Аналіз кешованих паролів домену

Articles and video

Windows Password Recovery - кешовані записи домену

Починаючи з версії 2.0, у програмі з'явилася можливість читання кешованих записів домену. Windows використовує кешовані записи домену для чогось, щоб мати можливість підключатися до сервера навіть якщо логон сервер з будь-яких причин недоступний.

Плагін для роботи з кешованими записами домену складається із трьох кроків.

Спочатку необхідно визначитися, які записи треба розшифрувати: кешовані записи поточної операційної системи чи іншого комп'ютера.

аналіз

Кешовані записи домену зберігаються у файлі реєстру SECURITY. Тому при виборі опції читання записів зовнішнього ПК на наступному кроці Майстра необхідно вказати шлях до цього файлу, а також до реєстру SYSTEM, який бере участь у розшифровці записів. Якщо вибрано опцію читання кешованих записів локального комп'ютера, то другий етап майстра програма сама виконає пошук вищевказаних файлів. Файли реєстру знаходяться в папці C:\%WINDIR%\system32\config\, де %WINDIR% - каталог Windows.

паролів

Якщо читання пройшло успішно, у фінальному діалозі ви побачите розшифровані записи домену. Кожен запис має кілька атрибутів. Наприклад, ім'я користувача, час останнього входу, членство у групах, кешований пароль користувача (точніше хеш).

Клацніть правою кнопкою миші на списку записів відкриває контекстне меню з якого можна:

  • зберегти записи з усіма атрибутами до текстового файлу
  • експортувати хеші паролів у формат PWDUMP, *.DCC або *.PEIF файл. Врахуйте, що PWDUMP формат не зовсім коректно зберігає записи, тому краще зберігати хеші паролів *.DCC або *.PEIF файл.
  • скидати або змінювати пароль кешованого запису домену
  • видаляти запис

домену

Для відновлення кешованих паролів домену можна використовувати утиліту Network Password Recovery Wizard, попередньо експортувавши хеші в один із зазначених вище форматів.