Recentemente, estou tentando encontrar minha senha do Windows depois de ver um software antivírus solicitando minhas credenciais do Windows para fazer login no meu computador. Então pensei que também poderia conseguir minhas próprias credenciais.
Depois de fazer algumas pesquisas, descobri que nossas credenciais estão armazenadas dentro de C:\Windows\System32\config\SYSTEMuma pasta.
Então eu gostaria de perguntar;
- Existe uma maneira de abrir esse arquivo? Como posso abri-lo?
- Mesmo se eu abri-lo, ele estará em formato legível ou criptografado?
Responder1
Os arquivos \Windows\System32\config\são seções do registro. Seu formato binário é tecnicamente legível diretamente com software de terceiros, mas é de longe a maneira mais fácil de carregá-los no Windows e acessá-los por meio de regedit.exesoftware de terceiros que usa APIs de registro. SYSTEM (e SAM, que é onde reside a maior parte do material de autenticação do Windows) estão sob a HKEY_LOCAL_MACHINEchave raiz. Você também pode extrair a seção do registro de um computador para carregá-la em outro computador. regedittem a opção de abrir e montar uma seção de registro.
Observe que em qualquer máquina Windows inicializada, as seções de registro SYSTEM e SAM serão montadas pelo sistema operacional e bloqueadas para impedir o acesso por meio do sistema de arquivos. Você pode acessar os arquivos diretamente se montar o disco rígido em outra máquina (ou inicializar a partir de DVD ou flashdrive ou algo assim). Teoricamente, você também pode desmontar seções de registro, mas as seções críticas do sistema, como SYSTEM e SAM, fariam o computador parar de funcionar drasticamente se fossem desmontadas, de modo que o sistema operacional não permitiria isso.
As senhas do Windows podem ser armazenadas de algumas maneiras diferentes, mas de longe os mais comuns são os hashes NTLMv2 (especificamente, as saídas da NT One-Way Function v2, ouNTOWFv2). São relativamente fáceis de quebrar; eles usam os algoritmos de hash MD4 e MD5 obsoletos e não contêm nada que limite a velocidade da computação de hash (como a maneira como PBKDF2 exige a repetição do mesmo processo de hash muitas vezes) para desacelerar a força bruta. No entanto, você não verá as senhas reais em texto simples. Mesmo quando o sistema operacional está configurado de forma que seja possível obter o texto simples das senhas (o que não é, por padrão), elas são armazenadas em repouso sob criptografia simétrica, portanto, você precisará obter a chave de criptografia . Quase todo mundo usa apenas os hashes de senha, e geralmente apenas o formato v2 (que, embora ruim para os padrões modernos, é muito melhor que as funções unidirecionais NTLMv1 e pré-NT LANMAN).