恢复IE口令：理论与实践

介 绍：

没人会质疑Internet Explorer是当今社会使用最为广泛的浏览器这一事实。据统计，大约70%的网络用户只愿意使用这个程 序。关于它的优缺点的争论大概永远不会停止；但是，毋庸置疑，该浏览器依然是其领域内的老大。IE中内置了一些使普通用户使用 起来更为简单的技术。其中一项技术，称为IntelliSense，是用来帮助执行一些常规的任务，例如自动保存的网页地址， 自动填入的信息（自动完成表单）、用户口令等等。

如今的许多网站都要求注册，那就意味 着，用户不得不输入用户名和密码。当你使用了许多类似的网站，这时你就可能需要一个口令管理器了。时下所有的浏览器都有一个内置的口令管理器，IE也 不例外。其实，为什么人们要记住那些总会被遗忘的口令呢？使用浏览器本身来为你执行记忆并储存口令内容不是更加简单吗？这样既方便又简单。

这可能是一个绝对完美的解决方案，但 是，如果你的windows操作系统出现问题需要重新安装时，你也会很轻易的就丢失掉之前的口令列表。这也是对于你所采用的方 便和舒服功能的代价。幸好，多数网站都会有一个“忘记了密码”的点击按钮，可以帮助您找回丢失的口令。但尽管如此，这个按钮也不是总能 解决让你头疼的问题。

每 一个软件开发者对遗失的密码进行恢复的方式都不一样。有些人会推荐将一些重要文件复制到另外一个文件中进行备份；一些人则给他们的注册用户发送一个专门的 能够允许管理个人数据的实用工具；第三种则是假装他们没有看到这个问题。不过，有需求就有市场，如今的密码恢复软件正处于极大的需求中。

在本文中，我们探讨IE浏 览器中储存的个人数据的类型及分类，分析一些能够恢复此类数据程序，并研究如何在实际例子中恢复丢失的Internet口令。

IE浏 览器中储存的口令类型

IE浏 览器中可能储存的以下口令：

• Internet Credentials网络证书
• AutoComplete Data自动完成的数据
• AutoComplete Passwords自动完成的口令
• FTP口 令
• Synchronization Passwords for cached websites与缓存网站口令同 步
• Identities Passwords身份口令
• AutoForms Data自动完成表单数据
• Content Advisor Password内容审查口令

在下文中将对 各项进行详细说明。

Internet Credentials网 络证书

Internet credentials的意思是用于访问某些网站的帐户和口令。这些网站可能需要wininet.dll库 进行处理。例如，当你试图进入某个网站中受保护的区域时，你可能会看到如下要求用户名与口令的提示(图 1).

图 1. Internet Credentials 对话框.

如 果在提示中选择了“记住密码”的选项，用户证书将会保存在本机中。Windows 9x的旧版本将证书数据保存在用户的PWL文 件中；Windows 2000以及以后版本将数据保存在Protected Storage区域中。

AutoComplete Data自动完成数据

AutoComplete data (口令将在下一部分谈及)自动完成数据 也是被保存在Protected Storage中，并且以HTML列 表字段名的形式出现，对应有相应的用户数据。例如，如果一份HTML页面包含有一个邮箱地址输入对话框：一旦用户输入了他的邮 箱地址，Protected Storage就会储存该HTML字段 名、邮箱地址，以及该记录最后的访问时间。
    但该HTML页面的标题和网 址并没有被保存。这究竟是好还是坏呢？这很难确定。看起来好处还是要远远大于坏处。下面说说它好的理由：它节省了空间并且保证了浏览器的速度。如果你认为 后一说法没有意义，那么就试想一下你会怎样在那些成千上万的自动填充列表中执行额外的检查，找到你所需要的数据呢？

另一个显而易见的好处是由名字判别 的数据很多时候会使用在相同的地方, 这时保存的数据会被用来自动填充类似的页面。我们来看这样的例子。如果一份HTML页 面包含有一个自动填充的域名为“email”，并且在域中输入了他的邮箱地址，IE浏览器会将其保 存在储存数据库里，简单地说，就是“email”等同于my@email.com。 同时，如果用户打开了另一个有相同域名“email” 的页面的网站，此时用户就会被建议自动填充其在进入第一页时填充的值。因而说明，浏览器本身是有一些自动记忆功能的。
    这种数据保存方法的缺点是从我们上述的优点中产生的。试想一下，用户曾在一个网站中使用过它的自动填 充功能，如果另一人知道HTML字段名，他就会创建一个属于他自己的最简单的具有相同表单名的HTML页 面，并且可以从本地磁盘打开它，恢复了自动表单的数据后，该用户就可以在不需要连接网络的情况下打开原始的WWW 地址网站。

AutoComplete Passwords自 动完成口令

对于带有口令的表单，你有可能已猜想 到，数据并不会自动填入。既然自动完成口令与网页名一同保存，那么每一个口令就之对应唯一特定的HTML 页面。
    在新版本IE7中，自动完成口令和数 据都会被各自加密。新的加密方式不受之前描述的缺点的影响（如果我们称之为缺点的话）。
    值得注意的是IE浏览器允许用户手动管理自动填入的参数，(图2) 呈现了选项菜单。

图2. IE自 动完成设置

FTP 网站口令

FTP 网 站口令以上述相同的方式保存着。值得注意的是从Windows XP开始， FTP口令都被另外利用DPAPI加 密了。这种加密方法使用了登陆口令。自然而然的，这种方法就使手工恢复口令更加困难了起来。此时，我们就需要用户的Master Key, SID以 及账户口令了。

Synchronization Passwords for cached websites与 缓存网站口令同步

Synchronization passwords口令同步化使那些需要 口令进入缓存网站（已设置成可以离线使用的）的用户的操作更为简单。这一类型的口令同样被保存在IE的Protected Storage里。

Identities passwords身 份口令

这就是身份口令与上述相同。基于身份进 入管理机制的方法在微软产品中使用的并不广泛，当然Outlook Express可能除 外。

AutoForms Data自动完成表单

一个特殊的涉及了自动填入表格数据的方 法，它构成了一种混合的保存数据的方式。这种方式将实际数据保存在受保护的数据储存库中，并将URL和属于其中的数据保存在用 户注册表中。写入注册表的URL文件并不是以纯文本的方式保存的，而是以哈希的形式储存的。

接下来，该浏览器的第七代，将用户的数 据储存机制改为隐私数据储存方法，存入受保护的数据存储库（Protected Storage）中。 自动填入的数据和口令都会保存在这里。
    那么这种微软使用它作为隐私处理的方式的特别之处是什么呢？首先，这是一种加密的方法，虽然它并不是 个新方式，但还是非常简单非常有效的。这种方式放弃了保存加密密钥而是在任何需要的时候生成密钥。未经处理的这些密钥数据可能是HTML 页 面的网站地址。

让我们在实践中来考察这一方法是如何运 行的。以下是关于IE7的精简后的保存自动填入表格数据和口令字段的算法:

1. 保存网页地址。我们会将这些地 址作为加密密钥。
2. 获得记录密钥。记录密钥= SHA(加密密钥).
3. 计算记录密钥的总和并确认记录 密钥的完善程度（实际数据的完整性将由DPAPI来核对) RecordKeyCrc = CRC(RecordKey).
4. 使用加密密钥加密数据（口令）    加密数据= DPAPI_Encrypt(数据，加密密钥)。
5. 在注册表中保存 RecordKeyCrc + RecordKey + EncryptedData 的值。
6. 关闭加密密钥。

在没有原始网址的情况下恢复口令是非常困难的。解密看起来十分的琐碎:

1. 当常规网页处于打开的情况下， 我们可以获取它的地址（作为加密密钥）并获取记录密钥RecordKey = SHA(EncryptionKey).
2. 浏览所有记录密钥的列表找出记 录密钥。
3. 如果记录密钥被找到，使用加密 密钥解密数据。Data = DPAPI_Decrypt(EncryptedData, EncryptionKey).

