Home > Кэшированные пароли домена
Анализ кэшированных паролей домена
05.05.2022
Reset Windows Password v11.4
Windows activity timeline, Windows clipboard history, etc.
20.04.2022
Windows Password Recovery v14.3
Preliminary support for Windows 11
15.04.2022
Outlook Password Recovery v3.2.1
Support for Windows 11 and the latest version of MS Outlook
21.03.2022
Reset Windows Password v11.3
New forensic utilities, support for Windows 11 and Windows Server 2022

Articles and video

You may find it helpful to read our articles on Windows security and password recovery examples. Video section contains a number of movies about our programs in action

Windows Password Recovery - кэшированные записи домена


Начиная с версии 2.0 в программе появилась возможность чтения кэшированных записей домена. Windows использует кэшированные записи домена для чтого, чтобы иметь возможность подключаться к серверу даже если логон сервер по каким-либо причинам недоступен.

Плагин для работы с кэшированными записями домена состоит из трех шагов.

Вначале необходимо определиться, какие записи надо расшифровать: кэшированные записи текущей операционной системы или какого либо другого компьютера.

Выбор типа кэшированных записей домена


Кэшированные записи домена хранятся в файле реестра SECURITY. Поэтому, при выборе опции чтения записей внешнего ПК, на следующем шаге Мастера необходимо указать путь к этому файлу, а также к реестру SYSTEM, который участвует в расшифровке записей. Если была выбрана опция чтения кэшированных записей локального компьютера, то на втором шаге мастера программа сама выполнит поиск вышеуказанных файлов. Файлы реестра находятся в папке C:\%WINDIR%\system32\config\, где %WINDIR% - каталог Windows.

Кэшированные записи другого компьютера - загрузка реесра SECURITY

Если чтение прошло успешно, то в финальном диалоге вы увидите расшифрованные записи домена. Каждая запись имеет несколько атрибутов. Например, имя пользователя, время последнего входа, членство в группах, кэшированные пароль пользователя (точнее хэш).

Щелчок правой кнопкой мыши на списке записей открывает контекстное меню из которого можно:
 

  • сохранить записи со всеми атрибутами в текстовый файл
  • экпортировать хэши паролей в формат PWDUMP, *.DCC или *.PEIF файл. Учтите, что PWDUMP формат не совсем корректно хранит записи, поэтому предпочтительнее сохранять хэши паролей в *.DCC или *.PEIF файл.
  • сбрасывать или изменять пароль кэшированной записи домена
  • удалять запись
     

Редактирование кжщированных паролей домена

Для восстановления кэшированных паролей домена можно использовать утилиту Network Password Recovery Wizard, предварительно экспортировав хэши в один из указанных выше форматов.