# Лабораторная работа №1 ## Цель работы Получить доступ к образу Windows, изучить его и восстановить утерянный файл. ## Решение ### Получение доступа к учетной записи пользователя 1. Выключаем ВМ 2. Подключаем в слот CD/DVD iso образ установки Windows 3. При включении ВМ заходим в BIOS и выбираем boot from CD/DVD 4. Входим в режим восстановления 5. Открываем консоль 6. Запускаем редактор реестров (`regedit`) 7. Загружаем новый `Hive` под названием `SAM` из `\Windows\System32\config` 8. Называем как угодно, например `PASS`  8. Открываем `HKEY_LOCAL_MACHINE\PASS\SAM\Users\Names` 9. Находим нужного нам пользователя и смотрим какое значение у него стоит в реестре 10. Заходим в папку с именем как у значения в этом реестре  11. Выбираем параметр `V` 12. Ставим выделенные на скриншоте пары значений в нули на строках `00A0` и `00A8`  13. Если сбрасываем пароль учетной записи Microsoft Account LiveID, то дополнительно нужно удалить следующие пять параметров: (ПКМ мыши, выбрать пункт `Удалить`) * CachedLogonInfo * InternetProviderGUID * InternetSID * InternetUID * InternetUserName 14. Нажимаем в списке слева по кусту `PASS` и в меню `Файл` выбираем `Выгрузить куст` 15. Перезагружаемся, пароль успешно сброшен ### Исследование образа 1. Проверяем историю браузера  2. Сканируем диск программой `R-STUDIO`  3. Восстанавливаем найденные файлы в отедльный диск, чтобы не менять состояние нужного нам образа 4. Сканируем диск программой `Puran`  5. Восстанавливаем файлы пользователя и системные  6. Среди восстановленных файлов находим zip-архив, который был в `$RecoveryFiles` 7. Извлекаем содержимое  8. Внутри была искомая курсовая работа  ## Выполнил Смирнов Михаил Владимирович БСБО-04-19