Home > Анализ CREDHIST
Анализ содержимого CREDHIST
05.05.2022
Reset Windows Password v11.4
Windows activity timeline, Windows clipboard history, etc.
20.04.2022
Windows Password Recovery v14.3
Preliminary support for Windows 11
15.04.2022
Outlook Password Recovery v3.2.1
Support for Windows 11 and the latest version of MS Outlook
21.03.2022
Reset Windows Password v11.3
New forensic utilities, support for Windows 11 and Windows Server 2022

Articles and video

You may find it helpful to read our articles on Windows security and password recovery examples. Video section contains a number of movies about our programs in action

Windows Password Recovery - анализ CREDHIST



CREDHIST - файл истории паролей, выполненный в виде цепочки, каждое звено которой представляют собой хэши предыдущих паролей пользователя. Каждый раз, когда пользователь меняет свой пароль, хэш старого пароля добавляется к концу файла и шифруется новым паролем. Поэтому, чтобы расшифровать все хэши в цепочке, необходимо знать текущий пароль пользователя.

Кроме хэшей, в цепочках хранится другая служебная информация, анализ которой и является целью данной утилиты.
 

Выбираем файл CREDHIST
Выбор файла CREDHIST


 

И приступаем к анализу содержимого
Анализ содержимого CREDHIST

На скриншоте видно, что уникальный идентификатор CREDHIST - 93c85e9c-130e-4ede-9063-576492e41a1d. Именно к этому идентификатору (GUID) прикреплены все мастер ключи пользователя в системе. Число звеньев в цепи хэшей - 2.

Далее в таблице подробно описаны атрибуты и их значения для каждого звена нашего CREDHIST.

 

Описание атрибутов

 

  • dwVersion - версия структуры данных
  • guidLink - уникальный идентификатор текущего звена
  • dwNextLinkSize - размер следующего звена
  • dwLinkType - тип звена
  • algHash - алгоритм хэширования, который используется при расшифровке звена
  • dwPbkdf2IterationCount - количество итераций в алгоритме генерации ключа PKCS#5 PBKDF2
  • dwSidSize - размер описателя безопасности (SID) владельца
  • algCrypt - алгоритм шифрования
  • dwShaHashSize - размер SHA1 хэша
  • dwNtHashSize - размер NTLM хэша
  • pSalt - соль, используемая при шифровании
  • sidUser - SID владельца данных
  • pShaHash - SHA1 хэш
  • pNtHash - NTLM хэш

Для подбора оригинального пароля CREDHIST, щелкните правой кнопкой на списке атрибутов и в появившемся контекстном меню выберите пункт 'Использовать словарь для проверки пароля...'. Можно проверять пароль как текущей выбранной записи, так и всех записей. При этом время проверки будет увеличено пропорционально количеству записей (т.е. цепочек).

Смотрите сравнительную таблицу скорости подбора оригинального пароля CREDHIST. Скорость измерена для одном ядре процессора Intel Q8400 2.66GHz для ОС, настроенные по умолчанию (например,в Windows 7 количество раундов в PBKDF2 может быть иным).

ОС Алгоритм шифрования Алгоритм хэширования HMAC Кол-во итераций в PKCS#5 PBKDF2 Скорость перебора (п/с)
WindowsXP 3DES SHA1 4000 76
WindowsVista 3DES SHA1 24000 12
Windows7 AES256 SHA512 5600 10