[HaBo]

checkbutton · 12.10.05, 20:16

Guten Abend.
Zz. beschäftige ich mich mit der Sicherheit von Windows-Passswörtern, doch nun bin ich auf etwas gestpßen, was mir Rätsel aufgibt.
Wenn ich die SAM-Datei eines anderen PCs (Windows XP Pro. SP2) in beispielsweise Cain importiere und keinen Syskey angebe, sehe ich alle Benutzerkonten, die auch wirklich auf dem PC vorhanden sind (net user ;) ).
Importiere ich nun aber die SAM-Datei und errechne den Syskey anhand der SYSTEM-Datei, sehe ich nur etwa die Hälfte der Benutzerkonten.
Ich weis von einem Account das Passwort, der allerdings nur ohne Syskey angezeigt wird, doch dessen Hash ist ein anderer, als er egtl. sein sollte. Ich überprüfe das morgen nochmal genauer, ob das Passwort, welches ich weis, auch wirklich stimmt, aber normalerweise sollte es so sein wie oben beschrieben. Wer kann mir nun mit dieser Seltsamkeit helfen?
Vielen Dank für eure Zeit,

checkbutton

v01d · 12.10.05, 20:33

was ist ein syskey? also bei mir geht das entschlüsseln, wenn ich die sam nehm und dann john drüberlaufen lass (natürlich nur, wenn ich mein passwort in die dictionary mit aufnehme)

Anzeige

- Anzeige -

checkbutton · 12.10.05, 20:47

Der Syskey ist ein Hash, der sich mithilfe der SYSTEM-Datei in %WinDir%\system32\config\ errechnen lässt. Unter den aktuellen Win2k-Betriebssystemen (Win2k, WinXP, ...) werden Passwörter mithilfe dieser Datei zusätzlich verschlüsselt.

P.S.: Führ' mal syskey aus, dann siehst du ob dein PW verschlüsselt ist oder nicht.

P.P.S.: Du musst bedenken, dass ich nicht meine lokale SAM verwenden, sondern eine externe, kopiert unter Knoppix.

v01d · 13.10.05, 17:09

heißt dass dann, dass pwdump2 einen schon (mit dem syskey) entschlüsselten Hash anzeigt, während man zum entschlüsseln der SAM datei zusätzlich die datei SYSTEM braucht (z.b. mit lc) ? schon, ne...

checkbutton · 14.10.05, 10:26

Ja, ich denke, genau das heißt das.
Hat irgendwer eine Ahnung, warum das sich bei mir so verhalten könnte?
Ich bin mir inzwischen ziemlich sicher, dass die SAM syskey-verschlüsselt ist.

Anzeige

- Anzeige -

12.10.05, 20:16	#1 (permalink)
checkbutton Registriert seit: 12.07.04 Likes: 0	SAM und SYSTEM Anzeige Guten Abend. Zz. beschäftige ich mich mit der Sicherheit von Windows-Passswörtern, doch nun bin ich auf etwas gestpßen, was mir Rätsel aufgibt. Wenn ich die SAM-Datei eines anderen PCs (Windows XP Pro. SP2) in beispielsweise Cain importiere und keinen Syskey angebe, sehe ich alle Benutzerkonten, die auch wirklich auf dem PC vorhanden sind (net user ;) ). Importiere ich nun aber die SAM-Datei und errechne den Syskey anhand der SYSTEM-Datei, sehe ich nur etwa die Hälfte der Benutzerkonten. Ich weis von einem Account das Passwort, der allerdings nur ohne Syskey angezeigt wird, doch dessen Hash ist ein anderer, als er egtl. sein sollte. Ich überprüfe das morgen nochmal genauer, ob das Passwort, welches ich weis, auch wirklich stimmt, aber normalerweise sollte es so sein wie oben beschrieben. Wer kann mir nun mit dieser Seltsamkeit helfen? Vielen Dank für eure Zeit, checkbutton

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
system.log	XXXX	Windows	0	03.12.06 13:47
Sciherstes System?	leichti	Off topic-Zone	11	01.03.05 21:36
5.1-System per ALSA	sheepd	Linux/UNIX	4	05.12.04 13:45
Ein System 2 x XP	Inselflug	Windows	4	05.05.03 17:41
Win 16-System	Laudanum	Die Problemzone	9	19.03.03 17:50

12.10.05, 20:33	#2 (permalink)
v01d Registriert seit: 30.05.05 Likes: 0	was ist ein syskey? also bei mir geht das entschlüsseln, wenn ich die sam nehm und dann john drüberlaufen lass (natürlich nur, wenn ich mein passwort in die dictionary mit aufnehme)

12.10.05, 20:47	#3 (permalink)
checkbutton Themenstarter Registriert seit: 12.07.04 Likes: 0	Der Syskey ist ein Hash, der sich mithilfe der SYSTEM-Datei in %WinDir%\system32\config\ errechnen lässt. Unter den aktuellen Win2k-Betriebssystemen (Win2k, WinXP, ...) werden Passwörter mithilfe dieser Datei zusätzlich verschlüsselt. P.S.: Führ' mal syskey aus, dann siehst du ob dein PW verschlüsselt ist oder nicht. P.P.S.: Du musst bedenken, dass ich nicht meine lokale SAM verwenden, sondern eine externe, kopiert unter Knoppix.

13.10.05, 17:09	#4 (permalink)
v01d Registriert seit: 30.05.05 Likes: 0	heißt dass dann, dass pwdump2 einen schon (mit dem syskey) entschlüsselten Hash anzeigt, während man zum entschlüsseln der SAM datei zusätzlich die datei SYSTEM braucht (z.b. mit lc) ? schon, ne...

14.10.05, 10:26	#5 (permalink)
checkbutton Themenstarter Registriert seit: 12.07.04 Likes: 0	Ja, ich denke, genau das heißt das. Hat irgendwer eine Ahnung, warum das sich bei mir so verhalten könnte? Ich bin mir inzwischen ziemlich sicher, dass die SAM syskey-verschlüsselt ist.

[HaBo]

SAM und SYSTEM