尽管看起来很简单，这种网页口令加密算 法依然是当今最强大的。然而，它却有一个主要的缺点（也可以说是优点，这取决于你的看法）。如果你改变或忘记了原始网页的地址，此时将不可能恢复口令。

Content Advisor password内容审查口令

列表中的最后一个项目是内 容审查口令。内容审查是限制进入某些网页的最成熟的工具。然而，因为某些原因它并不受到大众的欢迎（当然，你可以有不同意见）。如果你曾经 打开了内容审查，输入过口令然后又遗忘了口令，你将不能再进入大多数网上的网站。幸运的是（也可以说是不幸），这种情况是很容易修复的。
    实际中的内容审查口令并不是以纯文本的形式保存。而是，系统计算了它的MD5哈 希值并将其保存在Windows注册表中。当试着进入受限区域时，用户曾输入的口令也被哈希计算了，并且所获得的哈希值将与注 册表中所存的进行对照。

能想到的关于找到口令的方式也许是暴力 破解或者字典攻击。但是，有一个更加优雅的方法，即为简单的在注册表中找出原哈希数值。就是这样，如此简单。更好的方式就是将其重命名，然后重新保存回 去。一些软件也允许用户核对内容审查口令，“拖延”口令提示，或者切换口令开/关，等等。

关 于IE口令恢复程序的概况简述

值得注意的是并不是所有的口令恢复程序 都有上述多种口令的恢复方式。更多的是，这与有些口令（如口令同步化）在实际生活中使用的并不多的情况有关，而且FTP口令不 是简单就能恢复的。这里做了一个关于恢复大多数流行的浏览器口令的商业软件的概述。

来自著名公司ElcomSoft的 高级IE口令恢复软件 –不支持恢复自动生成口令和加密的FTP口令。 不应忽略的是，该软件的最新版本应该已经能够处理上述项目。它有一个简单便捷的用户界面，该软件可以在线自动升级。
    Internet Explorer Key：来自PassWare 公司– 同样 的，它也不能恢复某些类型的口令。有时候该软件在读取一些未知类型的IE的URL文件时会出现一些 错误，只会列出所恢复口令的开头部分。值得注意的优点则是其Spartan 用户界面和操作简便。

Internet Explorer Password：来 自于Thegrideon Software – 该软件不错，但是只能恢复三种类型的IE口令 (但也基本能满足大多数案件了)。能够适当地处理FTP口令的回复。版本1.1在 处理自动完成口令的恢复上有一些问题。有着在某种程度上能使人联想到AIEPR的便捷的用户界面，这种软件以它的漂亮和极有益 处的公司网站而提升了地位。

Internet Password Recovery Toolbox： 来自Rixler Software – 所提供的功能远远强大于之前提到的同类软件。它可以恢复加密过的FTP口 令并删除已选择的资源。然而，它也有一些程序上的错误。比如说，部分类型的IE记录无法被删除。软件程序中有相关的详细的帮助 文件。
    ABF Password Recovery： 来自ABF Software – 十分棒的一款软件，有着良好的用户界面。软件支持的IE记录类型并不多，但是，它能够 很好的处理所支持的所有项目。该软件可被归类为一款多功能软件，因为它还可以为其它程序恢复口令。

关于以上所有的程序都存在的主要缺点是 它们都只能为用户当前登录恢复口令。
    如上文所述，所储存的IE资源数据都被保存在一个特殊的名为受保护的数据 储存库（Protected Storage）里。受保护的数据储存库（Protected Storage）专门被用来存放用户的个人数据。因此，协助其工作的PS API的数据并没有被记录下来。受 保护的数据储存库第一次被介绍是IE版本4发行的时候，顺便加一句，与版本3有 所不同的是，版本4是完全原创的。
    所以，直到最近，所有用来恢复IE口令的程序 都使用了这些没有正式记录下来的API。这就是为什么一个有效地限制性措施被应用于恢复工作的过程中：PS API只能在用户当前已登录的情况下搭配口令工作。当系统对保存在受保护的数据库中的数据进行解密时，它使用的是用户的SID, 可以毫不夸张地说没有这个是不可能恢复保存的口令的（考虑到当前计算机的计算水平）。
    受保护数据储存库通过数据加密的方法采用了一个非常好的想法--使用强大 的密钥和算法，比如des, sha,以 及shahmac。类似的数据加密方法已经被使用于绝大多数流行浏览器中，如Opera或 者FireFox。微软，同时，发展并测试了新的版本。至本文发稿时，试行版的Internet Explorer 7 的受保护的数据存储库还只能用于保存FTP口 令。

