答案1
通常情况下,Windows 使用 NTLM 算法以哈希格式将单个计算机系统上的密码存储在注册表中。注册表文件位于
C:\windows\system32\config\SAM.
注册表的这个区域具有限制性权限,因此普通用户无法看到足够深的内容HKLM\SAM以访问哈希值。为了查看哈希值,必须更改注册表项的权限,这需要在 Windows XP 系统中拥有管理员帐户。我不确定在 Vista 或 7 中使用管理员帐户是否可以访问。
但是,一旦有人获得了密码哈希,就很难再次获得密码。互联网上有很多地方可以找到有关暴力破解 NTLM 哈希的信息。但是,如果您只是想重置密码,我建议您使用离线 NT 密码和注册表编辑器。
如果你想亲身体验一下,哈希值存储在密钥下
HKLM\SAM\SAM\Domains\Account\Users\00000XXX
其值为V。哈希值存储在一个变量偏移处,该变量存储在偏移处0x9C,是一个 4 字节的小端值。