Normalmente, o Windows armazena senhas em sistemas de computador único no registro em um formato de hash usando o algoritmo NTLM. O arquivo de registro está localizado em
C:\windows\system32\config\SAM.
Esta área do registro tem permissões restritivas para que um usuário normal não possa ver o conteúdo de HKLM\SAM com profundidade suficiente para acessar o hash. Para visualizar os hashes é preciso alterar as permissões nas chaves do registro, isso requer uma conta administrativa no sistema no Windows XP. Não tenho certeza se o acesso é possível usando uma conta de administrador no Vista ou 7.
No entanto, uma vez que se tenha acesso aos hashes de senha, é difícil obter as senhas novamente. Há muitos lugares na internet que você pode encontrar informações sobre brute forçando um hash NTLM. No entanto, se você estiver simplesmente tentando redefinir uma senha, recomendo usar a senha do NT offline e o Editor do Registro.
Se você quiser molhar os braços, o hash é armazenado sob a chave
HKLM\SAM\SAM\Domains\Account\UsersC:\windows\system32\config\SAM.
000XXX
com um valor chamado V . O hash é armazenado em um deslocamento variável que é armazenado no deslocamento 0x9C e é um valor little endian de 4 bytes.