Используя информацию из этой ссылки: http://www.insecurity.be/blog/2018/01/21/retrieving-ntlm-hashes-and-what-changed-technical-writeup/#New_Style_Hash_Retrieval Я пытаюсь сделать то же самое ВМ с Windows 10. После получения доступа к файлам папки SAM я пытаюсь получить дважды зашифрованный NTLM-хэш и вектор IV. Согласно статье мне нужно перейти к смещению 0xA8 + CC в V-файле, чтобы получить хеш, и 0xB4 + CC, чтобы получить IV. Но у меня есть очень странные значения: смещение 0x174: 00 00 18 00 FF 07 ... для смещения хеша 0x180: (но я думаю, что смещение должно быть 0xB8 + CC, чтобы избежать пересечения) 20 00 00 00 20 02 ... для IV , Очень странные ценности. Я решил проверить хеш-значение NTLM с помощью программы pwdump7 и получить:
3B AA FA 04 1D 4E E7 ... нормальное значение.
Пожалуйста, помогите мне понять, что я делаю неправильно.