电子取证-破解给定的SAM文件
给你一个SAM文件,如何提取出登录密码?
SAM文件
① LMHASH
Administrator:500:0182bd0bd4444bf867cd839bf040d93b:c22b315c040ae6e0efee3518d830362b:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:132893a93031a4d2c70b0ba3fd87654a:fe572c566816ef495f84fdca382fd8bb:::
windows 2000,2003,xp中,是LMHASH和NTHASH一起使用。原因是一开始用的LMHASH太容易被破解,但是换成NTHASH(密码强度比较高)会有兼容性的问题,所以都留下了。对这种的攻击主要是对LMHASH的攻击。
②NTHASH
Administrator:500:NO PASSWORD*********************:31D6CFE0D16AE931B73C59D7E0C089C0:::
Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:::
admin:1001:NO PASSWORD*********************:31D6CFE0D16AE931B73C59D7E0C089C0:::
HomeGroupUser$:1002:NO PASSWORD*********************:3E4ABEB51FBFDBB211C6CC39EC2DFADB:::
root:1003:NO PASSWORD*********************:329153F560EB329C0E1DEEA55E88A1E9:::
没有LMHASH,是在win7下测试的,win10不知道为什么会有
vista后只用NTHASH,使得破解难度增大。
提取SAM中的密码哈希值(这里以win7为例子)
SAM是加密后的且没有办法直接打开的。这里借助工具pwddump7,先提取出密码的哈希值。
然后用工具ophcrack或者在线网站cmd5或者https://www.objectif-securite.ch/en/ophcrack.php解密
必须得管理员身份运行cmd才可以。
进入pwddump.exe得目录,然后pwddump7.exe,可以直接看到本地电脑中的账户密码

找到哈希值。NTHASH:329153F560EB329C0E1DEEA55E88A1E9(LMHASH不存在,只在低版本有)
上破解工具,还要自己下字典,百度即可。
注意输入格式,因为没有LMHASH,所以
:NTHASH

破解成功(密码是我设置的root)

