10
2006
S'authentifier en tant que SYSTEM sous Windows XP
An article by Nilz
Utiliser le user SYSTEM sous windows XP s’est possible oui mais pourquoi faire ?
En fait, vous avez certainement déjà remarqué que certains répertoires « protégés par le système » sont inaccessibles voir impossibles à supprimer même pour l’administrateur.
Cette interdiction a pour but de protéger le système (impossibilité de supprimer la corbeille, de supprimer les fichiers système, de tuer des process sensibles … etc) mais est détournée par les virus (par exemple) pour subsister même après une restauration système.
je m’en vais donc, par ce petit tuto vous donner la marche à suivre pour emprunter cette Identité.
- Ouvrez une fenêtre de commande Ms DOS :
+ r puis tapez : cmd - dans la fenêtre qui s’ouvre tapez : at 9:31 /interactive cmd
Attention 9:31 signifie juste de préciser l’heure d’action de cette commande (dans mon exemple quand j’exécute cette commande il est 9h30), pour vous il faut mettre l’heure de votre PC + 1mn comme ça la commande s’exécutera une minute après avoir été validée. - Il s’affiche alors : tache ajoutée avec ID=1
- A l’heure fixée dans l’étape 1 (pour moi 9h31) une nouvelle fenêtre de commande MS-DOS s’ouvre, mais celle ci sous le nom d’utilisateur SYSTEM.
- Vous pouvez alors réaliser les actions que vous souhaitez avec l’utilisateur SYSTEM.
- Nous allons maintenant ouvrir une session avec le user SYSTEM, ouvrez une console de gestionnaire des tâches : dans la deuxième fenêtre commande MS-DOS ouverte, tapez taskmgr
- Le gestionnaire des taches s’ouvre alors (toujours avec les droits de l’utilisateur SYSTEM), il faut ici aller dans l’onglet processus et tuer le process explorer (clic droit dessus puis terminer le processus).
- Le bureau se ferme alors, il ne reste plus qu’a le rouvrir, toujours dans le gestionnaire des taches, Fichier ==> nouvelle tâche et là tapez : explorer
- Voila le tour est joué, vous constatez alors dans le menu démarrer que vous êtes identifié comme SYSTEM.
Dans cette session vous avez alors les droits SYSTEM, ce qui signifie la Possibilité :
- d’atteindre et de supprimer des fichiers jusqu’alors inaccessibles (comme le répertoire System Volume Information, les corbeilles, les fichiers système …etc)
- de tuer la quasi totalité des process lancés : grand intérêt dans le cas d’infection de votre PC.
- de réinitialiser les mots de passe (même administrateur)
- d’accéder à tous les dossiers présents sur le système (même ceux qui ont des mots de passe) : très utile quand vous avez oublié votre mot de passe.
- … etc
Bien évidemment cette manipulation est à réaliser qu’en cas d’extrême nécessité et il est fortement déconseillé de travailler sous cette session.
Pour vous identifier en tant que SYSTEM sous Vista, c’est par là.
Bon courage @ tous
No Comments + Add Comment
Leave a comment
- mai 2018
- août 2017
- février 2017
- janvier 2016
- mars 2015
- décembre 2014
- septembre 2014
- juin 2014
- mai 2014
- avril 2014
- mars 2014
- décembre 2013
- octobre 2013
- mars 2013
- décembre 2012
- novembre 2012
- septembre 2012
- juillet 2012
- juin 2012
- mai 2012
- avril 2012
- février 2012
- janvier 2012
- décembre 2011
- novembre 2011
- octobre 2011
- septembre 2011
- août 2011
- juin 2011
- mai 2011
- avril 2011
- mars 2011
- février 2011
- janvier 2011
- décembre 2010
- octobre 2010
- septembre 2010
- août 2010
- juillet 2010
- juin 2010
- mai 2010
- mars 2010
- février 2010
- décembre 2009
- octobre 2009
- août 2009
- juillet 2009
- juin 2009
- mai 2009
- avril 2009
- mars 2009
- février 2009
- janvier 2009
- août 2008
- mai 2008
- avril 2008
- mars 2008
- février 2008
- décembre 2007
- novembre 2007
- octobre 2007
- septembre 2007
- août 2007
- juin 2007
- mai 2007
- avril 2007
- novembre 2006
- octobre 2006
- septembre 2006
- août 2006
- juillet 2006
- juin 2006
- mai 2006
- avril 2006
J’ai vérifié l’état du planificateur et il est noté démarrage donc théoriquement il ne devrait pas y avoir de souci et pourtant la commande at ne fonctionne pas. Alors ?
