解剖安全帐号管理器(SAM)结构

最新推荐文章于 2025-02-27 15:13:57 发布
最新推荐文章于 2025-02-27 15:13:57 发布
阅读量3.9k 收藏
点赞数
分类专栏: 木马后门 注册表研究 文章标签: 数据库 user 图形 security 微软 api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/freexploit/article/details/233701
版权
本文深入探讨了Windows安全帐号管理器(SAM)的结构,包括注册表中的SAM数据库布局、用户和组账户信息的存储方式以及潜在的安全隐患。通过对SAM的分析,揭示了在登录过程中账户SID的处理逻辑,指出微软在此逻辑中存在的同步问题,可能导致账户信息的混淆。此外,文章讨论了如何利用这些知识进行账户伪装和权限提升,但警告此类操作可能引发系统启动问题。最后,提供了建立隐藏超级用户的步骤,强调了隐藏超级用户建立后的安全隐患和不可更改密码的特性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

解剖安全帐号管理器(SAM)结构 来源:www.opengram.com  类别:黑客文献  日期:2002-5-1 6:28:30  今日/总浏览: 1/386  

Author: Refdom
Email : refdom@263.net
HomePage: www.opengram.com
2002/4/29


I、 摘要
II、 关于SAM
III、注册表中SAM数据库的结构
IV、 SAM数据库的结构和主要内容
V、 关于SAM数据库分析的结论

一、摘要
分析安全帐号管理器结构是在一个多月前做的事情了,只零碎地记录下片段,没有发布过。不发布的主要原因是安全帐户管理器(SAM)是WIN系统帐户管理的核心,并且非常系统化,我也有很多地方仅仅是进行的推断和猜测,同时,SAM hack可能造成启动时lsass.exe加载帐户管理器出错,即便是安全模式也不能修复(启动时候必然加载SAM)使得整个系统启动崩溃(我通常需要依靠第二系统删除SAM文件来启动)。至于现在发布出来,主要是因为Adam和叮叮的《克隆管理员帐号》种所描述的制作rootkit办法隐蔽性和危害性,对SAM的结构的熟悉,可以帮助安全维护人员做好安全检测(当然也可能让不良企图者利用)。
这里只介绍关于SAM的内容,同Security相关的暂时不公开。
二、关于SAM
不要误解了SAM,这不是一个文件sam这么简单。SAM(Security Accounts Manager安全帐户管理器)负责SAM数据库的控制和维护。SAM数据库位于注册表HKLM/SAM/SAM下,受到ACL保护,可以使用regedt32.exe打开注册表编辑器并设置适当权限查看SAM中的内容。SAM数据库在磁盘上就保存在%systemroot%system32/config/目录下的sam文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者有不少关系。
SAM数据库中包含所有组、帐户的信息,包括密码HASH、帐户的SID等。这些内容在后面详细介绍。以我分析的系统中文Win2K Adv Server为例。
三、注册表中SAM数据库的结构
展开注册表HKLM/SAM/SAM/:
HKLM---SAM
|---SAM
|---Domains
| |---Account
| | |---Aliases
| | | |---Members
| | | |---Names
| | |---Groups
| | | |---00000201
| | | |---Names
| | | |---None
| | |---Users
| | |---000001F4
| | |---000001F5
| | |---000003E8
| | |---000003E9
| | |---Names
| | |---Adaministrator
| | |---Guest
| | |---IUSR_REFDOM
| | |---IWASM_REFDOM
| |---Builtin
| |---Aliases
| | |---00000220
| | |---00000221
| | |---00000222
| | |---00000223
| | |---Members
| | | |---S-1-5-21-1214440339-706699826-1708537768
| | | |---000001F4
| | | |---000001F5
| | | |---000003E8
| | | |---000003E9
| | |--- Names
| | |---Administrators
| | |---Users
| | |---Guests
| | |---Power Users
| |---Groups
| | |---Names
| |
| |---Users
| |---Names
|
|---RXACT
这是我机器上注册表中的SAM树。
对照SAM文件中的内容,可以看出,注册表中的SAM树实际上就是SAM文件中一样。不过,SAM文件中是先列RXACT然后在是Domains内容(以此类推),文件中的表达顺序和注册表中的树形顺序是相反的。如果习惯于看文件内容,从文件的0000h到0006Ch,表示的是SAM数据库所在的位置:/systemroot/system32/config/sam,然后是一端空白,直到01000h(hbin),从这里开始就是整个数据库的内容。SAM数据库的文件内容不作主要介绍,不过会穿插着介绍,有兴趣可以自己去研究。
四、SAM数据库的结构和主要内容:
在整个数据库中,帐号主要内容存在于下面这些位置:

