C windows system32 sethc exe

Может случится, что вы забыли пароль для входа в Windows и не можете войти в компьютер. В этой статье мы покажем, как сбросить пароль учетной записи локального администратора в Windows 10/11 и Windows Server 2022/2019/2016 с помощью установочной USB флешки с Windows.

Для сброса пароль локального администратора вам понадобится любой установочный образ с Windows 10 или 11. Проще всего создать загрузочную USB флешку с Windows с помощью утилиты Media Creation Tool, или воспользуйтесь утилитой rufus для записи скачанного ISO образа Windows на USB флешку.

1. При загрузке компьютера войдите в настройки BIOS/UEFI и выберите вашу USB флешку в качестве первичного загрузочного устройства. Для этого нужно при загрузке нажать клавишу
   F1
   ,
   F2
   или
   Del
   (в зависимости от модели оборудования), найти пункт Boot Order/Boot Device Priority (название пунктов меню и внешний вид зависит от производителя и версии/прошивки BIOS/UEFI компьютера), и выбрать вашу USB флешку (Removable drive) в качестве первого загрузочного устройства;
   

   Картинка с сайта: winitpro.ru

2. При загрузке компьютер должна появится надпись Press any key to boot from CD/DVD/USB;
3. Перед вами появится окно установки Windows. Нажмите сочетание клавиш
   Shift+F10
   чтобы открыть окно командной строки;
4. Теперь вам нужно определить букву диска, которая назначена разделу, на котором установлена ваша Windows. Выполните команду: w
   mic logicaldisk get volumename,name
5. В моем примере видно, что Windows находится на диске
   C:
   . Именно эту букву мы будем использовать в следующих командах;
   

   Картинка с сайта: winitpro.ru

   Если ваш системный диск зашифрован с помощью Bitlocker, и у вас есть пароль для расшифровки, вам нужно сначала расшифровать диск
   manage-bde -unlock С: -pw
   . И только после этого нужно сбросить пароль пользователя.

   Также вы можете идентифицировать диски и назначенные им буквы разделов в среде WinPE с помощью утилиты diskpart. Выполните последовательно команды:
   diskpart
   ->
   list disk
   (выведет список доступных жестких дисков) ->
   list vol
   (вывести список раздеолв и назначенные им буквы диски. В нашем примере на компьютере только один диск Disk 0 с GPT разметкой. На нем находится три раздела: системный раздел EFI (с файловой системой FAT32, который содержит загрузчик EFI для Windows), раздел восстановления (Recovery, со средой восстановления Win RE) и основой раздел с файловой системой NTFS и размером 39Гб (разделу назначена буква диска C).

   

   Картинка с сайта: winitpro.ru

6. Выполните следующую команду чтобы создать резервную копию оригинального файла utilman.exe:
   copy C:\windows\system32\utilman.exe C:\windows\system32\utilman.exebak
7. Затем замените файл файл utilman.exe файлом cmd.exe:
   copy c:\windows\system32\cmd.exe c:\windows\system32\utilman.exe /y
   
   

   Картинка с сайта: winitpro.ru

8. Извлеките загрузочную флешку/диск с установочным образом Windows и перезагрузите компьютер:
   wpeutil reboot
9. Загрузите в обычном режиме Windows, которая установлена на вашем комьютере. На экране входа в систему нажмите «Специальные возможности» (Easy of access/Accessibility);
   

   Картинка с сайта: winitpro.ru

10. Должно открыться окно командой строки Убедитесь, что данная консоль запущена от имени системы (NT Authority\SYSTEM):
    whoami
    
    

    Картинка с сайта: winitpro.ru

11. Из этой командной строки вы можете управлять локальными учетными записями Windows:
    Выведите на компьютере список учетных записей с правами администратора:
    net localgroup administrators

    В русской версии Windows в этой и последующих командах нужно заменить название группы Administrators на Администраторы.

    В нашем примере в группе два пользователя. Вы можете сбросить пароль любого из этих пользователей, чтобы войти в Windows.

    

    Картинка с сайта: winitpro.ru

    Если данная группа пустая, значит нужно назначить права администратору любому из пользователей Windows. Выведите список всех пользователей:
    net
    userЧтобы добавить пользователя user1 в группу локальных администраторов, выполните команду:

    net localgroup administrators user1 /add

    Если на компьютере отсутствуют другие пользователи, кроме встроенной учетной записи Administrator, нужно сбросить пароль этого пользователя.

