Ich versuche vor Kurzem, mein Windows-Passwort herauszufinden, nachdem ich festgestellt habe, dass eine Antivirensoftware meine Windows-Anmeldeinformationen verlangt, damit ich mich bei meinem Computer anmelden kann. Daher dachte ich, dass ich vielleicht auch an meine eigenen Anmeldeinformationen gelangen kann.
Nach einigen Recherchen habe ich herausgefunden, dass unsere Anmeldeinformationen in C:\Windows\System32\config\SYSTEMeinem Ordner gespeichert sind.
Daher möchte ich fragen:
- Gibt es eine Möglichkeit, diese Datei zu öffnen? Wie kann ich sie öffnen?
- Selbst wenn ich es öffne, wird es in einem lesbaren oder verschlüsselten Format vorliegen?
Antwort1
Die Dateien \Windows\System32\config\sind Registrierungsstrukturen. Ihr Binärformat ist technisch gesehen direkt mit Software von Drittanbietern lesbar, aber der bei weitem einfachste Weg, sie in Windows zu laden und darauf zuzugreifen, ist entweder über regedit.exeoder über Software von Drittanbietern, die die Registrierungs-APIs verwendet. SYSTEM (und SAM, wo eigentlich die meisten Authentifizierungssachen von Windows gespeichert sind) liegen unter dem HKEY_LOCAL_MACHINERoot-Schlüssel. Sie können die Registrierungsstruktur auch von einem Computer extrahieren, um sie auf einem anderen Computer zu laden. regedithat eine Option zum Öffnen und Mounten einer Registrierungsstruktur.
Beachten Sie, dass auf jedem gebooteten Windows-Computer die Registrierungsstrukturen SYSTEM und SAM vom Betriebssystem gemountet und gesperrt werden, um den Zugriff über das Dateisystem zu verhindern. Sie können direkt auf die Dateien zugreifen, wenn Sie die Festplatte in einem anderen Computer mounten (oder von einer DVD oder einem Flash-Laufwerk oder etwas anderem booten). Theoretisch können Sie Registrierungsstrukturen auch unmounten, aber die systemkritischen wie SYSTEM und SAM würden den Computer ziemlich drastisch zum Stillstand bringen, wenn sie unmountet wären, also lässt das Betriebssystem dies nicht zu.
Windows-Passwörter können auf verschiedene Arten gespeichert werden, aber die mit Abstand gebräuchlichsten sind NTLMv2-Hashes (insbesondere die Ausgaben der NT One-Way Function v2 oderNTOWFv2). Diese sind relativ leicht zu knacken; sie verwenden die veralteten Hash-Algorithmen MD4 und MD5 und enthalten nichts, was die Geschwindigkeit der Hash-Berechnung begrenzt (wie etwa die Art und Weise, wie PBKDF2 erfordert, denselben Hash-Prozess viele Male zu wiederholen), um Brute-Force-Angriffe zu verlangsamen. Trotzdem werden Sie die tatsächlichen Passwörter nicht im Klartext sehen. Selbst wenn das Betriebssystem so konfiguriert ist, dass es möglich ist, den Klartext der Passwörter abzurufen (was standardmäßig nicht der Fall ist), werden sie im Ruhezustand unter symmetrischer Verschlüsselung gespeichert, sodass Sie den Verschlüsselungsschlüssel benötigen. Fast jeder verwendet jedoch nur die Passwort-Hashes und normalerweise nur die v2-Form (die zwar nach modernen Standards schlecht ist, aber viel besser ist als die Einwegfunktionen von NTLMv1 und LANMAN vor NT).