Gli hash sono memorizzati nel file SAM di Windows. Questo file si trova sul tuo sistema (a seconda dei percorsi di installazione) su X: \ Windows \ System32 \ config ma non è accessibile mentre il sistema operativo viene avviato. Questi valori sono anche memorizzati nel registro in HKEY_LOCAL_MACHINE \ SAM , ma anche in questo caso l'area del registro non è accessibile durante l'avvio del sistema operativo.
Esistono metodi (e strumenti) noti per eseguire il reverse engineering degli hash per recuperare le password e viceversa, ma non ti aiuterò perché ...
Questions asking us to break the security of a specific system for you are off-topic unless they demonstrate an understanding of the concepts involved and clearly identify a specific problem.
Modifica
Dato che hai accesso fisico, uno dei metodi più efficaci è quello di avviare il computer in un sistema operativo diverso. Se si ha dimestichezza con Linux, ciò significa che è possibile avviare semplicemente un CD live di Linux in grado di leggere unità NTFS, montare la partizione Windows e copiare il file SAM su un supporto esterno. Lavora su quella copia guardando "SAM \ Dominio \ Account \ Utenti" . Il resto dipende da te.
In un sidenote vorrei avvisarti di giocare con tali aree di sistema se stai usando Encrypted File System (EFS) su qualcosa rilasciato dopo Windows XP / 2003. Se si modifica qualcosa nel posto sbagliato (come reimpostare le password o modificare altri hash), il sistema operativo potrebbe perdere le sue chiavi EFS che introduce una serie di problemi completamente nuovi che non si desidera nemmeno pensare. Ecco perché vorresti solo lavorare con una copia del file SAM.
EDIT 2
Hai appena trovato la domanda precedente " link "e sto iniziando a capire perché continui a chiedere " posizione esatta dell'hash " e " identificazione dell'hash ".
Pertanto, un piccolo promemoria: security.SE non è qui per aiutarti a violare o crackare qualcosa. Controlla le regole invece di ripetere la domanda nell'area dei commenti . Grazie.