    Если на вашем компьютере используется учетная запись Microsoft, вы можете сбросить ее пароль через _https://account.live.com/password/reset. Если восстановить пароль таким образом не удается, вам нужно включить локальную учетную запись Administrator, сбросить ее пароли и войти под ней. В дальнейшем рекомендуем вам создать отдельного локального пользователя с правами администратора, или добавить нового пользователя с облачной учетной записью Microsoft.

12. Чтобы сбросить пароль пользователя (в нашем примере он называется root), выполните команду:
    net user root *
    Задайте новый пароль и подтвердите его (новый пароль должен соответствовать вашей политике паролей в Windows);
13. Теперь нужно проверить, что ваша учетная запись включена. Выведите информацию об аккаунте:
    net user root
    Если пользователь отключен (Account active: No ), его нужно включить:
    net user root /active:yes
    

    Картинка с сайта: winitpro.ru

14. Перезагрузите компьютер, еще раз загрузитесь с загрузочной USB флешки и замените файл utilman.exe исходным файлом (чтобы не оставлять лазейку в безопасности Windows):
    copy c:\windows\system32\utilman.exebak c:\windows\system32\utilman.exe /y
    
    Извлеките флешку, перезагрузите компьютер;
15. Теперь вы можете войти в Windows с помощью учетной записи, для которой вы сбросили пароль.

    Если при входе пользователя появляется ошибка Этот метод входа запрещено использовать для входа в Windows, значит на компьютере включена соответствующая групповая политика. Вы можете отключить ее с помощью редактора локальной GPO (gpedit.msc). Эту консоль также можно запустить из командной строки на экране входа в Windows.

В данном примере мы показали, как сбросить пароль с помощью подмены файла utilman.exe. Этот же способ подмены файлы применим и для исполняемого файла
sethc.exe
. Если вы заменили sethc.exe на cmd.exe, для вызова командной строки на экране входа в Windows достаточно 5 раз нажать клавишу Shift (срабатывает режим залипания и вызывается исполняемый файл sethc.exe).

После сброса пароля пользователя вам будут доступны все файлы в профиле, программы и настройки, сохраненные пароли в диспетчере учетных записей Windows и все другие данные, доступные под пользователем (обратите внимание, что вы можете потерять доступ к файлам, зашифрованным EFS).

Обратите внимание, что если ваш компьютер добавлен в домен Active Directory, то на него могут действовать различные настройки через доменные групповые политики (GPO). В целях безопасности администраторы домена могут назначить на компьютеры специальные политики, которые, например отключают все локальные учетные записи, удаляют локальных пользователей из группы администраторов, или автоматически меняют пароль встроенной учетной записи администратора (через LAPS). Если вам нужно сбросить пароль администратора на таком компьютере, вам сначала нужно сбросить локальные политики и кэш GPO, и затем отключить компьютер от сети. Только после этого вы сможете войти в Windows под локальным админом с новым паролем.

sethc.exe: The Sticky Keys Enabler

sethc.exe is a legitimate Windows executable file associated with the «Sticky Keys» accessibility feature. It’s a crucial component for users who have difficulty holding down multiple keys simultaneously (e.g., Ctrl+Alt+Del). However, due to its specific triggering mechanism, it has historically been a target for privilege escalation attacks. This article will delve into its functionality, potential security risks, and how to mitigate those risks.

Functionality — What Does sethc.exe Do?

The primary purpose of sethc.exe is to launch the Sticky Keys feature. Sticky Keys allows modifier keys (Shift, Ctrl, Alt, and Windows key) to remain «pressed» after being tapped once, instead of requiring them to be held down. This is activated by pressing the Shift key five times in rapid succession. When this sequence is detected, the operating system executes sethc.exe, which displays the Sticky Keys dialog box, prompting the user to enable or disable the feature.

How it works (technically):

1. Keystroke Monitoring: Windows constantly monitors keyboard input. This is handled at a very low level within the operating system kernel.
2. Shift Key Detection: A specific counter is incremented each time the Shift key is pressed and released without any other key presses in between.
3. Threshold Trigger: When the counter reaches five (within a short time window), the system identifies this as the Sticky Keys activation sequence.
4. sethc.exe Execution: The operating system then launches sethc.exe, which resides in the %SystemRoot%\System32 directory (typically C:\Windows\System32).
5. Dialog Display: sethc.exe displays the Sticky Keys confirmation dialog. The user’s choice is then recorded in the system registry, enabling or disabling the feature.

