最近、ウイルス対策ソフトウェアがコンピューターにログインするために Windows の資格情報を要求したため、Windows のパスワードを見つけようとしています。そのため、自分の資格情報にもアクセスできるかもしれないと思いました。
調べてみると、資格情報はC:\Windows\System32\config\SYSTEMフォルダー内に保存されていることがわかりました。
そこで質問させてください。
- そのファイルを開く方法はありますか? どうすれば開けますか?
- 開いたとしても、読み取り可能な形式になりますか、それとも暗号化された形式になりますか?
答え1
内のファイルは\Windows\System32\config\レジストリ ハイブです。バイナリ形式は、技術的にはサードパーティ ソフトウェアで直接読み取ることができますが、Windows にロードして、regedit.exeレジストリ API を使用するサードパーティ ソフトウェアを介してアクセスするのが最も簡単な方法です。SYSTEM (および Windows の認証機能のほとんどが実際に存在する SAM) は、HKEY_LOCAL_MACHINEルート キーの下にあります。コンピューターからレジストリ ハイブを抽出して、別のコンピューターにロードすることもできます。には、regeditレジストリ ハイブを開いてマウントするオプションがあります。
起動した Windows マシンでは、SYSTEM および SAM レジストリ ハイブが OS によってマウントされ、ファイル システム経由でのアクセスを防ぐためにロックされることに注意してください。別のマシンにハード ディスクをマウントすると (または DVD やフラッシュ ドライブなどから起動すると)、ファイルに直接アクセスできます。理論的にはレジストリ ハイブをアンマウントすることもできますが、SYSTEM や SAM などのシステムにとって重要なレジストリ ハイブをアンマウントすると、コンピューターの動作が著しく停止するため、OS はそれを許可しません。
Windowsのパスワードはいくつかの方法で保存できますが、最も一般的なのはNTLMv2ハッシュ(具体的には、NT One-Way Function v2の出力、またはNTOWFv2)。これらは比較的簡単に破ることができます。これらは、廃止された MD4 および MD5 ハッシュ アルゴリズムを使用しており、総当たり攻撃を遅くするためにハッシュ計算の速度を制限するもの (PBKDF2 で同じハッシュ プロセスを何度も繰り返す必要がある方法など) は含まれていません。とはいえ、実際のパスワードがプレーン テキストで表示されることはありません。OS がパスワードのプレーン テキストを取得できるように構成されている場合でも (デフォルトではそうではありません)、パスワードは対称暗号化の下で保存されるため、暗号化キーを取得する必要があります。ただし、ほとんどの人はパスワード ハッシュのみを使用し、通常は v2 形式のみを使用します (これは現代の基準では良くありませんが、NTLMv1 や NT 以前の LANMAN 一方向関数よりははるかに優れています)。