最近,在看到一些防毒軟體要求我提供 Windows 憑證以登入電腦後,我試圖尋找我的 Windows 密碼。所以我想我也許也能獲得自己的資格。
經過一些研究後,我發現我們的憑證存放在C:\Windows\System32\config\SYSTEM資料夾內。
所以我想問一下;
- 有辦法開啟該檔案嗎?我怎麼才能打開它?
- 即使我打開它,它是可讀格式還是加密格式?
答案1
其中的檔案\Windows\System32\config\是註冊表配置單元。從技術上講,它們的二進位格式可以用第三方軟體直接讀取,但到目前為止,這是在 Windows 中加載它們並透過regedit.exe使用註冊表 API 的第三方軟體存取它們的最簡單方法。 SYSTEM(和 SAM,實際上是大多數 Windows 驗證內容所在的地方)位於HKEY_LOCAL_MACHINE根金鑰下。您也可以從電腦中提取註冊表組態單元以將其載入到另一台電腦上。regedit有一個打開和安裝註冊表配置單元的選項。
請注意,在任何啟動的 Windows 電腦上,SYSTEM 和 SAM 註冊表配置單元將由作業系統安裝並鎖定,以防止透過檔案系統存取。如果您將硬碟安裝在另一台電腦上(或從 DVD 或隨身碟等啟動),則可以直接存取這些檔案。理論上,您還可以卸載註冊表配置單元,但是像 SYSTEM 和 SAM 這樣的系統關鍵配置單元如果被卸載,將使電腦顯著停止工作,因此作業系統不允許這樣做。
Windows 密碼可以透過幾種不同的方式存儲,但迄今為止最常見的是 NTLMv2 雜湊(具體來說,NT 單向函數 v2 的輸出,或NTOWFv2)。這些相對容易損壞;它們使用過時的 MD4 和 MD5 雜湊演算法,並且不包含任何限制雜湊計算速度的內容(例如 PBKDF2 需要多次重複相同雜湊過程的方式)來減慢暴力破解。儘管如此,您不會看到純文字形式的實際密碼。即使作業系統的配置方式可以取得密碼的純文字(預設並非如此),它們也會以對稱加密方式靜態存儲,因此您需要取得加密金鑰。不過,幾乎每個人都只使用密碼雜湊,而且通常只使用 v2 形式(儘管以現代標準來看這很糟糕,但它比 NTLMv1 和 NT 之前的 LANMAN 單向函數要好得多)。