Недавно я пытался найти свой пароль для Windows, когда увидел, что какое-то антивирусное программное обеспечение запросило мои учетные данные Windows для входа в мой компьютер. Поэтому я подумал, что тоже смогу получить свои собственные полномочия.

Проведя некоторые исследования, я обнаружил, что наши учетные данные хранятся в папке C:\Windows\System32\config\SYSTEM .

Поэтому я хотел бы спросить;

  • Есть ли способ открыть этот файл? Как я могу открыть это?
  • Даже если я открою его, он будет в читаемом формате или в зашифрованном формате?

1 ответ1

1

Файлы в \Windows\System32\config\ являются кустами реестра. Их двоичный формат технически непосредственно читается сторонним программным обеспечением, но на сегодняшний день это самый простой способ загрузить их в Windows и получить к ним доступ либо с помощью regedit.exe либо с помощью стороннего программного обеспечения, использующего API-интерфейсы реестра. SYSTEM (и SAM, где на самом деле находится большинство средств аутентификации Windows) находятся в корневом ключе HKEY_LOCAL_MACHINE . Вы также можете извлечь куст реестра с компьютера, чтобы загрузить его на другой компьютер. regedit есть возможность открыть и смонтировать куст реестра.

Обратите внимание, что на любом загруженном компьютере с Windows кусты реестра SYSTEM и SAM будут монтироваться ОС и блокироваться для предотвращения доступа через файловую систему. Вы можете получить доступ к файлам напрямую, если вы смонтируете жесткий диск на другом компьютере (или загрузитесь с DVD, или с помощью флэш-накопителя, или чего-то еще). Вы также можете теоретически размонтировать кусты реестра, но критически важные для системы, такие как SYSTEM и SAM, заставили бы компьютер перестать работать довольно резко, если бы они были размонтированы, поэтому ОС не допустит этого.


Пароли Windows могут храниться несколькими различными способами, но наиболее распространенными на сегодняшний день являются хэши NTLMv2 (в частности, выходы односторонней функции NT v2 или NTOWFv2). Это относительно легко сломать; они используют устаревшие алгоритмы хеширования MD4 и MD5 и не содержат ничего, чтобы ограничить скорость вычисления хеша (например, то, как PBKDF2 требует многократного повторения одного и того же хеш-процесса), чтобы замедлить грубое форсирование. Тем не менее, вы не увидите фактические пароли в виде простого текста. Даже если ОС настроена таким образом, что можно получить простой текст паролей (это не так, по умолчанию), они хранятся в состоянии покоя при симметричном шифровании, поэтому вам необходимо получить ключ шифрования , Однако почти все используют хеши паролей и обычно только форму v2 (что, хотя и плохо по современным стандартам, намного лучше, чем односторонние функции NTLMv1 и pre-NT LANMAN).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .