Windows 7密码重设盘的内部原理浅析[网络技术]

大概有兄弟认为密码重设盘是雕虫小技,很简单,乃至是鸡肋,因为既然不怕麻烦特地成立一个密码重设盘,又怎么会那么粗心忘掉密码呢?

其实它背后的原理还是很有意思的,这里试做简单解析.

在Windows XP时代,我们知道当用户成立密码重设盘时,Windows系统会自动成立一对公钥和私钥,以及一张自签订的证书.接下来,将会用所得的公钥对用户帐户的密码举行加密,然后保存在注册表项HKEY_LOCAL_MACHINE\SECURITY\Recovery\< SID>中,此中的< SID>就是指该用户的SID.而私钥则从计算机中删除,并且保存在软盘里.

到了Windows 7时代,我们知道私钥会以userkey.psw文件的情势保存在软盘大概USB闪存里.

但是假如我们尝试查看HKEY_LOCAL_MACHINE\SECURITY\Recovery注册表项,发现其下是空的,并没有什么用户SID.

那么用公钥加密的用户密码,到底存放在那边了呢?很明显,假如光有私钥,而没有经过公钥加密的帐户密码副本,无法获得用户帐户的密码.

经过研究发现(盆盆是借用Process Monitor发现的,对比懒,不想写具体历程了,历程也简单),本来在成立密码重设盘的历程中,Windows安全子系统进程Lsass.exe会自动成立一个Recovery.dat注册表配置单元文件,保存在C:\Windows\System32\Microsoft\Protect\Recovery文件夹中.而Lsass.exe进程会自动将其加载到注册表HKLM\C80ED86A-0D28-40dc-B379-BB594E14EA1B中.C80ED86A-0D28-40dc-B379-BB594E14EA1B意义不明,Google也没有后果,哪位垂老知道,还请不吝指教.

由于密码重设盘成立完成后,Lsass.exe进程会自动卸载该注册表配置单元,所以我们无法查看HKLM\C80ED86A-0D28-40dc-B379-BB594E14EA1B下的内容.但是对比简单想到的是,可以借助以下办法举行查看:

用管理员权限翻开号令提醒符窗口,并且运行以下号令,以Local System身份启动注册表编辑器（Recovery.dat需求用Local System权限才能加载）:

Psexec -s -i -d regedit

选中HKLM注册表根键,然后单击文件、加载配置单元,并定位到C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat文件.

在接下来的对话框里肆意指定一个项名称,比方可以是Test,然后展开其下的子项,可以看到当前登录帐户的SID,其右侧的默许键值,即保存了用公钥所加密的帐户密码副本