重庆分公司,新征程启航

为企业提供网站建设、域名注册、服务器等服务

包含windows系统sam的词条

遗忘了windows系统管理登录密码怎么办?破解sam错误了怎么办?

方法1:

成都创新互联坚持“要么做到,要么别承诺”的工作理念,服务领域包括:成都网站制作、成都网站设计、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的陇县网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!

1.开机启动Win XP,当运行到“正在启动Windows XP”的提示界面前,按“F8”键调出系统启动选择菜单,多按压几次,直到出现选择菜单,选择“带命令行安全模式”;

2.当运行停止后,会列出“Administrator”和其它用户的选择菜单,选择“Administrator”后回车,进入命令行模式;

3.键入命令““net user xpuser01 1234/ADD”这是更改该用户密码的命令,命令中的“1234”是更改后的新密码,如果键入的用户不存在(xpuser01),那么系统会自动添加这个用户。

4.另外还可以使用“net 1oca1group administrator xpuser01 /ADD”命令把 xpuser01这个用户升为超级用户,即可拥有所有权限。

5.最后一步,就是重新启动计算机,在登录窗口中输入刚刚更改的新密码便可成功登陆。

如果你的系统安装在NTFS格式下,或者admonistrator用户需要密码可以使用方法2:

1、用软盘或者光盘启动计算机到另一操作系统,当然原来硬盘上有另外的操作系统更好。如果是dos系统,可能需要启动NTFSFORDOS.

2、将c:\windows\repair\sam复制到c:\windows\system32\config\中覆盖原有的sam,这里假定你的系统是安装在C:\windows下。

3、重新启动计算机,在登录窗口中用户输入administrator,然后确定即可,administrator的密码取消了,进入系统后你可以重新设定你的密码。

电脑系统盘的sam文件怎么查看

电脑中的sam文件夹地址:

C:\WINDOWS\system32\config文件夹。

sam文件是系统记录密码的文件,但是在系统使用状态不能复制,由于SAM文件受系统保护,没有办法直接打开的。

windows系统中的“sam"密码文件,有两个,请问哪一个是真正的密码文件?

我自己以前试过,xp和vista的密码都可以用这种方法破解(复制没密码的sam文件到自己系统中覆盖,注意文件名是“sam”,没后缀名的。),你的方法有点错的了地方!

xp和vistat的“sam”文件都不能删,2000才行!

比如xp吧,删了“sam”文件后赌你500万你都不能让系统启动!

xp

和vista

对此sam

有区别吗?

答:想都不用想,当然有区别,“sam”可以说是存储用户名与密码的“数据库”吧,好像他们在系统中的管理方式是截然不同的!我在百度里看过!

我该怎么做呀?

答:你不是有pe启动u盘的嘛,你看看那个pe里有没有破解windows用户名密码的工具!(你可以参考下

深度pe,功能好多!强悍!)如果有那工具的话,你就试试能不能破解(注意:先把你的sam文件再复制一份到另一地方,以免出现闪失,呵呵),不能的话,就只有去网上找找有没有这种工具了。

深度pe系统里就有破解系统密码的软件,可以把密码清除,变成空密码!

用老毛桃PE清除windows10 密码没找到SAM文件怎么弄

由于操作失误导致系统误删sam文件,导致电脑不能正常启动。

解决方法:

1、首选进入BIOS设置从U盘启动,如图:

2、在U盘系统启动界面中选择运行XXPE微型系统,选2项即进入到PE系统。如图:

3、进入PE系统后,在系统中进入C:\Windows\System32\config\RegBack处并拷贝一个SAM文件。

4、打开目录:c:\WINDOWS\system32\config,然后把U盘的system文件替换进去,重启计算机就修复好了。

5、安装下驱动人生或驱动精灵,然后打开,检测安装驱动,驱动安装完成后即可重启正常使用电脑了。

电脑里SAM是什么?

解剖安全帐号管理器(SAM)结构

创建时间:2002-04-30

文章属性:原创

文章来源:

文章提交:refdom (refdom_at_263.net)

Author: Refdom

Email : refdom@263.net

HomePage:

