Windows 系統緊急存取工具：SART (前稱 SWI)

【免責聲明 / Legal Disclaimer】
本工具及本文僅供技術演示、系統管理員緊急救援（如：恢復遺失的管理員權限）及授權審計使用。嚴禁利用本技術進行任何未經授權的系統存取或非法入侵行為。使用者需自行承擔操作本工具之所有風險與法律責任。

在企業IT維運或電腦維修的場景中，技術人員經常面臨作業系統憑證遺失，卻必須進入系統檢視事件檢視器 (Event Viewer) 或記憶體傾印 (Minidump) 以進行故障排除的情況。例如，當需要診斷硬碟錯誤區塊 (Event ID 7) 或執行特定需要登入環境的診斷工具（如 Sysinternals Suite）時，若因無法聯絡使用者而導致維修延宕，將影響服務效率 (SLA)。

為了解決此問題，除了重灌系統或等待使用者回覆外，系統管理員可採用「緊急存取恢復」手段，在不破壞原有使用者資料的前提下，暫時取得系統控制權。

現行解決方案比較

業界常見繞過或重設 Windows 驗證的方法主要分為幾類：

• 暴力破解 (Brute Force)： 利用 GPU 加速 (如 Elcomsoft) 運算，但耗時且不保證成功。
• 強制重設密碼： 使用 ERDCommander 或 NTPWEdit。此法風險較高，若系統啟用 EFS (加密檔案系統)，強制重設密碼將導致加密資料永久遺失。
• 記憶體/核心掛載： 如 Konboot，直接繞過核心驗證程序。
• 臨時權限配置 (推薦)： 透過系統漏洞或離線編輯，暫時建立一個最高權限的維護帳戶。

為了確保資料完整性與使用者隱私，我們推薦使用最後一種方法：建立臨時審計帳戶。此方法不會修改使用者原有的密碼，且在維護完成後可完全移除痕跡。

System Access Restoration Tool (SART) 自動化方案

本方案採用經典的「協助工具二進位替換」(Accessibility Binary Replacement) 技術。原理是在 Windows 載入前（離線狀態），將協助工具 sethc.exe (相黏鍵) 或 utilman.exe 暫時替換為系統殼層 cmd.exe。

為了簡化繁瑣的手動指令操作，我們開發了自動化批次腳本 —— System Access Restoration Tool (SART)（前稱 SWI），將部署、權限提升及後續的清理工作標準化。

Phase 1: 離線部署 (Deployment)

首先，需透過 Windows PE 或其他可開機媒體啟動電腦，並執行 SART.bat。腳本會自動搜尋目標 Windows 安裝路徑。

注意：若目標系統為 Windows Vista/7/10+ 且啟用了 UAC，腳本可能會提示暫時關閉 UAC 以確保替換成功（系統復原時將自動重新啟用）。

圖 1：SART 於 Windows PE 3.0 環境下的部署畫面

圖 2：自動搜尋並鎖定目標 Windows 系統

圖 3：於 Legacy PE (NoName XPE) 完成部署

Phase 2: 權限恢復 (Access Restoration)

正常啟動 Windows 後，於登入畫面連按 5 次 Shift 鍵。系統將彈出具備 NT Authority\System 權限的命令提示字元。

輸入指令 adduser (或舊版指令 adduser1)，腳本將自動執行以下操作：

• 建立臨時維護帳號 temp 或 temp_admin
• 設定預設密碼 Password12! (注意大小寫)
• 強制重新整理歡迎畫面 (Logon UI)

圖 4：Windows 7 環境下觸發 SART 並建立憑證之演示

Phase 3: 系統還原與軌跡清除 (Sanitization)

完成維護作業後，務必執行系統還原以確保資訊安全。請在「執行」視窗或命令提示字元中輸入 clean。

自動化清理程序包含：

• 刪除臨時帳戶 (temp 或 temp_admin)。
• 將 sethc.exe 還原為系統原始檔案。
• 清除登入歷史紀錄 (Last Logon)。
• 重新啟用 UAC (若初始狀態為開啟)。
• 排程於下次重啟時刪除殘留的使用者設定檔 (User Profile)。

即使清理指令執行過程中遇到權限阻擋，核心的還原工作通常已完成，殘留檔案對系統運作無影響，且一般使用者難以察覺。

系統相容性： 本工具已驗證支援 Windows XP, Server 2003, Vista, Windows 7 (x86/x64)，並相容於多種 WinPE 基礎環境 (PE 1.x - 3.0)。

📥 資源下載
前往 GitHub 下載 SART（前稱 SWI）

分享本文：