Security Implications — The sethc.exe Vulnerability

While sethc.exe itself is not a virus, it has been exploited in the past as a vector for gaining unauthorized system access. The vulnerability lies in the fact that sethc.exe can be executed before a user logs in, at the Windows logon screen. This is because the Shift key sequence can be triggered before entering a username and password.

The Classic Attack (Mitigated in Modern Windows):

1. Boot from External Media: An attacker would boot the target computer from a bootable USB drive or DVD containing a Windows installation or repair environment.
2. Access System Files: Using the command prompt in the recovery environment, the attacker would navigate to the C:\Windows\System32 directory (assuming C: is the system drive).
3. Replace sethc.exe: The attacker would then replace sethc.exe with a copy of cmd.exe (the command prompt). Often, this was done by first renaming sethc.exe (e.g., to sethc.exe.bak) and then renaming cmd.exe to sethc.exe.
4. Reboot: The system is rebooted normally.
5. Trigger at Logon: At the logon screen, the attacker would press the Shift key five times. Instead of the Sticky Keys dialog, a command prompt window would appear with System-level privileges.
6. Privilege Escalation: With System-level privileges, the attacker could create new administrator accounts, reset existing passwords, access sensitive data, and generally compromise the system.

Why this worked (and why it’s harder now):

• Pre-Logon Execution: The ability to execute sethc.exe before login was the critical flaw.
• System Privileges: sethc.exe, when launched by the system in this pre-logon context, runs with the highest level of privileges (SYSTEM).
• File System Permissions (Older Windows): In older versions of Windows (e.g., Windows XP), file system permissions were less restrictive, making it easier to modify system files from a recovery environment.

Mitigation Strategies (How Modern Windows Defends Against This):

• Secure Boot: UEFI Secure Boot prevents unauthorized operating systems and bootloaders from running, making it much harder to boot from external media without proper authorization.
• BitLocker Drive Encryption: Encrypting the system drive with BitLocker prevents attackers from accessing system files, even if they can boot from external media.
• System File Protection (SFP) / Windows Resource Protection (WRP): Windows now includes mechanisms to protect critical system files from unauthorized modification, even by administrators. Attempts to replace sethc.exe are typically blocked.
• Integrity Checks: Modern Windows versions perform integrity checks on system files, and may automatically restore modified files from backups.
• AppLocker/Software Restriction Policies: These group policy settings can prevent execution of unauthorized applications.

Is sethc.exe a Virus?

No, sethc.exe is not a virus. It is a legitimate component of the Windows operating system. However, as described above, it can be exploited by malicious actors. The presence of sethc.exe in its expected location (C:\Windows\System32) is normal.

Can sethc.exe Become a Virus?

sethc.exe itself cannot «become» a virus. However, a virus or malware could replace the legitimate sethc.exe file with a malicious one. This malicious replacement would then be executed when the Shift key is pressed five times. The replacement file could contain any type of malicious code.

How to Determine if sethc.exe is Compromised:

1. File Size and Hash: Check the file size and cryptographic hash (e.g., SHA-256) of sethc.exe and compare it to known good values. You can use PowerShell:

   powershell
Get-FileHash C:\Windows\System32\sethc.exe -Algorithm SHA256

   Compare the output to the SHA256 hash value from a known-good, clean Windows installation (ideally, the same version and build). You might find reference hash values online, but verify their source carefully.
   2. Digital Signature: Check the digital signature of the file. Right-click on sethc.exe, select «Properties,» and go to the «Digital Signatures» tab. It should be signed by Microsoft Windows. If there’s no signature, or the signature is invalid, the file is likely compromised.
   3. System File Checker (SFC): Run the System File Checker to scan for and repair corrupted system files:

   cmd
sfc /scannow

2. Antivirus Scan: Run a full system scan with a reputable antivirus program.

3. Behavioral Analysis (Advanced): If you have triggered sethc.exe, monitor the actions. If a command prompt or unexpected programs run, that’s cause of action to investigate.

Removing or Disabling sethc.exe (Not Recommended):

Directly removing or disabling sethc.exe is strongly discouraged. It’s a core system file, and removing it might cause unexpected system behavior or instability. If you need to disable Sticky Keys, do so through the standard Windows settings:

1. Settings App: Go to Settings > Ease of Access > Keyboard.
2. Control Panel: Go to Control Panel > Ease of Access Center > Make the keyboard easier to use.
3. Registry (Advanced): You can modify the registry settings directly, but this is not recommended for most users.

