Igor Wawrzyniak wrote:
>>> No i tu mam problem. Hasła są zapisane w
>>> HKEY_LOCAL_MACHINE\Security\SAM\Domains\Account\Users\<identyfikator>
>>> Pierwsza sprawa - nie mogę znaleźć przypisania identyfikatorów
>>> do nazw użytkowników.
>> HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users\000001F4
>> odpowiada AFAIK za dane konta wbudowanego administratora. A przypisania
>> odbywają się AFAIK w ten sposób, że ostatni ww. podklucz jest zapisanym
>> w HEX ostatnim członem SID'a użytkownika. I tak: 1F4 (hex) = 500 (dec) a
>> taką końcówkę na Administrator; 1F5 (hex) = 501(dec) - konto
>> /wbudowanego/ gościa. Dalej już IMO sobie poradzisz.
> Tzn. identyfikatory są w tej samej kolejności jak w
> HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users\Names?
Mogą ale nie muszą, a jeśli już są to przypadkiem. ;-) Ale do rzeczy.
Użytkownika w systemie identyfikuje nie tyle jego nazwa co unikalny SID
- jest to taki długi numer, którego przykład znajdziesz choćby w kluczu
HKEY_USERS. ;-) Aby ułatwić sobie zamianę nazw użytkowników na ich SID'y
i odwrotnie możesz sie posłużyć zewnętrznym programem - choćby ze strony
http://www.chem.msu.su/~rudnyi/NT/ . W ten sposób możesz sprawdzić, że
np. S-1-5-21-555557777-8882220022-9345222222-500 jest przyporządkowany
do konta Administrator. Pod uwagę należy wziąć szczególnie ostatni człon
SID'a - w tym przypadku jest to 500. Ten człon po ostatnim myślniku
należy zamienić na wartość szesnastkową - co w tym przypadku daje, jak
wspomniałem wcześniej, wartość "1F4". Teraz należy odszukać w kluczu
HKLM\SECURITY\SAM\Domains\Account\Users podklucz z "1F4" na końcu nazwy
- w tym kluczu będzie "zaszyfrowane" hasło danego konta. Jeśli przy
użyciu ww. programu sprawdzisz, że Twoje konto np. "Igor" na SID'a np.
S-1-5-21-555557777-8882220022-9345222222-1002 to hasło tego konta masz w
HKLM\SECURITY\SAM\Domains\Account\Users\000003EA bo 1002(dec) = 3EA(hex).
Mam nadzieję, że teraz było wystarczająco jasno.
-- Regards Arkadiusz 'Black Fox' Artyszuk Replying by email change blackfox.org to gazeta.plReceived on Thu Dec 2 10:00:36 2004
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 02 Dec 2004 - 10:42:02 MET