Baseando-se nas informações rudimentares de $ djoin.exe /help e
esta página da web:
O blob gravado no caminho passado no sinalizador /savefile
contém as credenciais da conta da máquina. Eu presumo que inclui
a senha da máquina gerada aleatoriamente necessária para derivar
chaves Kerberos da máquina. Exatamente o que eu preciso.
No entanto, não consigo fazer cara ou coroa da bolha decodificada. Começa com isso:
- offset - 0 1 2 3 4 5 6 7 8 9 A B C D E F 0123456789ABCDEF comment
0x00000000 0110 0800 cccc cccc 6003 0000 0000 0000 ........'.......
0x00000010 0000 0200 0100 0000 0100 0000 0400 0200 ................
0x00000020 0100 0000 0100 0000 3803 0000 0800 0200 ........8.......
0x00000030 3803 0000 0110 0800 cccc cccc 2803 0000 8...........(...
0x00000040 0000 0000 80c2 54ac d0a0 55ac 309b 55ac ......T...U.0.U.
e, em seguida, contém strings UTF-16 reconhecíveis, uma das quais Eu entendo que pode conter a senha.
Este formato está documentado em algum lugar?