SAM
- windows 계정의 패시워드 해시를 저장하고 있는 파일
- /etc/shadow의 윈도우 버전
- SYSKEY로 암호화 되어있다. 때문에 SYSKEY를 이용해 복호화해야만 password hash를 얻을 수 있다.
- format
- username:SID:LM hash:NTLM hash:::
- 윈도우7 이상은 NTLM hash만 사용한다.
SYSKEY
- SAM의 암호화에 사용된다.
- key size = 128bit
- SYSTEM 파일에서 얻을 수 있다.
SAM에서 pw hash를 얻으려면 SAM과 SYSTEM 파일 둘 다 필요하다.
(kali)
samdump2 SYSTEM SAM 으로 얻을 수 있다.
(윈도우)
아래 블로그 참조
Windows Authentication [ SAM ]
LSA , Local Security Authority [ lsass.exe ] SRM , Security Reference Monitor SAM , Security Account Manager SAM windows 계정의 패스워드 해시를 저장하고 있는, *nix의 `` /etc/shadow``같은 파일이다...
umbum.dev
'정보보안 > forensic' 카테고리의 다른 글
| 레지스트리, 하이브 파일 (0) | 2021.12.13 |
|---|---|
| volatility 플러그인 정리 (0) | 2021.12.12 |
| LNK 파일 분석 (0) | 2021.11.15 |
| volatility 설치(windows, kali) (0) | 2021.11.02 |
| AI 음성인식 스피커 분석 강의 정리 (0) | 2021.10.20 |
댓글