um zu überprüfen ob wir nun Systemrechte haben starten wir einfach mal "notepad.exe" und den Taskmanager "taskmgr.exe". (Oder einfach whoami in die Konsole eingeben)


Wie man erkennen kann wurde notepad.exe von Benutzer "SYSTEM" gestartet.

Methode 2 (Die erleichterte Bedienung entführen)
Diese Methode ist meiner Meinung nach die schnellste und leichteste.
Alles was man tun muss ist einen neuen eintrag in der Registry hinzuzufügen.


Einfach unter dem Schlüsselnamen "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" einen neuen Schlüssel mit dem Namen "utilman.exe" anlegen und diesen mit einer neuen Zeichenfolge names "debugger" welche den Wert "cmd.exe" enthält füllen.

Testen wir ob alles funktioniert hat:

Ja, sieht ganz so aus

Methode 3 (Externe Anwendung benutzen)
Bei dieser Methode verwenden wir nicht das Grundprinzip von den ersten zwei Methoden.
Stattdessen benötigen wir eine externe Anwendung (PsExec) diese ist in dem Zip-Archiv "PsTools" von Sysinternals enthalten.
Link:

Please Login HERE or Register HERE to see this link!

Um nun Systemzugriff zu bekommen müssen wir eine Eingabeaufforderung als Administrator starten und PsExec.exe mit folgenden Parametern starten: "-i -s -d cmd.exe".


Eine weitere Eingabeaufforderung starten sich in welcher wir unter dem Benutzer "SYSTEM" agieren.

In diesem Sinne... Grüße, Kaiy

Edited by Kaiy, 11 February 2014 - 17:19 Uhr.

[Mr_NiceGuy]

Schönes Tutorial, das kann einem den Arsch retten wenn bekannte wieder mit dem "BKA-Virus" vorbeikommen und sagen " Kannst du mir mal helfen?".

Wobei ich ein anderes Linux empfehlen würde. (

Please Login HERE or Register HERE to see this link!

50MB)

Edited by Mr_NiceGuy, 11 February 2014 - 17:22 Uhr.

[Satoex]

1) Gibts für windows Ophcrack ist viel einfacher und man bekommt alle daten die man braucht.
2) @ Mr_NiceGuy für BKA oder sonstige viren die einem das leben schwer machen würd ich dir OTL bzw (OTLpe) oder frst empfehlen hab schon etliche pcs damit sauber gemacht.

[christjames]

Gutes Tutorial, gibt es aber auch eine Methode ohne ISO oder ähnliches?