"¿Dónde están las dos ubicaciones donde los hashes de contraseña del usuario se almacenan en una máquina de Windows local?"
Mi lugar de trabajo me hizo esta pregunta. Sé que SAM almacena los hashes de contraseña, ¿dónde estaría la otra ubicación?
C:\windows\system32\config\SAM
(Registro: HKLM/SAM
) El archivo SAM se monta en el registro como HKLM/SAM
. Windows bloquea este archivo y no lo liberará a menos que se cierre (reiniciar, BSOD, etc.). Sin embargo, si observa la entrada SAM en la sección de registro mencionada anteriormente, no encontrará el hash.
Por lo tanto, parece más que probable que el hash, o la contraseña, también se almacenen en la memoria. De hecho, hay varios crackers de contraseñas que toman su contraseña directamente de la memoria.
Hay una ubicación adicional donde almacenan las credenciales de dominio en caché como hashes MSCASH2:
HKEY_LOCAL_MACHINE\Security\Cache
Entonces, si estás hablando de una máquina unida a un dominio, hay tres lugares donde puedes encontrar las credenciales almacenadas.