admin 管理员组

文章数量: 887017

1. windows登录的明文密码,存储过程是怎么样的,密文存在哪个文件下,该文件是否可以打开,并且查看到密文

在Windows系统中,用户登录的密码通常不会以明文的形式保存在计算机中,而是通过保存密码的哈希值来确保安全性。以下是关于Windows登录密码的存储过程的详细信息:

存储过程:

1. 用户在登录时输入密码。
2. 密码信息会交给lsass进程进行处理。
3. 在这个过程中,会存一份明文密码(但只是短暂的),并将其加密成NTLM Hash。

密文存储位置:

加密后的密码哈希值(密文)通常存储在`C:\Windows\System32\config\SAM`文件中。这个文件保存了Windows系统中所有用户的密码哈希值。

文件访问权限:

SAM文件是受Windows系统保护的,普通用户无法直接访问或打开它。即使具有管理员权限的用户,也需要通过特定的工具或方法才能访问该文件。

查看明文:

由于SAM文件中存储的是密码的哈希值,而不是明文密码,因此无法直接打开SAM文件查看明文密码。

2.通过hashdump抓取出所有用户的密文,分为两个模块,为什么?这两个模块分别代表什么?

通过hashdump抓取出的所有用户密文分为LMhash和NThash两个模块:

       其中,LMhash是微软早期为了提高Windows操作系统的安全性而采用的散列加密算法,由于当时的技术限制,LMhash只支持最多14个字符的密码,且容易破解。因此现在的Windows系统中默认情况下不会使用LMhash来存储密码。

       NThash则是如今windows系统常用的密码哈希算法,它是对LMHash的改进,支持更长的密码,这使得它比LM Hash更难以被破解。提供了更强的安全性。

       为了兼容性考虑,LMhash被禁用,因此系统不再存储实际的LM Hash值,而是使用一个占位符来表示LM Hash已被禁用。因此在进行hashdump抓取时,除了NThash外会还得到一个固定的字符串“aad3b435b51404eeaad3b435b51404ee”。

3. 为什么第一个模块 永远是一样的aad3

在Windows系统中,第一个模块(LM Hash)显示为"aad3b435b51404eeaad3b435b51404ee"的情况,通常意味着LM Hash已被禁用或未使用。

LM Hash是Windows早期版本中使用的一种密码哈希算法,但它由于存在已知的安全漏洞,因此在现代Windows系统中默认被禁用。当LM Hash被禁用或未使用时,hashdump工具可能会显示一个固定的值,即"aad3b435b51404eeaad3b435b51404ee",来表示LM Hash为空或未使用。

4. 这两个模块的加密算法有什么不同,如何加密的

LMhash:

①将密码全大写,然后转换为16进制,其中不足14字节的用0补全;

②将上述转换后的编码按每组7字节分成2组;

③将上述分组后的每组数据分别转换为2进制,然后每7位后面加0,再转换为16进制得到2组8字节的编码;

④使用DES算法对上述的两组数据分别进行加密,密钥为特定的字符串;

⑤将加密后的两组拼接在一起,得出LMhash值。

NThash:

①先将密码转换为16进制,然后在每个字节后添加0x00变成Unicode编码格式;

②对得到的Unicode字符串进行MD4加密,得出一个32位的16进制字符串,即NThash值

两者最大的不同点在于LMhash采用了DES加密,而NThash则采用了MD4加密。

本文标签: 密码 Windows