Файлы в \Windows\System32\config\
являются кустами реестра. Их двоичный формат технически непосредственно читается сторонним программным обеспечением, но на сегодняшний день это самый простой способ загрузить их в Windows и получить к ним доступ либо с помощью regedit.exe
либо с помощью стороннего программного обеспечения, использующего API-интерфейсы реестра. SYSTEM (и SAM, где на самом деле находится большинство средств аутентификации Windows) находятся в корневом ключе HKEY_LOCAL_MACHINE
. Вы также можете извлечь куст реестра с компьютера, чтобы загрузить его на другой компьютер. regedit
есть возможность открыть и смонтировать куст реестра.
Обратите внимание, что на любом загруженном компьютере с Windows кусты реестра SYSTEM и SAM будут монтироваться ОС и блокироваться для предотвращения доступа через файловую систему. Вы можете получить доступ к файлам напрямую, если вы смонтируете жесткий диск на другом компьютере (или загрузитесь с DVD, или с помощью флэш-накопителя, или чего-то еще). Вы также можете теоретически размонтировать кусты реестра, но критически важные для системы, такие как SYSTEM и SAM, заставили бы компьютер перестать работать довольно резко, если бы они были размонтированы, поэтому ОС не допустит этого.
Пароли Windows могут храниться несколькими различными способами, но наиболее распространенными на сегодняшний день являются хэши NTLMv2 (в частности, выходы односторонней функции NT v2 или NTOWFv2). Это относительно легко сломать; они используют устаревшие алгоритмы хеширования MD4 и MD5 и не содержат ничего, чтобы ограничить скорость вычисления хеша (например, то, как PBKDF2 требует многократного повторения одного и того же хеш-процесса), чтобы замедлить грубое форсирование. Тем не менее, вы не увидите фактические пароли в виде простого текста. Даже если ОС настроена таким образом, что можно получить простой текст паролей (это не так, по умолчанию), они хранятся в состоянии покоя при симметричном шифровании, поэтому вам необходимо получить ключ шифрования , Однако почти все используют хеши паролей и обычно только форму v2 (что, хотя и плохо по современным стандартам, намного лучше, чем односторонние функции NTLMv1 и pre-NT LANMAN).