Para acessar as senhas do Windows, você precisará do arquivo SAM e SYSTEM de C: /

WINDOWS / SYSTEM32 / config

Em um Linux Distro, como o Kali-linux, você pode usar o comando "bootkey do SYSTEM
bkhive" para obter a chave de boot do arquivo do sistema. Em seguida, use o comando
"samdump2 SAM bootkey > samdump.txt" para obter o dump de hash do arquivo SAM.

Se você abrir o arquivo, verá linhas semelhantes às abaixo:

admin: 1006: SEM SENHA *********************: 44bf0244f032ca8baaddda0fa9328bf8 :::

Isso significa que a senha NTLM da conta admin é

"44bf0244f032ca8baaddda0fa9328bf8".

Se você vir algo como:

admin: 1006: 37035b1c4ae2b0c54a15db05d307b01b: 44bf0244f032ca8baaddda0fa9328bf8 :::

Isso significa que o PC tem hashes LM ativados. Nesse caso, o hash LM é

"37035b1c4ae2b0c54a15db05d307b01b". LM hashes são fáceis de quebrar, eles têm a
força de uma senha de 7 caracteres (procure na wikipedia para descobrir o porquê).

O arquivo SAM e SYSTEM geralmente são obtidos quando o PC é desligado. No entanto,

existe uma técnica para obter os arquivos quando o PC é ligado, usando a cópia do
volume de sombra, que está disponível nas versões modernas do Windows.
Essencialmente, isso permite que você faça um backup do sistema em execução e você
pode extrair o arquivo SAM e SYSTEM desse backup. O Google é seu amigo, existem
muitos artigos explicando essa técnica em detalhes.

por 25.07.2014 / 07:04fonte

1
Sim, o Widnows salva as senhas dos usuários em três arquivos:

Windows\System32\Config\SAM file (sem extensão).

Windows\System32\Config\SAM.sav : é uma cópia do primeiro
Windows\System32\Config\SAM.log Um log de transações de alterações.
Para acessar esses arquivos, execute Start/CMD e digite %SystemRoot% e escolha a
subpasta system32\config .

Esses arquivos não podem ser lidos, excluídos ou modificados de qualquer forma pelo
usuário.