Informazioni sugli hash delle password locali di Windows (NTLM)

Recentemente ho scaricato alcuni hash dal mio computer locale perché sto cercando di capire il processo in cui Windows 7 hash le sue password.

Ho scoperto il mio hash della password locale che sembra ( simile ) a questo: Jason:502:aad3c435b514a4eeaad3b935b51304fe:c46b9e588fa0d112de6f59fd6d58eae3:::

Ora quello che vorrei sapere è che cosa significano le diverse sezioni, quindi:

Abbiamo questo hash: Jason:502:aad3c435b514a4eeaad3b935b51304fe:c46b9e588fa0d112de6f59fd6d58eae3::: che sembra essere separato da : se lo separiamo da : finiamo con questo:

[Jason, :, 502, :, aad3c435b514a4eeaad3b935b51304fe, :, c46b9e588fa0d112de6f59fd6d58eae3, :, :, :]

• Suppongo che la prima parte Jason sia il nome utente, per me è la cosa più logica.
• La terza parte aad3c435b514a4eeaad3b935b51304fe è l'hash ntlm è la mia ipotesi migliore.

Se la mia ipotesi è corretta, allora lascia c46b9e588fa0d112de6f59fd6d58eae3 e 502 a sinistra.

• Direi che l'altro hash ( c46b9e588fa0d112de6f59fd6d58eae3 ) è la chiave derivata, creata dalla password stessa.
• Il 502 sarebbe i dati binari dell'utente.
• E : è solo un separatore o una spaziatura.

Ora per la mia domanda, ho ragione nelle mie supposizioni su cosa rappresenta ciascuna parte dell'hash? Se no, qualcuno può spiegarmi che cosa rappresenta ciascuna parte?