注册表的一个路径
自己编程的话,修改HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\LastKey的值为“我的电脑\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users”,然后打开Regedit 用现有的工具的话,可以用RegJump
在HKEY_LOCAL_MACHINE\SAM\SAM\Domains下是SAM的内容,其下有“Account”和“Builtin”两个分支。 Domains\Account\Users下存放的是各个账号的信息,这些信息是加密的二进制数据。每个账号下有两个子项:F和V。项目V中保存的是账户的基本资料,如用户名、所属组、描述、密码、注释、是否可以更改密码、账户启用、密码...
除了加密SAM中的hash,这个bootkey还被用在其他好几个地方,在下面我们将会看到它被用来解密LSA 秘密,缓存domaini password 现在再来看SAM,我们第一个任务就是生成bootkey的hash,然后使用该hash派生出用于加密SAM中hash的key,我们需要先获取到下面的代码中的F的值,它存在于SAM\SAM\Domains\Account rc4_key = MD5(F...
/Domains/Account/Users/000001F4,这就是administrator的帐户信息(其他类似)。其中有两个子项V和F。 项目V中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更 改密码、帐户启用、密码设置时间等。项目F中保存的是一些登录记录,比如上次登录时间、错误登录次数等,还 ...
获取到samkey之后的操作就是遍历HKLM\SAM\Domains\Account\Users,键值的获取和前面讨论的获取键值的流程一致,这里不再赘述,获取用户名和对应的哈希大体流程如下: 1、查询Users对应的键值,获取子键个数即用户的数量 2、遍历获取用户(Users下面的子键(RID)) ...
读取注册表项HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users下每个用户中F项和V项的内容,使用syskey进行一系列的解密 详细解密过程可参考如下链接: http://www.xfocus.net/articles/200306/550.html 综上,想要通过SAM数据库获得用户hash,需要获得两个文件:HKLM\\SYSTEM和HKLM\\SAM ...
读取注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下每个用户中F项和V项的内容,使用syskey进行一系列的解密 详细解密过程可参考如下链接: http://www.xfocus.net/articles/200306/550.html 综上,想要通过SAM数据库获得用户hash,需要获得两个文件:HKLM\SYSTEM和HKLM\SAM ...
我不太理解你所问的问题,REGEDIt是进入组册表的指令,而HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest这个是管理来宾账户的
读取注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下每个用户中F项和V项的内容,使用syskey进行一系列的解密 详细解密过程可参考链接:http://www.xfocus.net/articles/200306/550.html 总结: 综上,想要通过SAM数据库获得用户hash,需要获得两个文件:HKLM\SYSTEM和HKLM\SAM ...