SAM und SYSTEM

C

checkbutton

0
Guten Abend.
Zz. beschäftige ich mich mit der Sicherheit von Windows-Passswörtern, doch nun bin ich auf etwas gestpßen, was mir Rätsel aufgibt.
Wenn ich die SAM-Datei eines anderen PCs (Windows XP Pro. SP2) in beispielsweise Cain importiere und keinen Syskey angebe, sehe ich alle Benutzerkonten, die auch wirklich auf dem PC vorhanden sind (net user ;) ).
Importiere ich nun aber die SAM-Datei und errechne den Syskey anhand der SYSTEM-Datei, sehe ich nur etwa die Hälfte der Benutzerkonten.
Ich weis von einem Account das Passwort, der allerdings nur ohne Syskey angezeigt wird, doch dessen Hash ist ein anderer, als er egtl. sein sollte. Ich überprüfe das morgen nochmal genauer, ob das Passwort, welches ich weis, auch wirklich stimmt, aber normalerweise sollte es so sein wie oben beschrieben. Wer kann mir nun mit dieser Seltsamkeit helfen?
Vielen Dank für eure Zeit,

checkbutton
 
was ist ein syskey? also bei mir geht das entschlüsseln, wenn ich die sam nehm und dann john drüberlaufen lass (natürlich nur, wenn ich mein passwort in die dictionary mit aufnehme)
 
Der Syskey ist ein Hash, der sich mithilfe der SYSTEM-Datei in %WinDir%\system32\config\ errechnen lässt. Unter den aktuellen Win2k-Betriebssystemen (Win2k, WinXP, ...) werden Passwörter mithilfe dieser Datei zusätzlich verschlüsselt.

P.S.: Führ' mal syskey aus, dann siehst du ob dein PW verschlüsselt ist oder nicht.

P.P.S.: Du musst bedenken, dass ich nicht meine lokale SAM verwenden, sondern eine externe, kopiert unter Knoppix.
 
heißt dass dann, dass pwdump2 einen schon (mit dem syskey) entschlüsselten Hash anzeigt, während man zum entschlüsseln der SAM datei zusätzlich die datei SYSTEM braucht (z.b. mit lc) ? schon, ne...
 
Ja, ich denke, genau das heißt das.
Hat irgendwer eine Ahnung, warum das sich bei mir so verhalten könnte?
Ich bin mir inzwischen ziemlich sicher, dass die SAM syskey-verschlüsselt ist.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben