我已将 SAM 和 SYSTEM 导出为注册表配置单元文件,我想知道是否可以查看这些文件以查看它们包含的内容?我用记事本打开了它们,但没有看到任何有意义的内容(至少在我看来)。所以我使用 ophcrack 用 samdump2 加载本地 SAM,然后我能够获得 NT Hash。我想知道是否可以用其他方式读取 SAM 文件,尤其是使用文本编辑器。或者我应该问 samdump2 如何工作?
答案1
当然,您可以在纯文本编辑器中打开每个文件 ;)
问题是您是否可以从中获得任何有用的东西。这取决于它是纯文本文件还是特定格式,也取决于使用的编码。我认为在这种情况下,由于格式的原因,它是难以辨认的不是编码。
一般来说,samdump2 等工具的工作方式有多种。一种是使用 SYSTEM 权限访问文件(我认为这在更现代的系统中不再起作用)另一个是加载一些忽略指定权限的文件系统驱动程序. 这就是pwdump7例如。这当然需要管理权限。