Я экспортировал SAM и SYSTEM как файлы кустов реестра, и мне было интересно, можно ли заглянуть внутрь этих файлов, чтобы увидеть, что они содержат? Я открыл их с помощью блокнота, но ничего значимого не увидел (по крайней мере, на мой взгляд). Поэтому я использовал ophcrack для загрузки локального SAM с помощью samdump2 и смог получить NT Hash. Я хочу знать, можно ли прочитать файл SAM любым другим способом, особенно в текстовых редакторах. Или, может быть, я должен спросить, как работает samdump2?
1 ответ
Конечно, вы можете открыть каждый файл в текстовом редакторе;)
Вопрос в том, сможете ли вы извлечь из него что-нибудь полезное. Это зависит от того, является ли это текстовым файлом или определенным форматом, а также от используемой кодировки. Я думаю, что в этом случае это неразборчиво из-за формата, а не кодировки.
Обычно есть несколько способов работы таких инструментов, как samdump2. Одним из них является доступ к файлу с привилегиями SYSTEM (который, я думаю, больше не работает в более современных системах), другим является загрузка некоторых драйверов файловой системы, которые просто игнорируют назначенные привилегии. Вот как например работает pwdump7
. Это, конечно, требует административных прав.