通过对于该试行版本的分析让人不禁猜测 微软可能正在准备一个新形式的、有着有趣的加密算法的“惊喜”。现在还不能确定，但是另外一个新的名为InfoCard公 司的数据保护技术可能会加入到加密隐私数据这一领域中来。
    因此，有足够自信的人可以断言Windows Vista 和IE7都会以全新的算法储存并加密，并且，受保护的数据库的界面，将开放给第三方的开发者。
    某种程度上这也有不好的地方，我们认为受保护的数据库真正的潜力依然还没有被揭开。我们如此认为的原 因是：

首先，受保护的数据库是基于模块结构 的，这使选择使用其它的存储数据库成为可能。然而，在受保护的数据库存在的过去十年中，一个独立的存储数据库都没有出现过。系统受保护数据库是这一操作系 统中唯一的存储数据库，而且它是默认使用的。

其次，受保护的数据库本身已内置进了管 理系统，但因为某种原因，IE浏览器和微软的其它产品并没有采用这一方式。

其 三，尚不清楚为什么微软会决定使受保护的数据库逐渐减弱对自动完成数据和口令的支持。将其减弱为一个真实数据的储存库，而不是数据加密机制。当执行一个新 的加密算法的时候使受保护的数据库至少可以用来储存数据的方式可能更加合乎逻辑。有许多理由证明这样做是不会失败的。因此，微软专家关于这个主题的想法可 能会很有趣。

PIEPR

Passcape Internet Explorer Password Recovery：是专门被开发成省去PS API的 限制并直接从注册表的二进制的文件中恢复口令的软件。除此之外，它还有提供给高级用户的其它许多特性。

软件的向导程序允许你在几个操作模式中选择一个：

自动模式

 当 前用户的口令可能会通过进入已关闭的PS API界面来恢复。所有的当前用户保存在IE里的口令都 会通过仅仅一个鼠标点击就能恢复。
手动模式

 口 令将被恢复但不包括PS API。这一方法的主要优点在于它对于你的旧的Windows账户的口令 恢复能力。出于此目的，你需要进入用户的注册表文件。注册表在正常情况下是无法读取的；但是，PIEPR里所使用的技术能够做 到这一点。（它会提供给你本地管理的权利）
    用户注册表文件名为ntuser.dat；它存在于用户 的文档中，正常情况下位于%SYSTEMDRIVE%:\Documents and Settings\%USERNAME%， 前者%SYSTEMDRIVE% 代表的是包含操作系统的系统磁盘，后者%USERNAME% 是正常的账户名。举例说明，指向注册表文件的路径可能是这样的：C:\Documents and Settings\John\ntuser.dat
    如果你曾经很喜欢使用Windows 9x/ME的话，当你将操作系统升级 至 Windows NT之后,受保护的数据库将自觉地保存一个关于你的旧的隐私数据的拷贝版。导 致的结果是，受保护的数据库可能包含一些用户的标识符，所以此时PIEPR将会在它对数据进行解密前要求你选择一个正确的对 象。(截图 3)。

截 图 3。 选择使用受保护的数据库的用户

在列出的SIDs中 的一项会包含旧版Windows 9x/ME留下的数据。该数据已同用户的登录口令一起被加密。而且 PIEPR如 今并不支持对该数据的解密。

如果文件ntuser.dat 中包含已加密的口令(如, FTP网站口令), 软件 就需要其它的一些信息来帮助解密工作。 (图 4):

• 需解密数据的用户的登录口令
• 指向用户的 MasterKey的完全路径
• 用户的 SID

Figure 4. DPAPI 解密 FTP 口令的对话框.

正常的情况下，软件将在用户的文档和文 件中找到最后两个项目并自动填入该数据。然而，如果ntuser.dat 从其 他操作系统中被拷贝出来，你就需要自己查看处理。最快的方式是复制全部用户的Master Key 文件夹(或 者是其中一些)至ntuser.dat。 Master Key属 于你的本地计算机中以下文件夹： %SYSTEMDRIVE%:\Documents and Settings\%USERNAME%\Application Data \Microsoft \Protect \%UserSid%  。