Conclusion:

sethc.exe is a legitimate and essential Windows file for enabling Sticky Keys. While it has been a target for exploitation in the past, modern Windows versions include robust security measures to mitigate these risks. Understanding the potential vulnerabilities and how to check for compromise is crucial for maintaining system security. Directly manipulating sethc.exe is not recommended; instead, utilize built-in Windows features and security tools to manage Sticky Keys and protect your system.

Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3DNews не несет никакой ответственности за любые возможные последствия.

В Windows уже давно для хранения паролей всех пользователей и управления ими используется система SAM. Вся информация в ней хорошо защищена, поэтому для того чтобы узнать пароль, придётся затратить кучу времени и ресурсов, особенно если он достаточно сложный. Чаще всего, однако, вовсе не требуется именно узнать пароль — достаточно сбросить его или поменять. Для этого разработано несколько утилит, одной из которых мы воспользуемся. Ещё один важный момент — очевидно, что, когда ОС запущена, она не позволит просто так влезать в хранилище паролей. Поэтому надо убедиться, что компьютер поддерживает загрузку с CD/DVD- или USB-носителя, чтобы запустить нужные утилиты.

Самая известная из них — это Offline NT Password and Registry editor, которая умеет работать с паролями и реестром Windows XP/Vista/7. Скачайте USB- или CD-версию утилиты, запишите загруженный образ на диск или воспользуйтесь нашими советами по созданию мультизагрузочной флешки. Утилита не имеет графического интерфейса, но пугаться этого не стоит — всё в ней довольно просто и понятно. К тому же часто нужная опция предлагается по умолчанию, так что от вас потребуется только нажать клавишу Enter.

Картинка с сайта: 3dnews.ru

Картинка с сайта: 3dnews.ru

Загрузитесь со съёмного носителя Offline NT Password and Registry editor. Вам вряд ли понадобятся дополнительные опции загрузки, но в некоторых случаях придётся опытным путём подобрать те, которые помогут утилите запуститься. На следующем этапе надо выбрать номер раздела, на котором установлена Windows. Ориентироваться придётся в первую очередь по его размеру. В принципе, до самого последнего момента программа не вносит никаких изменений в Windows, поэтому в случае ошибки можно просто начать процедуру сброса пароля заново.

Картинка с сайта: 3dnews.ru

Картинка с сайта: 3dnews.ru

Затем утилита попросит указать путь до папки, где находятся файлы SAM (фактически это куст реестра). По умолчанию это X:/Windows/System32/config, его же и предлагает вначале программа. Потом надо выбрать первый пункт (Password reset), так как мы собрались сбросить пароль.

Картинка с сайта: 3dnews.ru

Картинка с сайта: 3dnews.ru

Дальше всё просто. Выбираем первый пункт (Edit user data and password) и вписываем имя пользователя или его идентификатор в формате 0xabcd, где abcd — это RID, указанный в первом столбце. RID пригодится, если имя пользователя некорректно отображается или его не получается ввести. Например, при использовании кириллицы.

Картинка с сайта: 3dnews.ru

Картинка с сайта: 3dnews.ru

Осталось указать пункт 1 (сброс пароля) или 2 (смена пароля) для выбранного пользователя. Выходим из режима редактирования пароля, введя восклицательный знак и нажав Enter.

Картинка с сайта: 3dnews.ru

Картинка с сайта: 3dnews.ru

Всё, почти готово. Вводим q, нажимаем Enter, а затем соглашаемся с внесением изменений, введя y и ещё раз нажав Enter. Отказываемся от дальнейшей работы в Offline NT Password and Registry editor (n), извлекаем флешку или CD-диск и нажимаем заветную комбинацию Alt+Ctrl+Del для перезагрузки. Готово — пароль сброшен!

Картинка с сайта: 3dnews.ru

Картинка с сайта: 3dnews.ru

Это был простой способ сброса пароля Windows 7. Сложностей с ним быть не должно. Надо всего лишь быть внимательным и аккуратным. Проблемы могут возникнуть только при отсутствии необходимых драйверов для работы с жёстким диском. Тогда придётся закинуть их на дискету (если вы, конечно, найдёте живого представителя этого почти вымершего вида и рабочий привод для него) или на USB-флешку и на первом этапе выбрать пункт fetch additional drivers.

Для второго и третьего способов понадобится только установочный диск Windows 7 и больше ничего. Более сложный вариант подразумевает включение изначально скрытой учётной записи «Администратор» путём правки реестра из установочной среды Windows 7. В дальнейшем можно будет войти в систему под этой учёткой и отредактировать любой другой аккаунт в ОС. По умолчанию «Администратор» не имеет пароля, что только играет нам на руку.