只给一个SAM能否破解?
是不能的,因为在做数字取证题目提取哈希内容的时候,必须知道SAM和SYSTEM的位置,另外看pwdump的使用说明
usage:
pwdump7.exe -s <samfile> <systemfile> (Dump passwords from files)
必须得知道sam和system。
也就是说,你如果做题目的话,只给一个SAM是不可以的,和系统有关系。
这里我把我win7系统下的SAM保存为1,SYSTEM保存为2,然后拷贝到了win10上边,放到了c盘(SAM和SYSTEM文件必须用绝对路径)。
提取SAM文件的命令:(可以自己尝试一下)
pwdump.exe -d c:\windows\system32\config\SAM c:\1
system文件同理
就假如现在题目:
给定了SAM和SYSTEM文件,求出root用户的密码。
PwDump7.exe -s c:\1 c:\2
如此便求出了root用户的哈希值,然后继续用ophcrack跑就好了。
补充:
上边说的只是NTHASH的时候,win2000,2003,xp的时候也可以通过LMHASH破解并且更容易。
Administrator:500:0182bd0bd4444bf867cd839bf040d93b:c22b315c040ae6e0efee3518d830362b:::
拿上边这一条来说,ophcrack的使用方法也有很多。
可以直接输入LMHASH,也可以LMHASH:NTHASH
看到网上有说LC5可以直接导入SAM文件的,去试了下,发现散列的值没有一个对的,字典也跑不出来。
电子取证-破解给定的SAM文件的更多相关文章
- 转:电子取证中AVI文件的文件雕复
电子取证中AVI文件的文件雕复 收藏本文 分享 1引言在电子取证工作中,恢复数字设备中被删除的数据是极为重要的工作之一,恢复数据又分依赖系统元信息的传统数据恢复技术和不依赖系统元信息的文件雕刻.文件雕 ...
- 【电子取证:FTK Imager篇】DD、E01系统镜像仿真
星河滚烫,人生有理想! ---[suy999] DD.E01系统镜像动态仿真 (一)使用到的软件 1.FTK Imager (v4.5.0.3) 2.VMware Workstation 15 P ...
- iOS程序破解——class-dump获取头文件
原文在此:http://www.cnblogs.com/mddblog/p/4942894.html 一.简述 class-dump顾名思义,是用来dump目标对象class信息的工具.它根据oc的r ...
- IAR Embedded Workbench 破解方法+工具+授权文件
转自IAR Embedded Workbench 破解方法+工具+授权文件 本文重点阐述了如何手动爆破 IAR EWARM 6.x以及生成License,目的一是和大家分享下,二是自己记录下过程,以便 ...
- fastq,sam文件一些小结(持续补充。。。)
ST-E00211::H5L3NCCXY:::: chr14 141M = - ACTTCACCTCCTGGAGTCCTGGACTTCCCCACATCTCCCCTGCCCCTCCCACGTTTCCAT ...
- 推荐一个SAM文件或者bam文件中flag含义解释工具
SAM是Sequence Alignment/Map 的缩写.像bwa等软件序列比对结果都会输出这样的文件.samtools网站上有专门的文档介绍SAM文件.具体地址:http://samtools. ...
- 【转】如何打开注册表编辑器中存储用户信息的SAM文件?
sam文件怎么打开 (Security Accounts Manager安全帐户管理器)负责SAM数据库的控制和维护.SAM数据库位于注册表HKLM\SAM\SAM下,受到ACL保护,可以使用rege ...
- 推荐一个SAM文件中flag含义解释工具--转载
SAM是Sequence Alignment/Map 的缩写.像bwa等软件序列比对结果都会输出这样的文件.samtools网站上有专门的文档介绍SAM文件.具体地址:http://samtools. ...
- 31、SAM文件中flag含义解释工具--转载
转载:http://www.cnblogs.com/nkwy2012/p/6362996.html SAM是Sequence Alignment/Map 的缩写.像bwa等软件序列比对结果都会输出这 ...
随机推荐
- 跨交换机的VLAN划分实验
实验涉及命令以及知识补充 大部分命令和上一篇相同,本篇介绍不同的收获. 上一篇链接: https://www.cnblogs.com/Coeus-P/p/9122462.html 退出命令 ctrl+ ...
- javascript跳转页面
<script type="text/javascript"> function openNewTab() { parent.addExampleTab({ id: a ...
- 转载:/etc/security/limits.conf 控制文件描述符,进程数,栈大小
原文地址:http://ilikedo.iteye.com/blog/1554822 linux下安装Oracle 一般都会修改/etc/security/limits.conf这个文件,但是这里面的 ...
- Oracle数据库大量library cache: mutex X及latch: shared pool问题排查一例
业务系统数据库夯住,数据库内大量的library cache: mutex X及latch: shared pool等待,alert日志信息如下 Tue Sep :: WARNING: inbound ...
- 构建vue零散笔记
# vue项目(用webpack构建)的前提是已安装了node.js,vue,vue-cli,webpack # 主要命令构建:vue init webpack 项目名(纯英文,且不可驼峰)运行:np ...
- js函数只触发一次
如何让js中的函数只被执行一次?我们有时候会有这种需求,即让一个函数只执行一次,第二次调用不会返回任何有价值的值,也不会报错.下面将通过三个小demo展示使用的方法,当做个人笔记. 1.通过闭包来实现 ...
- Oracle VM VirtualBox 安装XP、Win 7
测试要求 为了少写点lr脚本(其实是不会写),看到fiddler的saz格式文件可以由loadrunner 12读取,本机安装了lr 11,打算虚拟机安装lr 12.通过共享文件夹把文件传过去,生成脚 ...
- Co. - VMware - vSphere
VMware vSphere 组件 VMware vSphere是VMware推出的基于云计算的新一代数据中心虚拟化套件,它由VMware ESXi.VMware vCenter Server.VMw ...
- dedesmc 手机端生成静态页
dedesmc 手机端生成静态页 1.首先下载插件,下载地址:https://pan.baidu.com/s/1Nfx_KBYuxRkZ7VzoPxy28g 密码:83x7 2.进入 dedecms ...
- mybatis报错:sql中有条件语句时出现属性没有getter的异常
Mybatis问题:在使用条件语句动态设置SQL语句时出现如下错误 Caused by: org.apache.ibatis.reflection.ReflectionException: There ...