Os arquivos em \Windows\System32\config\
são seções do Registro. Seu formato binário é tecnicamente legível diretamente com software de terceiros, mas de longe a maneira mais fácil de carregá-los no Windows e acessá-los por meio de regedit.exe
ou software de terceiros que usa as APIs de registro. SYSTEM (e SAM, que é onde a maioria das coisas de autenticação do Windows mora) estão sob a chave raiz HKEY_LOCAL_MACHINE
. Você também pode extrair a seção do registro de um computador para carregá-lo em outro computador. regedit
tem uma opção para abrir e montar uma seção do registro.
Observe que em qualquer máquina Windows inicializada, as seções de registro SYSTEM e SAM serão montadas pelo sistema operacional e bloqueadas para impedir o acesso por meio do sistema de arquivos. Você pode acessar os arquivos diretamente se você montar o disco rígido em outra máquina (ou inicializar a partir do DVD ou do flashdrive ou algo assim). Você também pode, teoricamente, desmontar as seções do Registro, mas as que são críticas ao sistema, como SYSTEM e SAM, podem fazer com que o computador pare de funcionar de forma bastante dramática se forem desmontadas, portanto, o SO não permitirá isso.
As senhas do Windows podem ser armazenadas de algumas maneiras diferentes, mas as mais comuns são, de longe, os hashes NTLMv2 (especificamente, as saídas da função One-Way v2 do NT ou NTOWFv2 ). Estes são relativamente fáceis de quebrar; eles usam os algoritmos de hash MD4 e MD5 obsoletos e não contêm nada para limitar a velocidade da computação de hash (como a maneira pela qual o PBKDF2 exige a repetição do mesmo processo de hash muitas vezes) para diminuir a força bruta. No entanto, você não verá as senhas reais em texto simples. Mesmo quando o sistema operacional é configurado de tal forma que é possível obter o texto sem formatação das senhas (que não é, ser padrão), elas são armazenadas em repouso sob criptografia simétrica para que você precise obter a chave de criptografia . Quase todo mundo usa apenas os hashes de senha, e geralmente apenas a forma v2 (que, embora seja ruim para os padrões modernos, é muito melhor do que as funções unidirecionais NTLMv1 e pré-NT LANMAN).