无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
查看: 2975|回复: 12

[转贴] 系统级文件夹config里控制用户帐户信息的SAM文件的挂载和相关情况

[复制链接]
发表于 2019-10-10 15:29:52 来自手机 | 显示全部楼层 |阅读模式
本帖最后由 sairen139 于 2019-10-12 22:24 编辑

sam文件怎么打开,可以在pe下用注册表编辑器加载配置单元的方法挂载修改!

(Security Accounts Manager安全帐户管理器)负责SAM数据库的控制和维护。SAM数据库位于注册表HKLM\SAM\SAM下,受到ACL保护,可以使用regedt32.exe打开注 册表编辑器并设置适当权限查看SAM中的内容。

SAM数据库在磁盘上就保存在%systemroot%system32\config\目录下的sam文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者有不少关系

最近没有事情就翻翻自己的系统文件夹,

走到C:\WINDOWS\system32\config文件夹下时,发现如下五个奇怪的文件:sam,default,security,software,system.在windows系统环境下无法打开。
并且其中sam,security,default均为256k。
这几个文件到底是什么用呢?就到网络上查查。

SAM最初是跟随第一代NT来到世界的,它在微软总部的特工代号叫做“安全账户管理器”(Security Accounts Manager),可以所sam文件是windows的门卫,在win2k时代这个门卫不太强大,到了NT内核时代,这个家伙的作用就变得强大了。SAM记录的数据很多,包括所有组、账户信息、密码HASH、账户SID等,应该说是一个考虑得比较周全的门卫。

SAM不仅仅是一个文件那么简单,它不但有文件数据,在注册表里面还有一个数据库,位于HKEY_LOCAL_MACHINE\\SAM下,这是一个比较复杂的结构。SAM在系统启动后就处于锁定状态,我们没法擅自更改这个文件内容。

在注册表里我们可以看到一下内容:

1.在HKEY_LOCAL_MACHINE\\SAM\\SAM\\ Domains下就是SAM的内容,其下有两个分支“Account”和“Builtin”。

2.Domains\\Account\\Users下存放的就是各个账号的信息,当然,这里是加密过的二进制数据,每个账号下面有两个子项,F和V。项目V中保存的是账户的基本资料,用户名、所属组、描述、密码、注释、是否可以更改密码、账户启用、密码设置时间等。项目F中保存的是一些登录记录,比如上次登录时间、错误登录次数等。SAM靠这些齐全的备忘录来保存与用户账号相关的各种信息。

3.Domains\\Builtin存放着不同用户分组信息,SAM就是根据这个来划分NT中固有的6个不同的工作组的,它们分别是:管理员(Administrators)、备份操作员Backup Operators)、客人(Guests)、高权限用户(Power Users)、修复员(Replicator)和普通用户(Users)。

幕后指挥官

在Windows系统中,虽然SAM如此尽力,但是他不听从你的指挥。
它只听本地安全认证(Local Security Authority)程序——LSASS.EXE的差遣,就连进门时的审查也是LSASS的指示。如果你把LSASS杀了,你就等着被赶出门吧

——当然,对于普通用户来说,如果你试图用普通的进程管理工具或者Windows系统的进程管理杀掉“LSASS.EXE”进程的话,只会得到“该进程为关键系统进程,任务管理器无法结束进程。”的提示,本地安全认证(Local Security Authority)在Windows系统中主要负责以下任务:
1.重新找回本地组的SID和用户权限;
2.创建用户的访问令牌;
3.管理本地安装的服务所使用的服务账号;
4. 存储和映射用户权限;
5.管理审核的策略和设置;
6.管理信任关系。

俗话说,“人无完人”。尽管SAM(萨姆)是这么尽心尽责,可是在这里,我们还是必须用那句话——“萨姆也是人”来形容它。由于一些设计上的失误,在WinNT/2000里,如果你忘记了密码,那么你要做的不是呼天喊地,只需要在非NT环境里把SAM驱逐出硬盘就可以了。但是在XP以后的Windows操作系统里,这个情况得以改善,如果你把萨姆大叔踢了,NT也躲着死活不肯出来了。

特别提醒:不要以为sam文件记录了密码信息你就可以删除该文件使得系统用户密码为空,虽然在早期的win2k时代你可以在dos环境下这样做以求达到置空密码的目的,在xp时代,这样可没有用哦。

或者 使用 lc5 软件...


可以由下面的批处理导入:
@echo off
for /f "delims=." %%s in ('reg query "HKLM\SECURITY\SAM\Domains\Builtin\Aliases\Members"') do set AdminSID=%%s-500
set "AdminSID=%AdminSID:HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Builtin\Aliases\Members\=%"
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileService\References\%AdminSID%" /v RefCount /t REG_BINARY /d 02000000 /f
LSAgetRights.exe -c -u Administrator
reg load "HKU\%AdminSID%" X:\Users\Administrator\NTUSER.DAT
56C6D15A-30F3-4518-9B36-8EAF9FC77C5B.jpeg
81F026D0-3830-40FB-AA0C-22A6C8C45EDF.jpeg

评分

参与人数 1无忧币 +5 收起 理由
董大 + 5 赞一个!

查看全部评分

发表于 2019-10-10 19:27:47 | 显示全部楼层
感谢分享,学习一下!
回复

使用道具 举报

发表于 2019-10-10 19:59:55 来自手机 | 显示全部楼层
感谢科普
回复

使用道具 举报

发表于 2019-10-10 22:47:19 | 显示全部楼层
这是哪年的文章?
回复

使用道具 举报

发表于 2019-10-10 23:31:21 | 显示全部楼层
谢谢楼主的分享,辛苦啦
回复

使用道具 举报

发表于 2019-10-10 23:52:20 | 显示全部楼层
這個... 亂動不得. 我想修改這文件取代管理員無人值守 unattend.xml, 屢試屢敗, 無法開機.

