探索操作系统凭据转储的两面性

SAM数据库是所有Windows系统上都存在的文件。该文件包含所有创建的帐户，以及在Windows操作系统(XP、Vista、Win7、Win8.1、Win10)上存在的所有内置帐户。在这里，密码是以哈希值(NT密码哈希)形式存储的。

2、其他文件

我们也可以在各种文件中找到密码，其中包括配置文件和用户创建的文件(通常为纯文本)。某些日志文件可能包含凭据信息，例如安装程序日志，有时还可以在崩溃报告中找到它们。

3、缓存的凭据

域凭据被存储在注册表中，以允许用户在未连接到域时能够登录其系统。Windows系统会缓存最后10个登录哈希，默认情况下一些位置最多可以存储25个。这个数字可以在注册表中配置。

4、本地安全授权机构(LSA)

LSA Secrets存储在注册表中，并允许服务以用户权限运行。这些服务包括VPN、计划任务、自动登录、备份服务器帐户、IIS网站等。它们以加密的形式保存在“Security/Policy/Secrets”注册表中。

5、本地安全机构子系统服务进程(LSASS)

在本地或域中登录Windows计算机时，凭据将会存储在LSASS进程的内存中。这主要是用于允许用户访问其有权访问的网络上的其他资源，而不必再重新进行身份验证。存储的格式可以是纯文本、NT和LM哈希以及Kerberos Ticket。

（编辑：济宁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!