Недавно я пытался найти свой пароль Windows после того, как увидел, что какое-то антивирусное программное обеспечение запросило мои учетные данные Windows для входа в мой компьютер. Поэтому я подумал, что, возможно, смогу получить доступ и к своим учетным данным.
Проведя небольшое исследование, я обнаружил, что наши учетные данные хранятся в C:\Windows\System32\config\SYSTEMпапке.
Поэтому я хотел бы спросить:
- Есть ли способ открыть этот файл? Как мне его открыть?
- Даже если я его открою, будет ли он в читаемом формате или в зашифрованном?
решение1
Файлы в \Windows\System32\config\— это кусты реестра. Их двоичный формат технически напрямую считывается сторонним программным обеспечением, но на сегодняшний день самый простой способ загрузить их в Windows и получить к ним доступ либо через regedit.exeстороннее программное обеспечение, использующее API реестра. SYSTEM (и SAM, где на самом деле находится большая часть аутентификационных материалов Windows) находятся в корневом разделе HKEY_LOCAL_MACHINE. Вы также можете извлечь куст реестра с компьютера, чтобы загрузить его на другой компьютер. regeditимеет возможность открыть и смонтировать куст реестра.
Обратите внимание, что на любой загруженной машине Windows кусты реестра SYSTEM и SAM будут смонтированы ОС и заблокированы для предотвращения доступа через файловую систему. Вы можете получить доступ к файлам напрямую, если смонтируете жесткий диск на другой машине (или загрузитесь с DVD или флэш-накопителя или чего-то еще). Теоретически вы также можете размонтировать кусты реестра, но критические для системы, такие как SYSTEM и SAM, могут привести к резкой остановке работы компьютера, если их размонтировать, поэтому ОС не позволит этого.
Пароли Windows можно хранить несколькими способами, но наиболее распространенными являются хэши NTLMv2 (в частности, выходные данные односторонней функции NT v2, илиNTOWFv2). Их относительно легко взломать; они используют устаревшие алгоритмы хеширования MD4 и MD5 и не содержат ничего, что ограничивало бы скорость вычисления хеш-функций (например, способ, которым PBKDF2 требует многократного повторения одного и того же процесса хеширования) для замедления брут-форса. Тем не менее, вы не увидите фактические пароли в виде открытого текста. Даже если ОС настроена таким образом, что можно получить открытый текст паролей (что по умолчанию невозможно), они хранятся в состоянии покоя под симметричным шифрованием, поэтому вам нужно будет получить ключ шифрования. Однако почти все просто используют хеш-функции паролей, и обычно только форму v2 (которая, хотя и плоха по современным стандартам, намного лучше односторонних функций NTLMv1 и LANMAN до NT).