Posizione degli hash delle password su un computer locale Windows?

Naviga le tue risposte
6

"Dove sono le due posizioni in cui gli hash delle password degli utenti sono memorizzati su un computer Windows locale?"

La mia sede di lavoro mi ha fatto questa domanda. So che SAM memorizza gli hash delle password, dove sarebbe l'altra posizione?

    
posta Lutefisk 10.02.2016 - 13:14
fonte

2 risposte

6
  1. C:\windows\system32\config\SAM (Registro: HKLM/SAM )
  2. Memoria di sistema

Il file SAM è montato nel registro come HKLM/SAM . Windows blocca questo file e non rilascerà il blocco a meno che non venga chiuso (riavvio, BSOD, ecc.). Tuttavia, se si guarda la voce SAM nella sezione del registro di cui sopra, non si troverà l'hash.

Pertanto, sembra più che probabile che l'hash, o la password, saranno anche archiviati in memoria. In effetti, ci sono alcuni cracker di password che prendono la password direttamente dalla memoria.

    
risposta data 10.02.2016 - 14:04
fonte
5

Esiste una posizione aggiuntiva in cui vengono archiviate le credenziali del dominio memorizzate nella cache come hash MSCASH2: 

HKEY_LOCAL_MACHINE\Security\Cache

Quindi, se stai parlando di un dispositivo aggiunto al dominio, ci sono tre posizioni in cui è possibile trovare le credenziali archiviate.

  1. File SAM (servono entrambi C: \ windows \ system32 \ config \ SAM e C: \ windows \ system32 \ config \ system)
  2. Registro (HKEY_LOCAL_MACHINE \ Security \ Cache per credenziali di dominio, HKEY_LOCAL_MACHINE \ SAM per credenziali locali)
  3. In memoria (dump con mimikatz) - tuttavia quest'ultimo non viene "memorizzato" come scritto in disco.
risposta data 10.02.2016 - 18:53
fonte

Leggi altre domande sui tag

In che modo i browser negoziano i parametri di connessione SSL / TLS? Sono possibili paragoni di similarità con le password hash?