Случаются ситуации, когда нужно выполнить манипуляции с настройками продуктов McAfee, но настройки эти по каким-то причинам защищены паролем, который мы ... ну допустим утеряли.
В статье товарища Ремко Вежнена написано, что пароль хранится в ключе UIP ветки реестра HKLMSoftwareMcAfeeDesktopProtection в виде Unicode-строки закрытой с помощью MD5. Собственно все это правда, не смотря на то, что статья написана 2 года назад.
Не вся правда заключается в том, что декодировать такой MD5 сложно и что проще поправить ключи реестра, чтобы сбросить пароль.
Современный, правильно настроенный McAfee, не позволяет редактировать нужные нам ключи, в этом вторая засада.
Но первая оказалась не такой страшной - подбор unicode-строки на сегодня не представляет сложности.
Итак. начнем. Даже не имея административных прав, читаем ключ UIP ветки HKLMSoftwareMcAfeeDesktopProtection.
Допустим это значение b081dbe85e1ec3ffc3d4e7d0227400cd (взято из вышеуказанной статьи).
Формируем файл (например, /tmp/mcafee) содержащий строку:
b081dbe85e1ec3ffc3d4e7d0227400cd:
Заметьте, файл состоит из того самого хеша, к которому прибавлено двоеточие.
Пока мы редактируем файл, качаем утилиту oclHashcat-plus, которая, с помощью хорошей видеокарты, очень весело умеет работать с хешами.
Запускаем подбор пароля строкой:
./cudaHashcat-xxx -m 40 /tmp/mcafee rockyou.txt,
где rockyou.txt - словарь.
Если Ваш словарь достаточно хорош, а пароль достаточно слаб, то через несколько секунд вы сможете редактировать настройки своего антивируса.