2002/4/29

I、 摘要

II、 关于SAM

III、注册表中SAM数据库的结构

IV、 SAM数据库的结构和主要内容

V、 关于SAM数据库分析的结论

一、摘要

分析安全帐号管理器结构是在一个多月前做的事情了,只零碎地记录下片段,没有发布过。不发布的主要

原因是安全帐户管理器(SAM)是WIN系统帐户管理的核心,并且非常系统化,我也有很多地方仅仅是进行的推

断和猜测,同时,SAM hack可能造成启动时lsass.exe加载帐户管理器出错,即便是安全模式也不能修复(启动

时候必然加载SAM)使得整个系统启动崩溃(我通常需要依靠第二系统删除SAM文件来启动)。至于现在发布出

来,主要是因为Adam和叮叮的《克隆管理员帐号》种所描述的制作rootkit办法隐蔽性和危害性,对SAM的结构

的熟悉,可以帮助安全维护人员做好安全检测(当然也可能让不良企图者利用)。

这里只介绍关于SAM的内容,同Security相关的暂时不公开。

二、关于SAM

不要误解了SAM,这不是一个文件sam这么简单。SAM(Security Accounts Manager安全帐户管理器)负责

SAM数据库的控制和维护。SAM数据库位于注册表HKLM\SAM\SAM下,受到ACL保护,可以使用regedt32.exe打开注

册表编辑器并设置适当权限查看SAM中的内容。SAM数据库在磁盘上就保存在%systemroot%system32\config\目

录下的sam文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者有不少关系。

SAM数据库中包含所有组、帐户的信息,包括密码HASH、帐户的SID等。这些内容在后面详细介绍。以我分

析的系统中文Win2K Adv Server为例。

三、注册表中SAM数据库的结构

展开注册表HKLM\SAM\SAM\:

HKLM---SAM

|---SAM

|---Domains

| |---Account

| | |---Aliases

| | | |---Members

| | | |---Names

| | |---Groups

| | | |---00000201

| | | |---Names

| | | |---None

| | |---Users

| | |---000001F4

| | |---000001F5

| | |---000003E8

| | |---000003E9

| | |---Names

| | |---Adaministrator

| | |---Guest

| | |---IUSR_REFDOM

| | |---IWASM_REFDOM

| |---Builtin

| |---Aliases

| | |---00000220

| | |---00000221

| | |---00000222

| | |---00000223

| | |---Members

| | | |---S-1-5-21-1214440339-706699826-1708537768

| | | |---000001F4

| | | |---000001F5

| | | |---000003E8

| | | |---000003E9

| | |--- Names

| | |---Administrators

| | |---Users

| | |---Guests

| | |---Power Users

| |---Groups

| | |---Names

| |

| |---Users

| |---Names

|

|---RXACT

这是我机器上注册表中的SAM树。

对照SAM文件中的内容,可以看出,注册表中的SAM树实际上就是SAM文件中一样。不过,SAM文件中是先列

RXACT然后在是Domains内容(以此类推),文件中的表达顺序和注册表中的树形顺序是相反的。如果习惯于看

文件内容,从文件的0000h到0006Ch,表示的是SAM数据库所在的位置:\systemroot\system32\config\sam,然

后是一端空白,直到01000h(hbin),从这里开始就是整个数据库的内容。SAM数据库的文件内容不作主要介绍,

不过会穿插着介绍,有兴趣可以自己去研究。

四、SAM数据库的结构和主要内容:

在整个数据库中,帐号主要内容存在于下面这些位置:

在\Domains\下就是域(或本机)中的SAM内容,其下有两个分支“Account”和“Builtin”。

\Domains\Account是用户帐号内容。

\Domains\Account\Users下就是各个帐号的信息。其下的子键就是各个帐号的SID相对标志符。比如000001F4,

每个帐号下面有两个子项,F和V。其中\Names\下是用户帐号名,每个帐号名只有一个默认的子项,项中类型不

是一般的注册表数据类型,而是指向标志这个帐号的SID最后一项(相对标识符),比如其下的Administrator,

类型为0x1F4,于是从前面的000001F4就对应着帐户名administrator的内容。由此可见MS帐号搜索的逻辑。

推断一:从注册表中结构来看帐号,如果查询一个帐户名refdom的相关信息,那么,微软从帐号名refdom中

找到其类型0x3EB,然后查找相对标志符(或者SID)为000003EB的帐号内容。所有的API函数(比如NetUserEnum())

都是这样来执行的。因此,如果改变refdom帐号中的类型0x3EB为0x1F4,那么这个帐号将被指向类000001F4的帐

户。而这个帐号000001F4就是administrator帐户,这样,系统在登录过程中就把refdom帐号完全转为了administrator

帐号,帐号refdom所使用的所有内容、信息都是adminisrtator内容,包括密码、权限、桌面、记录、访问时间等

等。这个推断应该成立,但是,将意味着两个用户名对应一个用户信息,系统启动上应该会发生错误!

