Как получить хеш пароля из файла SAM с помощью regedit

Question

Как получить хеш пароля из файла SAM с помощью regedit

Я уже некоторое время пытаюсь получить хеши паролей из файла SAM. Я не хочу загружать программу, которая получит ее для меня; во-первых, потому что я хочу сделать это сам, а во-вторых, потому что все, что я скачал, были вредоносными.

Довольно скоро я понял, что не могу получить доступ к SAM в реестре, когда вошел в систему под своей учетной записью (которая является администратором), поэтому я решил поменять "utilman.exe" на копию "cmd.exe" и, таким образом, я могу получить доступ SAM как "система", когда вышел из моей учетной записи.

Мне удалось экспортировать весь SAM на мой рабочий стол, как в формате ".reg", так и в формате ".txt". Проблема в том... Я не знаю, с чего начать искать хэш пароля. Интересно, что при открытии версии ".txt" я понял, что она отличается от смены версии ".reg" на файл ".txt". Пример показан здесь:

00000000 07 00 01 00 00 00 00 00 - 98 00 00 00 02 00 01 00................ Текстовая версия по умолчанию

[HKEY_LOCAL_MACHINE\SAM\SAM] "C"= шестнадцатеричный: 07,00,01,00,00,00,00,00,98,00,00,00,02,00,01,00,01,00,14, 80,78,00,00, \Reg файл изменен на txt

Любая помощь приветствуется. Что касается намерений, я просто пытаюсь поэкспериментировать с окнами.:)...

1

hash passwords hex regedit sam

Источник

user3672932 12 окт '15 в 08:54

1 ответ

Решение

Другие вопросы по тегам hash passwords hex regedit sam

user4134974 19 янв '16 в 15:11 2016-01-19 15:11 · Accepted Answer · 2016-01-19 15:11

Это помогло мне загрузить. Здесь вы можете увидеть хэш пароля LM (Lan Manager) и хэш NT. Я нашел их в своем реестре и нашел это точно.

РЕДАКТИРОВАТЬ

Как найти расположение значений во втором блоке из первого (для автоматизированных программ). Потому что первый блок всегда будет выглядеть так (например, рабочие станции с номером 0078), а второй будет иметь разные значения и находиться в разных местах, поэтому он работает так:

Выберите первые 4 байта, например: 90 01 00 00
Обратитесь к ним, например: 00 00 01 90 ПРИМЕЧАНИЕ. Я не менял значения, только порядок байтов, поэтому 90 все еще равен 90, а не 09)
Десятичное преобразование 00000190 в гекс, чтобы получить BE
Hex конвертировать BE, чтобы получить 190
Шестнадцатеричное преобразование (снова) 190, чтобы получить 400 (что теперь является нашим десятичным значением)
Добавьте CC (десятичное число CC равно 204) в десятичной форме, которая равна 204 и 400, чтобы получить 604 (ПРИМЕЧАНИЕ: CC нужно добавить к каждому уравнению, которое вы делаете, иначе оно не будет работать)
От шестнадцатеричного до 604, чтобы получить 25C. Тогда, если вы посмотрите на второй блок это 0258, 0259, 025A, 025B, 025C. Тогда 025C (25C) - ваша ценность.