Não é possível abrir o arquivo de sistema no Windows 10

0

Recentemente, estou tentando encontrar minha senha do Windows depois de ver alguns softwares antivírus solicitados pelas minhas credenciais do Windows para que eu faça login no meu computador. Então eu pensei que poderia ser capaz de alcançar minhas próprias credenciais também.

Depois de fazer uma pesquisa, descobri que nossas credenciais estão armazenadas dentro da pasta C:\Windows\System32\config\SYSTEM .

Então, eu gostaria de perguntar;

  • Existe uma maneira de abrir esse arquivo? Como posso abri-lo?
  • Mesmo se eu abri-lo, ele estará em formato legível ou será em formato criptografado?
por KontrCode 04.02.2018 / 12:03

1 resposta

1

Os arquivos em \Windows\System32\config\ são seções do Registro. Seu formato binário é tecnicamente legível diretamente com software de terceiros, mas de longe a maneira mais fácil de carregá-los no Windows e acessá-los por meio de regedit.exe ou software de terceiros que usa as APIs de registro. SYSTEM (e SAM, que é onde a maioria das coisas de autenticação do Windows mora) estão sob a chave raiz HKEY_LOCAL_MACHINE . Você também pode extrair a seção do registro de um computador para carregá-lo em outro computador. regedit tem uma opção para abrir e montar uma seção do registro.

Observe que em qualquer máquina Windows inicializada, as seções de registro SYSTEM e SAM serão montadas pelo sistema operacional e bloqueadas para impedir o acesso por meio do sistema de arquivos. Você pode acessar os arquivos diretamente se você montar o disco rígido em outra máquina (ou inicializar a partir do DVD ou do flashdrive ou algo assim). Você também pode, teoricamente, desmontar as seções do Registro, mas as que são críticas ao sistema, como SYSTEM e SAM, podem fazer com que o computador pare de funcionar de forma bastante dramática se forem desmontadas, portanto, o SO não permitirá isso.

As senhas do Windows podem ser armazenadas de algumas maneiras diferentes, mas as mais comuns são, de longe, os hashes NTLMv2 (especificamente, as saídas da função One-Way v2 do NT ou NTOWFv2 ). Estes são relativamente fáceis de quebrar; eles usam os algoritmos de hash MD4 e MD5 obsoletos e não contêm nada para limitar a velocidade da computação de hash (como a maneira pela qual o PBKDF2 exige a repetição do mesmo processo de hash muitas vezes) para diminuir a força bruta. No entanto, você não verá as senhas reais em texto simples. Mesmo quando o sistema operacional é configurado de tal forma que é possível obter o texto sem formatação das senhas (que não é, ser padrão), elas são armazenadas em repouso sob criptografia simétrica para que você precise obter a chave de criptografia . Quase todo mundo usa apenas os hashes de senha, e geralmente apenas a forma v2 (que, embora seja ruim para os padrões modernos, é muito melhor do que as funções unidirecionais NTLMv1 e pré-NT LANMAN).

    
por 04.02.2018 / 14:58