Passware Kit Forensic可以识别300多种加密文件类型,并以批处理的方式恢复他们的密码。许多类型的文件可以即时解密,而其他密码则通过字典和暴力破解等方式解密,支持GPU加速和分布式解密。
Passware Kit Forensic除了支持查找加密文件、全盘加密解密、内存分析、手机和云数据取证外,还有平时不常用的哈希解密功能。
PKF支持的哈希种类有:NTLM(支持GPU加速)、MD5、加盐MD5、SHA-1、Unix SHA2-256 (CRYPT)、Blowfish-based Unix crypt (“bcrypt”)等。
同一类型的多个哈希值可以添加到一个文本文档中,每行一个。如果使用盐值对哈希进行加密,那么一个文本文件中的所有哈希都应该具有相同的盐值,否则请使用单独的文本文件进行解密工作。
*在下文中将Passware Kit Forensic简称为PKF~
一、恢复Windows系统用户密码
PKF解密Windows系统用户密码共有两种方法:
1) 从磁盘或镜像文件中导出c:WindowsSystem32config目录,运行PKF加载SAM文件,选择需要解密的用户后PKF即可解密Windows系统用户登录密码。
2) 通过工具提取Windows系统用户密码的NTLM哈希,然后存储至TXT文本文件中,使用PKF加载TXT文件即可解密Windows登录用户登录密码。
实例:
Nick:1001:20DEDCDDC0CF3176DB3BF18FEB979953:::
说明
Nick:
用户名;后面需要加“:”(冒号)
1001:
用户名的SID值;后面需要加 “:”(冒号)
20DEDCDDC0CF3176DB3BF18FEB979953
NTLM哈希值
:::
三个冒号结束。可同时解密多个用户NTLM哈希。
提示:可使用mimikatz工具,获取NTLM哈希。注意使用时请关闭杀毒软件,并将mimikatz目录添加至信任区。软件下载地址:
https://github.com/gentilkiwi/mimikatz/releases
① 将SAM文件和SYSTEM文件从磁盘或镜像文件中导出,重命名为SAM.0和SYSTEM.0(命名可自定义),并将文件存储到mimikatz.exe相同目录下。
② 以管理员身份运行CMD程序,切换到mimikatz.exe程序所在目录
③ 输入mimikatz后,CMD窗口若出现mimikatz#则运行成功
④ 在mimikatz#后输入命令:lsadump::sam /system:SYSTEM.0 /SAM:SAM.0
⑤ 在命令窗口中按Ctrl+M键,用户鼠标左键选择NTLM哈希后,点击鼠标右键,即可将NTLM哈希复制至剪切板中。
二、使用PKF解密MD5哈希
1) 将MD5哈希值存储至TXT文本文件中,使用PKF加载此文件后即可解密MD5哈希。
实例:
Nick:5f4dcc3b5aa765d61d8327deb882cf99
说明
Nick:
用户名;后面需要加“:”(冒号)
5f4dcc3b5aa765d61d8327deb882cf99
MD5值
三、使用PKF解密加盐的MD5哈希
1)将加盐的MD5哈希值存储至TXT文本文件中,使用PKF加载此文件后即可解密MD5哈希。
实例:
Nick:$MD5$salt$67a1e09bb1f83f5007dc119c14d663aa
说明
Nick:
用户名;后面需要加“:”(冒号)
$MD5
($美元符号)后加解密哈希的类型
$salt
($美元符号)后加盐值
$67a1e09bb1f83f5007dc119c14d663aa
($美元符号)后加MD5值
END
原文始发于微信公众号(天鉴科技):【技术分享】Passware Kit Forensic 哈希解密
