SAM在注册表中的结构

最新推荐文章于 2024-07-14 20:00:30 发布
原创 最新推荐文章于 2024-07-14 20:00:30 发布 · 3.4k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#加密 #工作
本文介绍了 Windows 操作系统中 SAM (Security Accounts Manager) 的数据结构及其存储方式。SAM 主要包含两个部分:Accounts 和 Builtin。Accounts 存放了用户账号信息,包括用户名、密码、登录记录等;Builtin 则定义了系统的默认用户组,如管理员、客人等。

 

1.在HKEY_LOCAL_MACHINE/SAM/SAM/
Domains下就是SAM的内容,其下有两个分支“Account”和“Builtin”。

2.Domains/Account/Users下存放的就是各个账号的信息,当然,这里是加密过的二进制数据,每个账号下面有两个子项,F和V。项目V中保存的是账户的基本资料,用户名、所属组、描述、密码、注释、是否可以更改密码、账户启用、密码设置时间等。项目F中保存的是一些登录记录,比如上次登录时间、错误登录次数等。SAM靠这些齐全的备忘录来保存与用户账号相关的各种信息。

3.Domains/Builtin存放着不同用户分组信息,SAM就是根据这个来划分NT中固有的6个不同的工作组的,它们分别是:管理员(Administrators)、备份操作员(Backup Operators)、客人(Guests)、高权限用户(Power Users)、修复员(Replicator)和普通用户(Users)。 

