최근 일부 바이러스 백신 소프트웨어에서 내 컴퓨터에 로그인하기 위해 Windows 자격 증명을 요청한 후 Windows 암호를 찾으려고 했습니다. 그래서 나도 내 자격을 얻을 수 있을 거라 생각했어요.
조사한 결과 자격 증명이 C:\Windows\System32\config\SYSTEM폴더 안에 저장되어 있다는 것을 알게 되었습니다.
그래서 묻고 싶습니다.
- 해당 파일을 열 수 있는 방법이 있나요? 어떻게 열 수 있나요?
- 열어도 읽을 수 있는 형식일까요, 아니면 암호화된 형식일까요?
답변1
의 파일은 \Windows\System32\config\레지스트리 하이브입니다. 바이너리 형식은 기술적으로 타사 소프트웨어로 직접 읽을 수 있지만 Windows에서 이를 로드하고 regedit.exe레지스트리 API를 사용하는 타사 소프트웨어를 통해 액세스하는 가장 쉬운 방법입니다. SYSTEM(실제로 대부분의 Windows 인증 항목이 있는 SAM)은 HKEY_LOCAL_MACHINE루트 키 아래에 있습니다. 컴퓨터에서 레지스트리 하이브를 추출하여 다른 컴퓨터에 로드할 수도 있습니다. regedit레지스트리 하이브를 열고 마운트하는 옵션이 있습니다.
부팅된 Windows 시스템에서 SYSTEM 및 SAM 레지스트리 하이브는 OS에 의해 마운트되고 파일 시스템을 통한 액세스를 방지하기 위해 잠깁니다. 하드 디스크를 다른 컴퓨터에 마운트하는 경우(또는 DVD나 플래시 드라이브 등에서 부팅하는 경우) 파일에 직접 액세스할 수 있습니다. 이론적으로는 레지스트리 하이브를 마운트 해제할 수도 있지만 SYSTEM 및 SAM과 같이 시스템에 중요한 레지스트리 하이브를 마운트 해제하면 컴퓨터 작동이 상당히 중단되므로 OS에서 이를 허용하지 않습니다.
Windows 암호는 몇 가지 다른 방법으로 저장될 수 있지만 지금까지 가장 일반적인 것은 NTLMv2 해시(특히 NT One-Way Function v2의 출력 또는NTOWFv2). 이는 상대적으로 깨지기 쉽습니다. 그들은 더 이상 사용되지 않는 MD4 및 MD5 해시 알고리즘을 사용하며 무차별 공격 속도를 늦추기 위해 해시 계산 속도를 제한하는 항목(예: PBKDF2가 동일한 해시 프로세스를 여러 번 반복해야 하는 방식)을 포함하지 않습니다. 그럼에도 불구하고 실제 비밀번호는 일반 텍스트로 표시되지 않습니다. 비밀번호의 일반 텍스트(기본값은 아님)를 얻을 수 있는 방식으로 OS가 구성된 경우에도 비밀번호는 대칭 암호화로 저장되므로 암호화 키를 가져와야 합니다. . 하지만 거의 모든 사람이 비밀번호 해시를 사용하며 일반적으로 v2 형식만 사용합니다(현대 표준에서는 나쁘지만 NTLMv1 및 NT 이전 LANMAN 단방향 기능보다 훨씬 낫습니다).