%SYSTEMDRIVE% 代表的是包含操作系统的系统磁盘，%USERNAME% 则 包含正确的用户名, %UserSid% 是用户的SID. 例如，指向一个master key文件夹的路径可能如下：C:\Documents and Settings\John\Application Data\Microsoft\Protect\S-1-5-21-1587165142-6173081522-185545743-1003. 说得更清楚一些则是推荐复制以下全文件夹： S-1-5-21-1587165142-6173081522-185545743-1003, 它可能包含了一些Master Keys。此时PIEPR将自动选择正确的密钥。
    Windows把一些文件夹标记为隐藏或系统文件，所以在Windows Explorer中无法看见。为了使其可见，可以在查看设置中将那些隐藏和系统文件设置为可见或者使用一个文件管理器。
    一旦用户的Master Key 的文件夹被复制拷贝到ntuser.dat文件夹中， PIEPR软 件将自动找到所要求的数据，所以你只需要输入用户口令以恢复FTP 口令。

Content Advisor内容审查
    CA 口令，如上文中所说，并不是以纯文本的形式被保存的，而是以哈希形式保存着。在CA 口令管理对话框中，完全可以删除或改变哈希值来打开被CA加锁的网站。PIEPR同 样也会显示出你的口令提示，如果确有的话。

Asterisks passwords星号口令
    PIEPR的第四种操作模式，支持恢复隐藏在星号之下的IE口 令。恢复这样的口令，只需要简单地将放大镜拖到有****口令的窗口上即可。这项工具还支持其他使用IE Frames的程序恢复口令，如， Windows Explorer,一些以IE为 基础的浏览器，等等。
    我们已经复习了基本的IE口令恢复的模式。但还有一些用于查看和编辑cookies， 或者隐藏、访问网页历史记录等等的其它特性， 在此我们不多加详述，而是看一些由PIEPR完成的口令恢复的例子。

 

三 项真实例子。

案 例1:恢复当前用户的FTP口令

当打开一个FTP网站时，IE将弹出一个对话框 (图 5).

图 5. FTP 登 录对话框

如果你已经打开了网站并在验证对话框里 选择了“记住密码”的选项，该口令就会被保存在受保护的数据库中,所以恢复它是一件微不足道的工作。在PIEPR中 选择自动操作模式然后点击“下一步”，最后利用解密出的口令在对话框中找出我们需要的信息（标题栏中必须有网站名）。
    如我们所见，关于当前用户的口令的解密不应该有任何特殊的困难。如果因为某种原因口令没有找到，不要忘 记还可以检查一下IE的自动完成的设置 (图2)。可能的话，你只需要 在程序中不设置记住密码就行了。

案 例2:我们需要恢复网站口令，但操作系统却无法启动。

这是一个典型的但并不致命的情况。当Windows 系统重装失败但又需要恢复IE口令的情况十分常见。
    在任意一个案例中，我们将用户的所有的文件放入旧的注册信息文件夹中。这项设置已可以确保正常完成工作 了。在重装的案例中，Windows 本来很有远见地将旧的注册信息保存在一个不同的名目下。例如，如果你输入的名字是John， 在重命名后可能会是John.WORK-72C39A18。
    首先你需要做的是进入旧的注册信息的文件夹。有两种方法：

1. 在另一块硬盘驱动器中安装一个 新的操作系统，如Windows XP。
2. 创建一个Windows NT来运行磁盘 。有许多各种各样的公用系统程序能够通过光驱、USB闪存等在线运行。例如，你可 以使用WinPE 或者BartPE， 或者其它的。 如果你的旧的注册信息保存在你的硬盘中的一部分NTFS 中，运行的系统就必须支持NTFS。

让我们采取第一种路线。一旦我们能够进 入到旧的注册信息中，我们需要让系统使那些隐藏的系统文件可见。否则我们需要查看的文件将看不到。打开控制面板，点击文件夹选项，然后选择查看。在这一框 中找到“显示隐藏的文件和文件夹”的选项并选择，清除“隐藏受保护的操作系统文件”的选项。当恢复了需要的口令后，最好重新设置选项使其恢复之前的状态。 打开程序安装向导的手动模式并进入旧注册表文件。在本案例中路径是 C:\Documents And Settings\ John.WORK-72C39A18\ntuser.dat. 此处 John.WORK-72C39A18 是旧的账户名。点击“下一步”。
    该数据在正常情况下应该能满足IE口令的恢复工作。然而，如果有至少一个单 独的加密FTP口令，程序就会要求另外的数据，如果没有如下其它数据的话将不能恢复该类型的口令（图4）：