Картинка с сайта: 3dnews.ru

Картинка с сайта: 3dnews.ru

Итак, загружаемся с установочного диска и нажимаем Shift+F10 для вызова командной строки, где вбиваем regedit и жмём Enter для запуска редактора реестра.

Картинка с сайта: 3dnews.ru

Картинка с сайта: 3dnews.ru

Выделяем раздел HKEY_LOCAL_MACHINE, а в меню выбираем «Файл» → «Загрузить куст…» (File → Load hive…). Нам надо открыть файл SAM, который находится в папке \Windows\System32\config на том разделе, где установлена Windows 7. При открытии будет предложено ввести имя загружаемого куста — вбивайте любое.

Картинка с сайта: 3dnews.ru

Теперь надо выбрать раздел HKEY_LOCAL_MACHINE\имя_куста\SAM\Domains\Account\Users\000001F4 и дважды кликнуть по ключу F. Откроется редактор, в котором надо перейти к первому числу в строке 038 — это 11. Его надо изменить на 10. Будьте аккуратны и не ошибитесь — поменять надо только его, не добавляя и не удаляя другие числа!

Картинка с сайта: 3dnews.ru

Картинка с сайта: 3dnews.ru

Теперь надо выделить наш куст HKEY_LOCAL_MACHINE\имя_куста\ и в меню выбрать «Файл» → «Выгрузить куст…» (File → Unload hive…), а затем подтвердить выгрузку куста.

Картинка с сайта: 3dnews.ru

Картинка с сайта: 3dnews.ru

Всё, можно перезагрузиться, вытащив предварительно установочный диск, и войти в систему под администраторским аккаунтом. В панели управления Windows в разделе управления пользователями можно изменить настройки другой учётной записи. В том числе поменять пароль.

Картинка с сайта: 3dnews.ru

Остался последний способ, неправильный. Почему неправильный? Потому что мы займёмся подменой системных файлов, а это дело неблагородное. В чём заключается основная идея? Всё просто — в ОС по умолчанию включена функция детектирования залипающих клавиш. Вы с ней наверняка сталкивались хотя бы раз, а если нет — то просто быстро нажмите Shift не менее 5 раз, и вы увидите вот такое замечательное окошко:

Картинка с сайта: 3dnews.ru

Окошко это принадлежит маленькой вспомогательной программке sethc.exe, которая лежит в системной директории Windows. Более того, она запускается даже на экране приветствия, когда вам предлагают выбрать пользователя и ввести пароль. Но ведь её можно заменить чем-нибудь полезным. К примеру, cmd.exe. Естественно, не прямо в запущенной ОС, а загрузившись с установочного диска Windows 7 и нажав Shift+F10.

Картинка с сайта: 3dnews.ru

Начать надо с определения буквы диска, на котором установлена Windows. Самое легкое — просто просмотреть содержимое корня раздела командой dir. C:, скорее всего, будет виден как D:, но необязательно.

Картинка с сайта: 3dnews.ru

Определившись с буквой тома, выполняем две простые команды — одной копируем на всякий случай оригинальный файл sethc.exe в корень диска или куда душе угодно, а второй меняем его на cmd.exe.

copy d:\windows\system32\sethc.exe d:\
copy d:\windows\system32\cmd.exe d:\windows\system32\sethc.exe

Перезагружаемся, быстро нажимаем несколько раз клавишу Shift (или Ctrl, или Alt) и наблюдаем окно с командной строкой. В нём надо ввести ещё одну команду, подставив соответственно имя нужного пользователя и новый пароль. С другими параметрами этой команды можно ознакомиться в официальной справке.

net user имя_пользователя новый_пароль

Картинка с сайта: 3dnews.ru

Если вы захотите вернуть всё на круги своя, то надо снова загрузиться с установочного диска, открыть консоль и выполнить команду:

copy d:\sethc.exe d:\windows\system32\sethc.exe

Впрочем, можно ничего не восстанавливать, а оставить такой маленький трюк в системе на всякий случай. Помимо перечисленных выше способов, есть множество других методик сброса или восстановления пароля в Windows, но сейчас мы их рассматривать не будем. Ещё раз призываем наших читателей быть внимательными и аккуратными при работе с внутренностями ОС, а ещё лучше не доводить ситуацию до «хирургического» вмешательства в SAM. Удачного вам восстановления доступа к учётным записям!