■[security]WindowsXPのパスワードをバイパスする「DreamPackPL」に注意！

いわゆるrootkit扱いされるものだと思うもので、自分の財産以外や管理下にないところで試すのは辞めましょう。

ここで紹介するのは、某所にホットエントリーで上がっていたので、そのうち悪用する人がでてきそうなので、管理者の方などにこういうツールが存在するので気を付けましょうという啓蒙が目的です。もしくは、こういったツールをフォレンジックなどの正当な目的での利用もあるかもしれません。

手元のWindowsXP SP2環境で試してみました。あまりにも手軽で怖い。

DreamPackPLのインストール

1. まずは、http://www.d--b.webpark.pl/down/dreampackpl_iso.zip をダウンロードして解凍します。解凍すると、中にはISOファイルが入っているので、適当にCDかDVDに焼きましょう。
2. 対象となるWindowsXPの端末にそのCDを入れてブートします。起動するとWindows2000 Professionalのセットアップ画面になります。
3. Rキーを押して、DreamPackPLのモードに入ります。
4. 次の画面で、Cキーを押して、インストールモードに入ります。
5. インストールされているWindowsを選択します。デュアルブートとかにしていない限りは、「1: C:\WINDOWS」だと思うので、1を入力して下さい。
6. 次にコマンドプロンプトになるので、以下の2コマンドを実行します。（恐らく、キーの入力は英語キーボードの配列になっています。DはCDドライブなので適宜変えて下さい。）

ren C:\Windows\System32\sfcfiles.dll sfcfiles.lld
copy D:\i386\pinball.ex_ C:\Windows\System32\sfcfiles.dll

そして、最後にexitでリブートします。CDは抜いておきましょう。

DreamPackPLの実行

リブートすると通常通りWindowsXPが起動するので、パスワードフィールドに「dreamon」と入力しましょうすると、ログイン画面内にDreamPackPLが起動します。

起動時の画面

起動するとアカウント一覧が表示されています。

ロゴグラフィック部分をクリックすると、各種メニューに移ることができます。

メニュー

機能はパスワードに関するものやロガー、ハッシュの計算機、コマンドプロンプト実行などがあります。

その中でも、強力な機能として、コマンドに「God-Password」というのがあり、マスターパスワードみたいな役割を果たします。

メニューから、Commands > Commands settings を選んでいくと、下記の画面になります。

ここのGod-PasswordをEnableにすれば利用することができます。文字列はログイン画面のパスワードフォームに入力する文字列です。

このGod-Passwordを試してみたところ、Administratorアカウントでもあっさりと入ることができてしまいました。あまりにも簡単すぎる。。。

• How to Hack Into a Windows XP Computer Without Changing Password » Raymond.CC Blog

今のところ、アンチウイルスソフトでは検出しないかも知れません。また、ActiveDirectory環境では試していませんので、動作が異なるかも知れません。（効果あるのはローカル環境だけかな？）

インストール後の変更箇所としては、「C:\Windows\System32\sfcfiles.dll」というこのファイルが、通常は1521KBのところ、DreamPackPLが入っていると39KBになっています。また、日時は「2004/08/04 0:55」から「2004/06/19 3:15」に変わっています。

ちなみに、DreamPackPLのメニューからもアンインストールが実行できます。

オンラインウイルススキャンでの検知（コメントより追記：2006/9/26）

しかしSymantecとカスペルスキーのオンラインスキャンでは
ちゃんと検知できました。ちと安心。
http://www.kaspersky.co.jp/scanforvirus/
http://www.symantec.com/region/jp/securitycheck/index.html