"Dove sono le due posizioni in cui gli hash delle password degli utenti sono memorizzati su un computer Windows locale?"
La mia sede di lavoro mi ha fatto questa domanda. So che SAM memorizza gli hash delle password, dove sarebbe l'altra posizione?
C:\windows\system32\config\SAM
(Registro: HKLM/SAM
) Il file SAM è montato nel registro come HKLM/SAM
. Windows blocca questo file e non rilascerà il blocco a meno che non venga chiuso (riavvio, BSOD, ecc.). Tuttavia, se si guarda la voce SAM nella sezione del registro di cui sopra, non si troverà l'hash.
Pertanto, sembra più che probabile che l'hash, o la password, saranno anche archiviati in memoria. In effetti, ci sono alcuni cracker di password che prendono la password direttamente dalla memoria.
Esiste una posizione aggiuntiva in cui vengono archiviate le credenziali del dominio memorizzate nella cache come hash MSCASH2:
HKEY_LOCAL_MACHINE\Security\Cache
Quindi, se stai parlando di un dispositivo aggiunto al dominio, ci sono tre posizioni in cui è possibile trovare le credenziali archiviate.