Экспорт хешей из системных файлов sam и system.

До того как мы сможем восстановить пароль от «учетки» windows, нам требуется сначала извлечь зашифрованные хеши от этих паролей.  Для извлечения паролей нам потребуются системные файлы sam и system. Обычно они расположены в директории %windir%/system32/config/

Извлечь хеши можно разными способами, к примеру сделать это даже при работающей ос или скопировать файлы загрузившись с любого загрузочного диска.Мы рассмотрим способ при работающей ос. Для этого нам поможет следующий  набор программ:

Скачиваем данные программы себе на жесткий диск.Вкратце опишем разные способы:

Краткое описание работы с программой PwDump.

К сожалению она определяется многими антивирусными программами как «hack tool«. Не волнуемся, так как она по факту и является этим продуктом. Все зависит от того как вы её используете 🙂 Если нужны исходный код программы, то можно скачать на офиц. сайте. Извлекаем программу к примеру в корень диска и запускаем файл start.bat с правами администратора, заходим в директорию программы. Можно к примеру просто открыть командую строку(CMD.EXE) с правами Администратора. После того как вы зашли в директорию программы, пишем или вставляем такой текст «PwDump -x localhost > hash.txt»Где опция -x  указывает на разрядность вашей системы(64).Если разрядность вашей ОС не 64х, можно выполнять просто команду «PwDump localhost > hash.txt»Если вам требуется узнать другие команды, то наберите команду «PwDump —help»В файле hash.txt будут находиться ваши искомые хеши. Данные хеши передаете нам для расшифровки и в итоге вы получаете ваш пароль.

Краткое описание работы с  программой Ophcrack

Сохраняем себе на жесткий диск, устанавливаем. Перед запуском программы через правое нажатие мышки(ПКМ) выбираем «С правами администратора». Затем кликаем по пункту «LOAD» и выбираем нужный нам вариант. Если нам нужно при уже включенной системе с текущего пк изъять хеши, то нам подойдут два варианта:

  1. Local SAM with samdump2
  2. Local SAM with pwdump6
  3. PWDUMP file
  4. Session file.

В первом и во втором случае произойдет автозапуск программы. В третьем и четвертом случае вам потребуется немного добавочных действий,а именно взаимодействие с программой  fgdump.

Краткое описание работы с  программой fgdump

Сохраняем себе на жесткий диск, извлекаем архив и заходит в директорию программы fgdump.Через нажатие ПКМ на иконку программы fgdump выбираем «С правами администратора». На экране на некоторое время появиться черное диалоговое окно, когда оно исчезнет в директории fgdump появятся новые файла, к примеру: 127.0.0.1.pwdump, 2016-02-03-22-57-27.fgdump-log.

И вот теперь в программе ophcrack в способе 3 и 4 мы указываем файл 127.0.0.1.pwdump и на экране у нас отобразятся новые данные :

Ophcrack ntlm

Алгоритмы хеширования паролей в среде windows.

В операционных системах до windows xp и ниже пароли хешировались с использованием LM хеша. Уже в системах windows vista, windows 7, windows 8, windows 10 —  LM хэш поддерживается для обратной совместимости, но по умолчанию отключена. В последних системах используется NTLM и он поддерживает длину пароля более 14 символов.

Пример LM хеша :

Administrator:500:01FC5A6BE7BC6929AAD3B435B51404EE:0CB6948805F797BF2A82807973B89537:::
Пример NTLM хеша :
Administrator:500:NO PASSWORD*********************:0CB6948805F797BF2A82807973B89537:::

Первое поле это имя пользователя. Второе поле является уникальный идентификатор безопасности для этого пользователя. Третье поле является LM хэш и четвертый является NTLM хэш. Иногда когда имя пользователя отображается «крякозябрами», не пугаемся! Данное имя учетной записи были написано пользователем кириллицей.

Восстановление(«взлом») пароля от учетной записи windows вы уже можете заказать на нашем сайте.

На текущий момент это конец. Есть конечно еще много способов извлечения хешей из sam файла, из оперативной памяти. Описание взлома пароля windows и так далее. Думаю выше описанных методов на первое время вам хватит.