[绝密文档] SAM注册表结构分析 Security Accounts Manager 解密 [免费版]
12-10
国外经典SAM结构分析资料。 偶尔从google上获得,从网上搜集了一大会,发现比国内的资料简直UP了好些年。 Security Accounts Manager Author: clark@hushmail.com Last updated: 3rd April 2005 ________________________________________ This article is based primarily on a local default setup of NT5.0 Professional or 2K (Windows 2000), however there maybe additional verified references to XP Professional and Server Editions. Much will apply across the NT range, but not all has been verified. Note that this is a partial update from the orginal version, there will be more additions, I just thought it was time to consolidate some stuff. This article has been written concisely and progressively, it is advisable not to skim read. Some stuff is advanced, use a test machine where possible. Special thanks to: (alphabetically ordered) esrever_otua: For pointing out something which I had missed about group memberships. fishy5: For coding XORCheck.exe which calculates the registry hive checksum. mirrorshades: For inspiring a hash database space optimzation technique rattle: For coding ntdate.exe which calculates the NT time format and the LastPolicyTime; a couple of programs for the #DAD8636F687BF15B section and for working on the LM Hash Decoder V1/V2 projects. Serg Wasilenkow: For working on the LM Hash Decoder V1/V2 projects. Vladimir Katalov: For the PWSEx product key and working on the LM Hash Decoder V1/V2 projects. xavic: For inspiring a hash database space optimzation technique Due to length and my decision not to divide this article into separate pages I have split the article into 4 main chapters. 01. Users and Groups 02. (some) Security Settings 03. Registry Structure 04. Passwords
解剖安全帐号管理器(SAM结构
热门推荐
myerror的专栏
11-13 1万+
来源:www.opengram.com Author: Refdom Email : refdom@263.net HomePage: www.opengram.com 2002/4/29 I、 摘要 II、 关于SAM III、注册表SAM数据库的结构 IV、 SAM数据库的结构和主要内容 V、 关于SAM数据库分析的结论 一、摘要 分析安全帐号管理器结构是在一个多月前做的事情了,只零碎地记录
关于注册表用户和组
qq_38914940的博客
11-14 3492
最近在看应急响应相关的东西,看到了注册表,自己不太熟悉,整理了一下 注册表保存位置在system32\config 其中与用户和组有关的内容是保存在SAM文件当中 "HKEY_LOCAL_MACHINE\SAM\SAM"和"HKEY_LOCAL_MACHINE\SECURITY\SAM".这两处的内容是完全一样的.这两个地方是system32里sam文件的映射,但不是全部内容
注册表中查看隐藏用户SAM
luminous_you的博客
10-13 8562
执行 regedit 命令进注册表,在 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 若文件夹为空 修改权限
注册表 SAM
GeneralYY0的专栏
05-10 7887
注册表 SAM 这个是在一次服务器的维护中找到的资料,比较有用,也不知道放哪里,就放"下班时光"吧 这篇文章主要是说明一下Windows系统下的用户和组在注册表中的存放位置与存放内容.实际的用处不是很多,主要是让我们大家可以更多的了解Windows注册表. 好了,多于的话就说到这里,下面就让我带着大家走进Windows注册表SAM里吧...... ////////
注册表的基础
yuan130625的博客
08-23 2476
禁用启用任务管理器:HKEY_CURRENT_USER\Software\Microsoft\Windows\Current version\Policies\System。HKEY_CURRENT_USER\Software\Microsoft\Windows\Current version\Policies\新建System子项。选BMP格式文件→重命名为oemlogo.bmp→复制到c:\windows\system32\oobe\info中 (info为新建文件夹)NTUSER.DAT。
SAM注册表结构分析
xcntime的专栏
12-10 8762
Title: Security Accounts Manager | Author: clark@hushmail.com | Last updated: 3rd April 2005<br /> This article is based primarily on a local default setup of NT5.0 Professional or 2K (Windows 2000), however there maybe additional verified references to
安全帐号管理器(SAM结构 [BY refdom]
xcntime的专栏
12-10 1705
安全帐号管理器(SAM结构 [10-01-13]  所属类别[SAM]文章作者:refdom<br />来自:refdom_at_263.net<br />导言:Microsoft的windows操作系统使用SAM文件对登陆账户进行信息储存。 I、 摘要 <br />II、 关于SAM <br />III、注册表SAM数据库的结构 <br />IV、 SAM数据库的结构和主要内容 <br />V、 关于SAM数据库分析的结论 <br /><br />一、摘要 <br />分析安全帐号管理器结构
注册表 SAM无法显示内容
weixin_34303897的博客
10-24 2175
大部分人都知道以Windows NT为内核的操作系统,它的注册表保存位置在system32\config目录内,其中与用户和组有关的内容是保存在SAM文件当中.当Windows系统启动后,为了后面对用户和组进行比较方便的访问,就把SAM文件内关于用户和组的部分(不是全部的)内容映射在注册表内两个地方:"HKEY_LOCAL_MACHINE\SAM\SAM"和"HKEY_LOC...
windows中用注册表删除guest账户
qq_27607539的博客
07-24 8557
1.按键“win”+“r”输入regedit打开注册表; 2.展开“HKEY_LOCAL_MACHINE\SAM\SAM”,右键“权限”; 3.设置管理员完全控制权限,入下图: 4.关闭注册表,重新打开。5.打开“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest” 6.从上图可知type值为0x1f5,这里我们删
注册表基本知识
weixin_30897079的博客
12-07 306
1.如何打开注册表? 答:运行中输入regedit.exe 无权限限制 2.注册表数据库文件的存放位置? 答:2000/XP注册表文件按功能来分,由系统注册表文件和用户注册表文件两类组成的 系统设置和缺省用户配置数据存放在系统/系统文件夹/SYSTEM32/CONFIG文件夹下的6个文件, DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYS...
Windows下的影子账户创建与防范
m0_46607055的博客
12-26 3551
1、查看当前系统账户 (1)打开cmd查看当前系统账户: net user (2)开始-->控制面板-->管理工具-->计算机管理,进入本地用户和组,查看用户。 (3)打开注册表,进入以下键值,查看用户和组。 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/ 其中,Names下的键值为用户名,用户名键值下的值,对应的Users下的键,内部的F,V值为该用户的登录设置信息,其中F键值,为权限设置信息。 2、添加账户
基于注册表实现对 Windows 某个用户的完全隐藏
Welcome To My6n Blog
04-05 2707
项目 V 中保存的是账户的基本资料,用户名、所属组、描述、密码、注释、是否可以更改密码、账户启用、密码设置时间等。复制 0x1f4 的值,也就是 计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 下 F 的十六进制值。前面我们介绍了使用 $ 符实现命令行用户隐藏的方法,但是在图形化界面(控制面板->用户账户)该用户也是可见的,那么如何对某个用户进行完全隐藏,我们可以通过修改注册表来实现。
凭据获取——windows单机凭据获取
最新发布
qq_55202378的博客
07-14 3292
在windows中,SAM文件是windows用户的账户数据库,位于系统的目录中,所有本地用户的用户名、密码hash等信息都存储在这个文件中。用户输入密码登录时,用户输入的明文密码会被转化为hash,然后再与SAM文件中的hash值对比,若相同,则认证成功。lsass.exe是windows的一个系统进程,用于实现系统的安全机制,主要用于本地安全和登录策略。在通常情况下,用户输入密码登录后,登录的域名、用户名和登录凭据等信息会存储在lsass.exe的进程空间中,用户的明文密码经过WDigest和。
计算机管理用户删除错误,删除隐藏用户时出错:注册表中的用户和组
weixin_34637857的博客
06-16 1650
这篇文章主要是说明一下Windows系统下的用户和组在注册表中的存放位置与存放内容.实际的用处不是很多,主要是让我们大家可以更多的了解Windows注册表.好了,多于的话就说到这里,下面就让我带着大家走进Windows注册表SAM里吧......////////////////////////////////首先,我先和大家说一下我使用的操作系统为Microsoft Windows Server...
应急响应篇-Windows 基本排查
cavathon的博客
03-17 842
逐个排查Users下所有以00000开头的项,如果F值与000001F4的F值相同,则可能为克隆用户。打开计算机管理依次找到 系统工具 --> 本地用户和组 --> 用户 可查看隐藏用户。打开注册表编辑窗口,选择HKEY_LOCAL_MACHINE下的SAM选项,勾选。命令行中输入msinfo打开系统信息,可查看详细的系统信息。课显示用户账户信息,但无法查看到以$结尾的隐藏用户。命令,点击启动,可查看启动项详细信息。,即可查看任务计划的详细信息。可以查看目标用户的详细信息。通过注册表查看启动项。
windows建隐藏用户
weixin_34232617的博客
06-25 167
一 以管理员账户打开注册表 ,找到这个键位HKEY_LOCAL_MACHINE→SAMSAM。 右键→“权限” 重启注册表 因为刚才给了展开SAM权限,这时就可以按着这个顺序展开 。 SAM→Domains→Account→Users→Names 这里就是存储账户信息的。 000001F4是存储administrator信息的。 二 建...
内网渗透技巧——windows隐藏账户
qq_39783194的博客
02-22 536
我们拿到windows服务器的管理员权限时,想要维持权限,可以采用隐藏账户的操作 新建一个用户 net user rongxinrou$ 123456 /add net localgroup administrators rongxinrou$ add/ 此时net user 已经无法看到该用户了,但是控制面板中还可以看到 2.修改注册表 regedit HKEY_LOCAL_MACHINE\SAM\SAM 进入这里,需要更改下权限,让当前账户有权限修改。 修改完成后重新进入注册表,HKEY_LOC
「渗透技巧」添加 administrator 影子用户_影子用户怎么用
2401_84263262的博客
04-12 1546
对你有帮助,可以添加V获取:vip1024b (备注Go)**[外链图片转存中…(img-ja14RddO-1712922707115)]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值