Во-первых, для установленного вредоносного ПО не обязательно пытаться украсть ваши пользовательские учетные данные, но в случае, если они это сделали, пароли всех пользователей хранятся в реестре в виде хэша. Большинство ботнетов устанавливают наборы RASkits, которые позволяют пастухам подключаться к сервисам на коробке без паролей Windows.
Есть несколько инструментов для взлома хешей аутентификации Windows. Одним из самых известных является почтенный L0phtCrack (и OphCrack с открытым исходным кодом). В настоящее время электроинструменты, такие как HashCat , используются для взлома большого количества хэшей в больших объемах.
См. Дополнительную информацию и пошаговые инструкции здесь: http://www.onlinehashcrack.com/how-to-extract-hashes-crack-windows-passwords.php