Windows Password Recovery - завантаження хеш з файлів реєстру і Active Directory
Windows Password Recovery вміє витягувати хеші паролів безпосередньо з двійкових файлів. Причому навіть з тих, що використовуються системою, тобто із заблокованих.
Звичайні хеші паролів зберігаються в файлі реєстру SAM. який лежить в папці% WINDOWS% / System32 / Config. У цьому ж каталозі знаходиться і реєстр SYSTEM. необхідний для розшифровки. Якщо ви вказали шлях до реєстру поточної системи, то його обробка займе трохи більше часу (зазвичай на кілька секунд).
Парольні хеші облікових записів домену зберігаються в базі даних Active Directory, точніше в її серці - файлі ntds.dit. який, як правило, знаходиться в наступному каталозі:% Windows% / ntds. Для розшифровки доменних облікових записів також буде потрібно файл реєстру SYSTEM. Будьте уважні! Якщо здійснюється дамп з бази даних Active Directory поточної системи, то це може зайняти деякий час, особливо якщо ntds.dit володіє великим розміром.
Програма коректно працює і підтримує всі опції шифрування SYSKEY: Registry SYSKEY, SYSKEY startup diskette, SYSKEY startup password.
Якщо ви скопіювали файли з іншої операційної системи або іншого комп'ютера, то крім файлів SAM (ntds.dit) і SYSTEM, вкрай рекомендується мати копії реєстру SECURITY і SOFTWARE (вони повинні перебувати в тому ж каталозі, що і SYSTEM). Це дозволить швидко розшифрувати паролі деяких вчених записів.
В одній з останніх версій програми додані три розширені опції завантаження хеш:
- Завантажувати / не завантажувати хеші історії паролів. З одного боку, відключення завантаження хеш історії може значно скоротити час обробки вхідних даних, що не обробляючи непотрібні записи. З іншого боку, якщо під час атаки будуть знайдені паролі до хеш історії, це може значно збільшити шанс вгадування пароля основою облікового запису.
- Відмовитися від завантаження системних облікових записів (імена яких закінчуються символом $).
- Відключити модуль пошуку оригінальних текстових паролів, ключів Bitlocker і інший приватної інформації.