• 用户口令
• 用户的 Master Key
• 用户的SID

正常的情况下，程序将在用户的文档和文 件中找到最后两个项目并自动填入该数据。但是，如果该项失败的话，你就需要手动操作。复制ntuser.dat和 用户的Master Key 的文件夹至另外的文件夹中，重要的是必须复制全部文件夹，其中可能包 含了一些密钥，程序将自动选择正确的那一个。然后进入你已拷贝至另外文件夹中的ntuser.dat文 件。就是这样，现在我们需要输入旧的账户口令，然后恢复工作将完成。如果你不关心FTP口令，你可 以略过用户口令、Master Key以及SID直 接进入对话框。

案例 3:恢复没有正常保存的口令

当我们有时候在浏览器中打开一个网站的 时候，身份验证的对话框将自动弹出。如果没有选中IE中的“记住密码”选项，PIEPR既不能自动 也不能手动恢复该口令。我们需要想其他办法恢复该口令。
    事实上，有一些网站并不允许浏览器将口令保存在自动完成口令的列表中。通常这些网站写入了JAVA程 序或者它们使用了可选择性的其它的口令保存方式。如，它们将口令保存在cookies中。
    如果密码字段都是星号的话，解决办法就清晰了：选择查看星号密码操作模式然后打开魔法放大镜的对话框。 然后只需简单地拖曳放大镜到IE窗口，(图 6)。

图6. 口 令隐藏于星号之下。

口令 (如果IE窗口已有一些星号字段时) 将 会显示在PIEPR窗口中 (图 7)。

图 7. 使 用放大镜。

但并不总是如此简单。口令字段有可能是 空的或者字段本身就包含星号。在这种情况下，正如你所猜测的，查看星号密码工具将处于无用之地。
    我们可以猜测，口令被保存于cookies中。我们来试着找出它。选择IE Cookie 查看器工具(图 8)。

 

图 8. IE Cookie 查 看器。

出现的对话框将会列出保存在电脑上的cookies。 点击网址列标题使网站按字母表顺序排列。这能帮助我们找到正确的网站。选择列表中我们需要的项目。列表会显示出已解密的网站的cookies (图9)。

图9. 已 解密的cookies。

如图所示，在本案例中登录口令并没有被 加密也没有保存为纯文本的形式。
    Cookies常常被加密。在本案例中，你不大可能成功恢复口令。为了恢复旧的账户你唯一可以尝试的事 情是创建一个新的账户。然后你可以在一个文件查看器里复制旧cookies以替换新账户的。但是，这种做法只适用于情况坏得不 能再坏时，在正常情况下并不推荐此法。
    同时不要忘记所有的含有口令的页面都有“忘记密码”的按钮。 

结 论

如文中所述，由于并不要求任何专业的知 识或者技能，恢复IE口令是一项如此简单的工作。但是，尽管它看起来是如此简单，口令加密方案和算法都是经过深思熟虑和反复实 验了的。虽然受保护的数据库的概念已有超过10年的历史，但是不要忘记它已经被证明是专家一直推荐的最好的保护方式，而且它已 经伴随了该流行的浏览器三代了。
    随着最新版IE7的问世，微软正在准备使用全新的方案来保护我们的隐私数 据，这种方案可能是使用一种先进的加密算法并消除受保护的数据库特有的一些缺点。

特别是，通过对IE7测 试版的分析显示出自动形成口令加密的密钥将不再与数据保存在一起。它们将不再被周期性的保存！ 这是一个小秘密，这一点将被专业人员和终端用户发现其真正的价值。
    但最主要的是，这种观念将消除受保护的数据库特有的主要缺点，并且，它还可以实现恢复口令但不需要任何 其它的信息。说得更好一点，它足够使一个黑客能够从物理层面上进入一个硬盘的目录并窃取或者破坏口令以及用户的其它隐私信息。但随着IE7正 式版的发行，这种情况将有所改变。
    同时，我们不得不继续不耐烦的等待Windows Vista和IE7的 发行以便进一步观察其新的加密机制。