He exportado SAM y SYSTEM como Registry Hive Files y me preguntaba si es posible buscar dentro de esos archivos para ver qué contienen. Los abrí con el Bloc de notas pero no vi nada significativo (al menos para mis ojos). Así que utilicé ophcrack para cargar el SAM local con samdump2 y pude obtener el Hash de NT. Quiero saber si el archivo SAM se puede leer de otra manera, especialmente con los editores de texto. O tal vez debería preguntarme cómo funciona samdump2?
Respuestas:
Por supuesto, puede abrir todos los archivos en un editor de texto plano;)
La pregunta es si puedes obtener algo útil de ello. Esto depende de si se trata de un archivo de texto plano o de un formato específico y también de la codificación utilizada. Creo que en este caso es ilegible por el formato. No la codificación.
En general, hay algunas formas en que funcionan las herramientas como samdump2. Uno es acceder al archivo con privilegios de SISTEMA (que creo que ya no funciona en sistemas más modernos) el otro es cargar algunos controladores de sistema de archivos que simplemente ignoran los privilegios asignados . Así es como pwdump7 Funciona por ejemplo. Esto por supuesto requiere derechos administrativos.