Mögliches Duplizieren:
Wie werden Windows-Passwörter behandelt?
Kann mir jemand eine Vorstellung davon geben, wie Kennwörter im Windows-Betriebssystem gespeichert werden?
Mögliches Duplizieren:
Wie werden Windows-Passwörter behandelt?
Kann mir jemand eine Vorstellung davon geben, wie Kennwörter im Windows-Betriebssystem gespeichert werden?
Antworten:
Normalerweise speichert Windows Kennwörter auf einem einzelnen Computersystem in der Registrierung in einem Hash-Format unter Verwendung des NTLM-Algorithmus. Die Registrierungsdatei befindet sich in
C:\windows\system32\config\SAM.
Dieser Bereich der Registrierung verfügt über einschränkende Berechtigungen, sodass ein normaler Benutzer den Inhalt von nicht sehen kann HKLM\SAM
tief genug, um auf den Hash zuzugreifen. Um die Hashwerte anzeigen zu können, müssen die Berechtigungen für die Registrierungsschlüssel geändert werden. Dazu ist in Windows XP ein Administratorkonto auf dem System erforderlich. Ich bin nicht sicher, ob der Zugriff mit einem Administratorkonto unter Vista oder 7 möglich ist.
Sobald man jedoch Zugriff auf die Passworthashes hat, ist es schwierig, die Passwörter erneut zu erhalten. Es gibt viele Stellen im Internet, an denen Sie Informationen zum Brute-Forcieren eines NTLM-Hashes finden können. Wenn Sie jedoch lediglich versuchen, ein Kennwort zurückzusetzen, würde ich die Verwendung des Offline-NT-Kennwort- und Registrierungs-Editors empfehlen.
Wenn Sie Ihre Arme nass machen wollen, wird der Hash unter dem Schlüssel gespeichert
HKLM\SAM\SAM\Domains\Account\Users\00000XXX
mit einem Wert namens V
. Der Hash wird in einem variablen Offset gespeichert, der im Offset gespeichert wird 0x9C
und ist ein kleiner 4-Byte-Endian-Wert.
Sie werden mit dem Hash-Befehl gehasht NTLMv2-Algorithmus und gespeichert in der SAM .