Sinon, effectivement l’explication avancée pour le compte avec point d’interrogation doit être la bonne.
Merci déjà pour cette lanterne éclairée
Pour revenir sur une bêtise que j’ai dite dans le commentaire précédent, les comptes avec un point d’interrogation et un numéro il s’agit en fait d’un compte crée par un autre système, donc en toute logique votre disque dur (partition) a été monté sur un autre Windows (ou vous avez réinstallé votre Windows) et les comptes hérédités sont resté.
Il faut le savoir, un disque dur garde les paramètres de sécurité qui lui sont appliqué.
Voila Désolé pour ma réponse éronée du dessus !
Nilz
Bonjour,
Le planificateur de tache est sur automatique ça c’est ok mais est-il bien lancé (regardez son état dans la colonne « ETAT ») ?
Si oui alors je ne vois aucune de raison cohérente pour que la commande at ne fonctionne pas !
En ce qui concerne votre deuxième question, je ne connais pas de compte (par défaut) avec des ? et des chiffre !!!!!!!
Regardez dans votre panneau de contrôle d’utilisateurs ce qu’il en est et faites un point sur les users !
Pour info pour lancer le panneau de contrôle d’utilisateurs avancé allez dans démarrer puis exécuter et tapez : %windir%\System32\Control.exe UserPasswords2
Bon courage pour la suite.
Nilz
Apparemment le planificateur de tache est en route dans « services » j’ai démarrage automatique, et ouvrir une session en systeme local. Alors où est le problème à votre avis ?
J’ai une autre question : sur certains dossiers, quand je clique sur sécurite j’ai un compte avec un point d’interrogation et un numéro Est-ce que vous pourriez éclairer ma lanterne?
Merci de vos réponses
Oui c’est tout à fait normal, la commande at utilise le planificateur de tache donc s’il n’est pas activé tu as un retour d’erreur !
Pour l’activer, allez dans : panneau de configuration, Performances et maintenance, Outils d’administration, services puis activez le service « planificateur de tache ».
Normalement tout devrait alors rentrer dans l’odre.
A noter que cette manipulation ne fonctionne que sous XP, pas sous Vista !
Bonne continuation
Nilz.
Quand je tape cette commande, j’ai un message m’indiquant qu’elle n’est pas valide parce que le service de planifiaction n’est pas actif Ensuite j’ia toute une tartine avec des lignes de commandes comme delet, yes
Que dois-je faire ?
Merci des réponses
Manip à faire avec un compte admin (marche pas sinon) donc pas d’escalade de privileges, heureusement.
A+
thanx 😉
Excellent ! Merci bcp ! Super utile.
Oui pour sur la corbeille, elle, ne se supprime pas de ma maniere!
😉
Merci pour l’info c’est vrai que cette manip fonctionne, toutefois l’intérêt de s’authentifier en tant que SYSTEM reste entier 😉
il est aussi possible de virer le dossier System Volume Information avec le compte administrateur sur un XP pro, en recupérant l’attribut « propriétaire » juste après avoir forcé les droits NTFS en controle total de l’administrateur du compte. Une fois effectué le dossier se supprime aussi facilement qu’un autre.