点评

巧了,我也在琢磨修改sam直接激活Admin帐户的问题。关于你的取代问题这个hzican坛友修改的sam成功了请参见这个帖子:http://bbs.wuyou.net/forum.php?mod=viewthread&tid=408904 目前我以hzican的方法来制作一个win  详情 回复 发表于 2019-10-11 00:13
回复

使用道具 举报

 楼主| 发表于 2019-10-11 00:13:17 | 显示全部楼层
yaya141319 发表于 2019-10-10 23:52
這個... 亂動不得. 我想修改這文件取代管理員無人值守 unattend.xml, 屢試屢敗, 無法開機.

巧了,我也在琢磨修改sam直接激活Admin帐户的问题。关于你的取代问题这个hzican坛友修改的sam成功了请参见这个帖子:http://bbs.wuyou.net/forum.php?mod=viewthread&tid=408904
目前我以hzican的方法来制作一个windows10LTSB2016的x64位版本精简版,希望能达到这个帖子的成果。就是通过%~dp0\wimlib extract 某个.wim 1  @files.txt --dest-dir=g:\ --nullglob
pause这样的wimlib.exe直接从一个wim包里提取文件到系统盘,将处理过的SAM文件放入system32文件夹下config文件夹里这样一个精简版,希望能做一个通用的类似烦烦烦那样的win10精简版出来。

点评

好. 我去瞧瞧. 謝謝!  详情 回复 发表于 2019-10-11 00:15

评分

参与人数 1无忧币 +5 收起 理由
yaya141319 + 5 赞一个!

查看全部评分

回复

使用道具 举报

发表于 2019-10-11 00:15:35 | 显示全部楼层
sairen139 发表于 2019-10-11 00:13
巧了,我也在琢磨修改sam直接激活Admin帐户的问题。关于你的取代问题这个hzican坛友修改的sam成功了请参 ...

好. 我去瞧瞧. 謝謝!

点评

yaya老师,你今晚说的五步法的第1步,是不是修改C:Windows\servicing\子目录下的.mum?这里的.mun里有相关的系统组件的信息和父组件依赖信息。但是子目录里的.mum这么多,你是用批处理来批量修改.mum的吗?  详情 回复 发表于 2019-10-11 00:29
回复

使用道具 举报

 楼主| 发表于 2019-10-11 00:29:28 | 显示全部楼层
yaya141319 发表于 2019-10-11 00:15
好. 我去瞧瞧. 謝謝!

yaya老师,你今晚说的五步法的第1步,是不是修改C:Windows\servicing\子目录下的.mum?这里的.mun里有相关的系统组件的信息和父组件依赖信息。但是子目录里的.mum这么多,你是用批处理来批量修改.mum的吗?

点评

不是, 耐心地沿著樓梯由上往下走完. (我只注重技術層面, 不常經簡.)  详情 回复 发表于 2019-10-11 00:46
回复

使用道具 举报

发表于 2019-10-11 00:46:06 | 显示全部楼层
本帖最后由 yaya141319 于 2019-10-11 01:02 编辑
sairen139 发表于 2019-10-11 00:29
yaya老师,你今晚说的五步法的第1步,是不是修改C:Windows\servicing\子目录下的.mum?这里的.mun里有相 ...


不是, 耐心地沿著樓梯由上往下走完. (我只注重技術層面, 不常精簡.)  

這是 .mum 可單獨移除的部份, 至於設備驅動, 輸入法, 國際語言和程序依附服務 (dependencies) 這些, 沒有 mum 可刪, 則仍需用命令移除. 這應該是 NTlite 的作法: 寫程序抓 .manifest

Windows 7 Component Removal

記得當初是大家公開討論, 等 NTLite (那時叫 7Lite 什麼的) 學會寫程序, 就開始收費了. 我當初因為不是本科出身, 所以就放棄. 至今總算被我理出自己的秘訣.

点评

yaya老师不愧是大师级人物,能力超卓,惊才绝艳,居然以一人之力开前人未有之境界!佩服佩服!  详情 回复 发表于 2019-10-11 01:17
回复

使用道具 举报

 楼主| 发表于 2019-10-11 01:17:58 | 显示全部楼层
yaya141319 发表于 2019-10-11 00:46
不是, 耐心地沿著樓梯由上往下走完. (我只注重技術層面, 不常精簡.)  

這是 .mum 可單獨移除的部份, ...

yaya老师不愧是大师级人物,能力超卓,惊才绝艳,居然以一人之力开前人未有之境界!佩服佩服!

点评

我是從 DOS 玩起的.... 說到論壇: MSFN (好像) -> 然後不知何故, 人都跑了 國外 - MDL 國內 (我是華裔老外) - 遠景 如今, 就剩 MDL 那個 UUP dump 的作者, 其餘都不在我的眼裡.  详情 回复 发表于 2019-10-11 01:38
回复

使用道具 举报

发表于 2019-10-11 01:38:50 | 显示全部楼层
本帖最后由 yaya141319 于 2019-10-11 01:46 编辑
sairen139 发表于 2019-10-11 01:17
yaya老师不愧是大师级人物,能力超卓,惊才绝艳,居然以一人之力开前人未有之境界!佩服佩服!


我是從 DOS 玩起的.... 說到論壇:

MSFN (好像) -> 然後不知何故, 人都跑了. 接著這兩個開始學架設論壇

國外 - MDL
國內 - 遠景

如今, 厲害的都消失了,就剩 MDL 那個 UUP dump 的作者..



回复

使用道具 举报

发表于 2023-8-11 19:09:21 | 显示全部楼层
感谢分享
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-3-28 22:31

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表