最低0.47元/天 解锁文章
大模型学习笔记------SAM模型详解与思考
gz7seven
12-16 3034
本文主要介绍了Segment Anything Model(SAM)的网络结构,所有解释基本都在网络结构的图像中进行标注,可读性更强。
一次小事故:安全账户管理器初始化失败
热门推荐
origin 专栏
08-12 1万+
这两天在准备给新员工培训的资料,想打算给他们演示windows下文件权限控制例子,不小心改掉了注册表SAM键值权限属性,重启系统后再也无法进入系统。
解剖安全帐号管理器SAM结构()
08-11 207
解剖安全帐号管理器SAM结构()[@more@]  一、摘要    分析安全帐号管理器结构是在一个多月前做的事情了,只零碎地记录下片段,没有发布过。不发布的主要原因是安全帐户管理器SAM)是WIN系统帐户管理的核心,并且...
安全帐号管理器SAM文件基础知识
weixin_34232744的博客
06-19 583
Windows NT及Windows2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器帐号的管理是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。因此,一旦某个帐号被删除,它的安全...
SAM/BAM文件格式简介()
庐州月光的博客
09-15 968
欢迎关注”生信修炼手册”!将reads比对到参考基因组上,我们称之为mapping。mapping的工具很多,为了方便下游分析,对于mapping产生的文件,业界有一个统一的标准,这个标...
SAM的构造
hungry1234的博客
01-12 301
sam实质:将一个字符串高度压缩后的后缀放入一个自动机内,使得这个自动机可以接受所有文本的字串 endpos:字串末尾在原串中出现位置的集合 parent tree:若一个节点的endpos是另一个的子集,那么parent tree有一条由母集到子集的边 自动机中,每个状态代表的是endpos集合相等的一些字符串 添加字符是分三种情况 令未加入这个字符的为原串,las为原串所在节点 1.没有这个字符:las所在链上所有点向新节点连边 2.若有 2.1.若本来这个字符和原串...
解剖安全帐号管理器(SAM)结构
04-29
### 解剖安全帐号管理器(SAM)结构 #### 一、引言 本文将深入剖析Windows操作系统中的核心组件——安全帐号管理器(Security Accounts Manager,简称SAM)的内部结构及其功能。SAM作为Windows系统账户管理的核心,...
新手常见安全问题
jgftyfc的博客
11-03 759
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.youkuaiyun.com/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!                关于被入侵简单说明:&
术语解释:SAM安全账号管理器(security account manager)
weixin_30693683的博客
08-28 1404
----SAM来自于百度的解释 Win2000中对用户账户的安全管理使用了安全账号管理器SAM(security account manager)的机制,安全账号管理器对账号的管理是通过安全标识进行的,安全标识在账号创建时就同时创建,一旦账号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。因此,一旦某个账号被删除,它的安全标识就不再存在...
【学习笔记】SAM结构和应用
cqbzlydd的博客
06-24 1569
不得不感叹,$SAM$真是字符串工具的集大成者。之前没认真学真是太可惜了。
[绝密文档] SAM注册表结构分析 Security Accounts Manager 解密 [免费版]
12-10
国外经典SAM结构分析资料。 偶尔从google上获得,从网上搜集了一大会,发现比国内的资料简直UP了好些年。 Security Accounts Manager Author: clark@hushmail.com Last updated: 3rd April 2005 ________________________________________ This article is based primarily on a local default setup of NT5.0 Professional or 2K (Windows 2000), however there maybe additional verified references to XP Professional and Server Editions. Much will apply across the NT range, but not all has been verified. Note that this is a partial update from the orginal version, there will be more additions, I just thought it was time to consolidate some stuff. This article has been written concisely and progressively, it is advisable not to skim read. Some stuff is advanced, use a test machine where possible. Special thanks to: (alphabetically ordered) esrever_otua: For pointing out something which I had missed about group memberships. fishy5: For coding XORCheck.exe which calculates the registry hive checksum. mirrorshades: For inspiring