Home > Анализ CREDHIST
Анализ содержимого CREDHIST
17.04.2024
Reset Windows Password v14.2
 Telegram data recovery, Photo Database and Media Player investigation tools, and some more
12.04.2024
Office password recovery tools
 Resetting VBA passwords
01.03.2024
New blog post
 Dumping the history of users' IP addresses in Windows
20.02.2024
Reset Windows Password v14.1
 IP addresses history viewer, fast disk search, local security editor and some more

Passcape RSS news feed more news »

Articles and video

You may find it helpful to read our articles on Windows security and password recovery examples. Video section contains a number of movies about our programs in action

Windows Password Recovery - анализ CREDHIST



CREDHIST - файл истории паролей, выполненный в виде цепочки, каждое звено которой представляют собой хэши предыдущих паролей пользователя. Каждый раз, когда пользователь меняет свой пароль, хэш старого пароля добавляется к концу файла и шифруется новым паролем. Поэтому, чтобы расшифровать все хэши в цепочке, необходимо знать текущий пароль пользователя.

Кроме хэшей, в цепочках хранится другая служебная информация, анализ которой и является целью данной утилиты.
 

Выбираем файл CREDHIST

Выбор файла CREDHIST


 

И приступаем к анализу содержимого

Анализ содержимого CREDHIST

На скриншоте видно, что уникальный идентификатор CREDHIST - 93c85e9c-130e-4ede-9063-576492e41a1d. Именно к этому идентификатору (GUID) прикреплены все мастер ключи пользователя в системе. Число звеньев в цепи хэшей - 2.

Далее в таблице подробно описаны атрибуты и их значения для каждого звена нашего CREDHIST.
 

Описание атрибутов
  • dwVersion - версия структуры данных
  • guidLink - уникальный идентификатор текущего звена
  • dwNextLinkSize - размер следующего звена
  • dwLinkType - тип звена
  • algHash - алгоритм хэширования, который используется при расшифровке звена
  • dwPbkdf2IterationCount - количество итераций в алгоритме генерации ключа PKCS#5 PBKDF2
  • dwSidSize - размер описателя безопасности (SID) владельца
  • algCrypt - алгоритм шифрования
  • dwShaHashSize - размер SHA1 хэша
  • dwNtHashSize - размер NTLM хэша
  • pSalt - соль, используемая при шифровании
  • sidUser - SID владельца данных
  • pShaHash - SHA1 хэш
  • pNtHash - NTLM хэш

Для подбора оригинального пароля CREDHIST, щелкните правой кнопкой на списке атрибутов и в появившемся контекстном меню выберите пункт 'Использовать словарь для проверки пароля...'. Можно проверять пароль как текущей выбранной записи, так и всех записей. При этом время проверки будет увеличено пропорционально количеству записей (т.е. цепочек).

Смотрите сравнительную таблицу скорости подбора оригинального пароля CREDHIST. Скорость измерена для одном ядре процессора Intel Q8400 2.66GHz для ОС, настроенные по умолчанию (например,в Windows 7 количество раундов в PBKDF2 может быть иным).

Операционная система Алгоритм шифрования Алгоритм хэширования Кол-во итераций в PKCS#5 PBKDF2 Скорость перебора (п/с)
Windows XP 3DES SHA1 4000 76
Windows Vista 3DES SHA1 24000 12
Windows 7 AES256 SHA512 5600 10
Windows 10-11 AES256 SHA512 8000 7



 
Site map | Terms of use | About us | Contacts