1

しばらくの間、SAM ファイルからパスワード ハッシュを取得しようとしています。私はそれを取得するプログラムをダウンロードしたくありません。1 つ目は、自分でやりたいからです。2 つ目は、ダウンロードしたものがすべてマルウェアだったからです。

すぐに、自分のアカウント (管理者) にログインしている間はレジストリの SAM にアクセスできないことに気付きました。そのため、"utilman.exe" を "cmd.exe" のコピーと交換することにしました。こうしてアクセスできるようになりました。アカウントからログアウトしたときの「システム」としての SAM。

「.reg」ファイルと「.txt」ファイルの両方として、SAM 全体をデスクトップにエクスポートすることができました。問題は... パスワード ハッシュの検索をどこから始めればよいかわかりません。興味深いことに、「.txt」バージョンを開くと、「.reg」バージョンを「.txt」ファイルに変更する場合とは異なることに気付きました。次に例を示します。

00000000 07 00 01 00 00 00 00 00 - 98 00 00 00 02 00 01 00 ................ デフォルトのテキスト バージョン

[HKEY_LOCAL_MACHINE\SAM\SAM] "C"=hex:07,00,01,00,00,00,00,00,98,00,00,00,02,00,01,00,01,00,14 ,80,78,00,00,\ Reg ファイルを txt に変更

どんな助けでも大歓迎です。意図に関しては、私は単純にウィンドウで実験しようとしています。:)...

4

1 に答える 1

3

ここに画像の説明を入力

これは私を大いに助けました。ここでは、LM (Lan Manager) パスワード ハッシュと NT ハッシュを確認できます。これらをレジストリで見つけたところ、正確に見つかりました。

編集

最初のブロックから 2 番目のブロックの値の場所を見つける方法 (自動化されたプログラムの場合)。最初のボックスは常にそのように見えます (たとえば、ワークステーションは 0078 です) が、2 番目のボックスは異なる値を持ち、異なる場所にあるため、次のように機能します。

最初の 4 バイトを選択します。例: 90 01 00 00

それらを逆にします 例: 00 00 01 90 注: 値は変更していません。バイト順だけなので、90 は 09 ではなく 90 のままです)

10 進数で 00000190 を 16 進数に変換して BE を取得します

BE を16 進数に変換して 190 を得る

190 を (再度) 16 進数に変換して 400 を取得します (これが 10 進値になります)

CC (CC の 10 進数は 204) を 204 と 400 の 10 進数形式で追加して 604 にします (注: CC はすべての方程式に追加する必要があります。そうしないと機能しません)。

25C を取得するには、16 進数から 10 進数の 604 に変換します。次に、2 番目のブロックを見ると、0258、0259、025A、025B、025C です。次に、025C (25C) が値です。

于 2016-01-19T15:11:58.603 に答える