Home > Анализ CREDHIST
Анализ содержимого CREDHIST
05.06.2023
Reset Windows Password v13.1
 Forensic tools to analyze Remote Desktop activity in Windows
10.05.2023
Wireless Password Recovery v6.8.1
 New templates to seach for default passwords of some broadband WiFi routers
24.04.2023
Reset Windows Password v13.0
 Full support for Windows 11, duplicate file finder, checksum calculator and some new tools
06.04.2023
Office password recovery tools
 Support for some new GPU devices

Passcape RSS news feed more news »

Articles and video

You may find it helpful to read our articles on Windows security and password recovery examples. Video section contains a number of movies about our programs in action

Windows Password Recovery - анализ CREDHIST



CREDHIST - файл истории паролей, выполненный в виде цепочки, каждое звено которой представляют собой хэши предыдущих паролей пользователя. Каждый раз, когда пользователь меняет свой пароль, хэш старого пароля добавляется к концу файла и шифруется новым паролем. Поэтому, чтобы расшифровать все хэши в цепочке, необходимо знать текущий пароль пользователя.

Кроме хэшей, в цепочках хранится другая служебная информация, анализ которой и является целью данной утилиты.
 

Выбираем файл CREDHIST

Выбор файла CREDHIST


 

И приступаем к анализу содержимого

Анализ содержимого CREDHIST

На скриншоте видно, что уникальный идентификатор CREDHIST - 93c85e9c-130e-4ede-9063-576492e41a1d. Именно к этому идентификатору (GUID) прикреплены все мастер ключи пользователя в системе. Число звеньев в цепи хэшей - 2.

Далее в таблице подробно описаны атрибуты и их значения для каждого звена нашего CREDHIST.
 

Описание атрибутов
  • dwVersion - версия структуры данных
  • guidLink - уникальный идентификатор текущего звена
  • dwNextLinkSize - размер следующего звена
  • dwLinkType - тип звена
  • algHash - алгоритм хэширования, который используется при расшифровке звена
  • dwPbkdf2IterationCount - количество итераций в алгоритме генерации ключа PKCS#5 PBKDF2
  • dwSidSize - размер описателя безопасности (SID) владельца
  • algCrypt - алгоритм шифрования
  • dwShaHashSize - размер SHA1 хэша
  • dwNtHashSize - размер NTLM хэша
  • pSalt - соль, используемая при шифровании
  • sidUser - SID владельца данных
  • pShaHash - SHA1 хэш
  • pNtHash - NTLM хэш

Для подбора оригинального пароля CREDHIST, щелкните правой кнопкой на списке атрибутов и в появившемся контекстном меню выберите пункт 'Использовать словарь для проверки пароля...'. Можно проверять пароль как текущей выбранной записи, так и всех записей. При этом время проверки будет увеличено пропорционально количеству записей (т.е. цепочек).

Смотрите сравнительную таблицу скорости подбора оригинального пароля CREDHIST. Скорость измерена для одном ядре процессора Intel Q8400 2.66GHz для ОС, настроенные по умолчанию (например,в Windows 7 количество раундов в PBKDF2 может быть иным).

Операционная система Алгоритм шифрования Алгоритм хэширования Кол-во итераций в PKCS#5 PBKDF2 Скорость перебора (п/с)
Windows XP 3DES SHA1 4000 76
Windows Vista 3DES SHA1 24000 12
Windows 7 AES256 SHA512 5600 10
Windows 10-11 AES256 SHA512 8000 7



 
Site map | Terms of use | About us | Contacts