推断一是在以前分析结构的时候即得出了,揭示了登录过程中及之后帐户名和SID关联的关系。

\Domains\Account\Users\000001F4,这就是administrator的帐户信息(其他类似)。其中有两个子项V和F。

项目V中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更

改密码、帐户启用、密码设置时间等。项目F中保存的是一些登录记录,比如上次登录时间、错误登录次数等,还

有一个重要的地方就是这个帐号的SID相对标志符。

以前分析结构的时候没有留意到这个地方,这就是Adam提出的思路。这个地方就是这个SID相对标志符在注册

表中一个帐号出现了两遍,一个是在子键000001F4,另一个地方就是子键中项F的内容里面,从48到51的四个字节:

F4 01 00 00,这实际上是一个long类型变量,也就是00 00 01 F4。当一个标志出现在两个地方的时候就将发生

同步问题。明显,微软犯了这个毛病。两个变量本应该统一标志一个用户帐号,但是微软把两个变量分别发挥各自

的作用,却没有同步统一起来。

子键中000001F4用来同用户名administrator对应,方便通过用户查询帐户信息,比如LookupAccountSid()等

帐号相关API函数都是通过这个位置来定位用户信息的,这个关联应该是用在了帐户登录以后。而项目V值中的

F4 01 00 00是同帐户登录最直接相关联的。

推断二:WIN登录的时候,将从SAM中获得相对标志符,而这个相对标志符的位置是V值中的 F4 01 00 00。但是,

帐户信息查询却使用的SAM中子键内容。

推断二的原因假设(假设一):在帐户登录的时候,登录过程获得SAM数据库中用户名使用的帐户记录信息中的

相对标志符值(相当于V值中的 F4 01 00 00),帐户登录之后,所有跟帐户相关的之后,这个值不再被API函数使

用,而相对标志符由一个数据记录项的字段名代替(相当于子键000001F4)。微软犯了一个同步逻辑问题!

推断二是根据Adam提出而进行的,以前没有这样推断过。:( 推断二如果成立,揭示了在登录过程中帐户SID进行

的过程。这就是为什么V中的值都是跟帐户登录记录(登录时间,密码错误次数等)相关的原因。同时,因为F中保存

了一个用户名内容,而API函数查询的是这个用户名,所以Adam的克隆办法还是容易露脸,经叮叮补充过后,这个用户

名也被恢复原用户名了,从用户名上检测就相对难了。

上面对项目V的介绍可以知道,其中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、

密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。现在来关心的是密码HASH。

假设二:在帐户的项V中,包含了用户HASH,分别包括是LM2和NT的密码加密散列,Crack时,可分开进行。毕竟

LM2简单。

\Domains\Builtin下的内容是同帐户组相关的。其结构同\Account下的类似,并且也存在相应的问题,就不再

罗嗦了。

SAM数据库保存的文件sam中,可没有注册表中的这么简明的内容,而主要是通过偏移量、长度来定位内容。并

且单个帐号的信息都是集中在一块的,而不是象注册表形式这样分隔开(名字的一个键而内容在另外一个键)。

sam文件中,可根据这些下面这些分隔符来定位数据含义:

nk (6E 6B) 键或者子键名

vk (76 6B) 相应的值

if (6C 66) 子键列表

sk (73 6B) 权限

五、关于SAM数据库分析的结论:

SAM HACK是非常有危险性的。不正确的修改会将系统的安全数据管理器破坏,造成系统启动问题,虽然可以通过

删除SAM文件来让启动恢复。如果能够熟悉SAM的结构,你将发现,可以对用户名与用户名之间、用户组与用户组之间

进行调换,以及帐户和帐户组伪造,完全打破微软的帐户格局。并且非常隐蔽,让帐户相关的API函数摸不着头脑。

虽然微软处理帐号信息中犯了不少逻辑问题,但是安全帐号数据库并非不安全,所有操作都必须能完全拥有管理

员权限。

当隐蔽后门的办法被提出来之后,一定会让不少“黑客”利用,管理员也应该多多熟悉相关技术,作好安全检测,

我的目的就达到了。对《克隆管理员帐号》的简单检测工具可以在我的主页()下载,但是更多的还

是需要管理员学习相关知识,才能更好地检测入侵。

求win7 sam文件

1、Win7系统的SAM文件存储用户密码,不能直接复制出来的,本机的SAM文件存储于X:\windows\system32\config\sam文件中(x指的系统盘,一般为C盘),事实上存储的密码是经过不可逆加密算法处理的Hash散列。

2、因为Sam文件是不能复制出来的,因此Windows提供给用户一个操作SAM文件的程序——注册表编辑器,查看步骤具体如下:

1):开始——搜索程序和文件中,输入regedit,找到后,右键”以管理员身份运行“,打开注册表编辑器后找到HKEY_LOCAL_MACHINE\SAM,对于此键下的所有子键的修改,都会保存于config目录下的sam文件。

2):要展开sam键,需要在sam键上右键,选择”权限“,将管理员组的权限设置为“完全控制”,然后F5刷新即可看到sam键下的子键了。


网站题目:包含windows系统sam的词条
文章网址:http://cqcxhl.com/article/dssppji.html

其他资讯

在线咨询
服务热线
服务热线:028-86922220
TOP