a hash database space optimzation technique rattle: For coding ntdate.exe which calculates the NT time format and the LastPolicyTime; a couple of programs for the #DAD8636F687BF15B section and for working on the LM Hash Decoder V1/V2 projects. Serg Wasilenkow: For working on the LM Hash Decoder V1/V2 projects. Vladimir Katalov: For the PWSEx product key and working on the LM Hash Decoder V1/V2 projects. xavic: For inspiring a hash database space optimzation technique Due to length and my decision not to divide this article into separate pages I have split the article into 4 main chapters. 01. Users and Groups 02. (some) Security Settings 03. Registry Structure 04. Passwords
sam格式的结构和意义_sam概述
weixin_29264201的博客
12-24 1849
1对S-腺苷蛋氨酸的相关了解一、概述腺苷蛋氨酸,又称腺苷甲硫氨酸。英文名为S-AdenosvlmeIhionine,常用缩略语为SAMSAMe或AdoMet,是甲硫氨酸的活性形式,广泛存在于动物、植物和微生物体内,也是人体内一种重要的生理活性物质,参与了40多种生化反应。在生物体内由蛋氨酸和ATP合成酶(Sadenosylinethioninesynthetase)(EC2.5.1.6)催化合成...
sam格式的结构和意义_文件格式——Sam&bam文件
weixin_39671631的博客
12-24 789
Sam&bam文件SAM是一种序列比对格式标准, 由sanger制定,是以TAB为分割符的文本格式。主要应用于测序序列mapping到基因组上的结果表示,当然也可以表示任意的多重比对结果。当测序得到的fastq文件map到基因组之后,我们通常会得到一个sam或者bam为扩展名的文件。SAM的全称是sequence alignment/map format。而BAM就是SAM的二进制文件(B...
sam格式的结构和意义_SAM文件格式介绍
weixin_29783407的博客
01-14 1309
imageSAM 是sequence alignment format [http://samtools.github.io/hts-specs/SAMv1.pdf]的缩写,BAM文件是SAM的二进制文件。当测序生成的fastq文件比对到参考基因组后就会生成SAM文件或者BAM文件。大部分的数据分析都是始于SAM文件。SAM 文件的结构SAM格式文件包括头部注释部分和比对结果部分,头部分为''可选...
sam格式的结构和意义_SAM文件基础知识
weixin_32566055的博客
01-14 1623
windows NT及win2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器帐号的管理是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。因此,一旦某个帐号被删除,它的安全标识就不再存在了,即使用相同的...
lsass.exe--系统错误 安全帐户管理初始化失败
weixin_34162629的博客
11-21 564
lsass.exe--系统错误 安全帐户管理初始化失败,原因是以下错误:句柄无效.错误状态:0xc00000082011-02-17 15:50:37 标签:lsass.exe帐户管理系统错误句柄无效 版权声明:原创作品,谢绝转载!否则将追究法律责任。 lsass.exe--系统错误 安全帐户管理初始化失败,原因是以下错误:句柄无效.错误状态...
立体注意力机制(SAM)详解及代码复现
最新发布
hasakie的博客
02-27 1908
立体注意力机制(Stereo Attention Mechanism, SAM)是一种在计算机视觉领域中广泛应用的先进技术,旨在模拟人类视觉系统的选择性注意力机制。它通过动态地聚焦于图像或点云数据中的关键区域,有效提高了模型对复杂场景的理解和处理能力。
SAM注册表结构分析
xcntime的专栏
12-10 7619
Title: Security Accounts Manager | Author: clark@hushmail.com | Last updated: 3rd April 2005<br /> This article is based primarily on a local default setup of NT5.0 Professional or 2K (Windows 2000), however there maybe additional verified references to
资料总结分享:SAM,bam,bed文件格式
weixin_69558614的博客
05-07 1978
表示read比对到RNAME这条序列的最左边的位置,如果该read能够完全比对到这条序列(CIGAR string为M)则这个位置是read的第一个碱基比对的位置,如果该read的反向互补序列比对到这条序列,则这个位置是read的反向互补序列的第一个碱基比对的位置,所以无论该read是正向比对到该序列,或是其反向互补序列比对到该序列,比对结果均是最左端的比对位置。SAM文件中的每一行包含了比对的序列ID、比对的标志、参考序列的名称、序列的起始位置、比对得分、序列的序列等信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值