Phân tích cấu trúc PWL file  

PWL file chứa đựng những thôn tin quan trọng như dial-up và network password .Và chỉ có một số ít các chương trình mớI có thể sử dụng file này.Microsoft ko cung cấp và mô tả chi tiết việc decrypt các file.pwl này (tất nhiên ) nhằm mục đích bảo mật và để chỉ những soft của Microsoft mớI có thể sử dụng được mà thôi
Thông thường cấu trúc của một file.pwl bao gồm 3 trường chính
1.resource type
2.resource name
3.resource passwordtất nhiên resource name và resource password được mã hóa ( thuật toán mã hóa 1 chiều RC4) và save dướI dạng binary
(lưu ý:resource name và resource password không hẳn là username và password nhé ??  )
tất cả được save lạI trong giớI hạn 255 byte.Windows dùng file.pwl để kiểm tra login password mặc dù login password không được save trong file.Chỉ có username và checksum(kiểm tra tổng) được chứa mã hóa bằng RC4 và save trong file.Chúng chỉ có thể access cho chúng ta khi checksum cho kết quả la true (cả username và password đúng).Thông thường thì username giống vớI tên file.pwl
vd:username là hackerthì file pwl sẽ là hacker.pwl
và chiều dài tên file không bao giờ vượt quá 8 kí tự.Windows không bao giờ overwrite(ghi đè) lên file.pwl này
vd:bạn có username là hacker và hacker.pwl .Khi đó nếu tạo nhưng file pwl được tạo mớI trùng vớI hacker.pwl thì tên file đó sẽ được đổI thành hacker000.pwl….hacker001.pwl (cũng giống như file user.dat là user.da0 )
ở những phiên bản windows gần đây,tất cả username và password đều được convert sang chữ hoa và được đăng kí vào hệ thống thông qua system.ini.Khi open system.ini ra,các bạn sẽ thấy dòng;
[Password List]
USERNAME=đường dẫn đến file.pwl
Vd:
[Password List]
HACKER=C:\windows\…\
(các bạn để ý thấy username hacker đã được convert sang chữ hoa là HACKER)
Tuy nhiên cũng có một trường hợp đặc biệt username không trùng vớI tên file.pwl…dial-up network server sử dụng rna.pwl để lưu trữ password connetion,và username ở đây là *Rna
Phù…mệt wá…bây giờ chúng ta sẽ phân tích resource type nhé:
RESOURCE TYPE:
được dùng cho dial-up networking và MSCrypto API.resource name có dạng *Rna\ConnectionName\Username và resource password là password khi connect
WWW resource (được dùng cho I.E).Cái náy thì resource có dạng:
DomainName/Page title…resource password thì được ngăn cách sau username bằng dấu “:”
VD:
hacker:123456
Các bạn có thể dùng các PWLTool để test những điều vừa nêu trên :ph34r:

Độ tin cậy của PWL file (xét version OSR2)
những phiên bản trước của windows’95 thì thuật toán mã hoá trong PWL file là rất không an toàn,các PWLTool dễ dàng decrypt.Nhưng trong version OSR2 thì nó đã được fix-và việc decrypt trở nên khó khăn hơn
mặc dù trong ver OSR2,sự mã hóa trở nên phức tạp và chuyên nghiệp hơn,Tuy nhiên chúng vẫn còn đó những hạn chế,cụ thể:
1.tất cả password được convert sang chữ hoa,và điều này làm các công cụ brute-force attack một cách nhanh hơn. :huh:
2.MD5 và RC4 mặc dù là công cụ mã hóa 1 chiều rất mạnh và chuyên nghiệp,tuy nhiên nó lại dễ bị search 1 cách nhanh chóng bằng những PWLTool chuyên nghiệp.