注册表的一个路径
自己编程的话,修改HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\LastKey的值为“我的电脑\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users”,然后打开Regedit 用现有的工具的话,可以用RegJump
获取到samkey之后的操作就是遍历HKLM\SAM\Domains\Account\Users,键值的获取和前面讨论的获取键值的流程一致,这里不再赘述,获取用户名和对应的哈希大体流程如下: 1、查询Users对应的键值,获取子键个数即用户的数量 2、遍历获取用户(Users下面的子键(RID)) 3、打开子键并获取键值(子键V的值) 4、解析获取到的键值...
2、使用syskey解密HKLM\\SAM 读取注册表项HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users下每个用户中F项和V项的内容,使用syskey进行一系列的解密 详细解密过程可参考如下链接: http://www.xfocus.net/articles/200306/550.html 综上,想要通过SAM数据库获得用户hash,需要获得两个文件:HKLM\\SYSTEM和HKLM...
在HKEY_LOCAL_MACHINE\SAM\SAM\Domains下是SAM的内容,其下有“Account”和“Builtin”两个分支。 Domains\Account\Users下存放的是各个账号的信息,这些信息是加密的二进制数据。每个账号下有两个子项:F和V。项目V中保存的是账户的基本资料,如用户名、所属组、描述、密码、注释、是否可以更改密码、账户启用、密码...
1.在HKEY_LOCAL_MACHINE\\SAM\\SAM\\ Domains下就是SAM的内容,其下有两个分支“Account”和“Builtin”。 2.Domains\\Account\\Users下存放的就是各个账号的信息,当然,这里是加密过的二进制数据,每个账号下面有两个子项,F和V。项目V中保存的是账户的基本资料,用户名、所属组、描述、密码、注释、是否可以更...
Domains下就是SAM的内容,其下有两个分支“Account”和“Builtin”。 2.Domains\\Account\\Users下存放的就是各个账号的信息,当然,这里是加密过的二进制数据,每个账号下面有两个子项,F和V。项目V中保存的是账户的基本资料,用户名、所属组、描述、密码、注释、是否可以更改密码、账户启用、密码设置时间等。项目F...
/Domains/Account/Users/000001F4,这就是administrator的帐户信息(其他类似)。其中有两个子项V和F。 项目V中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更 改密码、帐户启用、密码设置时间等。项目F中保存的是一些登录记录,比如上次登录时间、错误登录次数等,还 ...
读取注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下每个用户中F项和V项的内容,使用syskey进行一系列的解密 详细解密过程可参考如下链接: http://www.xfocus.net/articles/200306/550.html 综上,想要通过SAM数据库获得用户hash,需要获得两个文件:HKLM\SYSTEM和HKLM\SAM ...
| 影子账户是内部账户和外部账户的形式,主要起备查及处理不方便放在外部账户的费用的功能。“影子用户”一种指在网络应用中将网卡的MAC,IP地址修改成与别人的一模一样,然后接在同一个交换机的认证口下的终端用户。另一种指操作系统中影子账户。影子账户”有什么危害?影子帐户就像一个透明人,在您家里自由进出,而...