SAM文件剖析

原创 2007年09月13日 20:10:00
关于SAM

不要误解了SAM,这不是一个文件sam这么简单。SAM(Security Accounts Manager安全帐户管理器)负责
SAM数据库的控制和维护。SAM数据库位于注册表HKLM/SAM/SAM下,受到ACL保护,可以使用regedt32.exe打开注
册表编辑器并设置适当权限查看SAM中的内容。SAM数据库在磁盘上就保存在%systemroot%system32/config/目
录下的sam文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者有不少关系。

SAM数据库中包含所有组、帐户的信息,包括密码HASH、帐户的SID等。这些内容在后面详细介绍。以我分
析的系统中文Win2K Adv Server为例。

三、注册表中SAM数据库的结构

展开注册表HKLM/SAM/SAM/:

HKLM---SAM
|---SAM
|---Domains
| |---Account
| | |---Aliases
| | | |---Members
| | | |---Names
| | |---Groups
| | | |---00000201
| | | |---Names
| | | |---None
| | |---Users
| | |---000001F4
| | |---000001F5
| | |---000003E8
| | |---000003E9
| | |---Names
| | |---Adaministrator
| | |---Guest
| | |---IUSR_REFDOM
| | |---IWASM_REFDOM
| |---Builtin
| |---Aliases
| | |---00000220
| | |---00000221
| | |---00000222
| | |---00000223
| | |---Members
| | | |---S-1-5-21-1214440339-706699826-1708537768
| | | |---000001F4
| | | |---000001F5
| | | |---000003E8
| | | |---000003E9
| | |--- Names
| | |---Administrators
| | |---Users
| | |---Guests
| | |---Power Users
| |---Groups
| | |---Names
| |
| |---Users
| |---Names
|
|---RXACT

这是我机器上注册表中的SAM树。

对照SAM文件中的内容,可以看出,注册表中的SAM树实际上就是SAM文件中一样。不过,SAM文件中是先列
RXACT然后在是Domains内容(以此类推),文件中的表达顺序和注册表中的树形顺序是相反的。如果习惯于看
文件内容,从文件的0000h到0006Ch,表示的是SAM数据库所在的位置:/systemroot/system32/config/sam,然
后是一端空白,直到01000h(hbin),从这里开始就是整个数据库的内容。SAM数据库的文件内容不作主要介绍,
不过会穿插着介绍,有兴趣可以自己去研究。

四、SAM数据库的结构和主要内容:

在整个数据库中,帐号主要内容存在于下面这些位置:

在/Domains/下就是域(或本机)中的SAM内容,其下有两个分支“Account”和“Builtin”。

/Domains/Account是用户帐号内容。

/Domains/Account/Users下就是各个帐号的信息。其下的子键就是各个帐号的SID相对标志符。比如000001F4,
每个帐号下面有两个子项,F和V。其中/Names/下是用户帐号名,每个帐号名只有一个默认的子项,项中类型不
是一般的注册表数据类型,而是指向标志这个帐号的SID最后一项(相对标识符),比如其下的Administrator,
类型为0x1F4,于是从前面的000001F4就对应着帐户名administrator的内容。由此可见MS帐号搜索的逻辑。

推断一:从注册表中结构来看帐号,如果查询一个帐户名refdom的相关信息,那么,微软从帐号名refdom中
找到其类型0x3EB,然后查找相对标志符(或者SID)为000003EB的帐号内容。所有的API函数(比如NetUserEnum())
都是这样来执行的。因此,如果改变refdom帐号中的类型0x3EB为0x1F4,那么这个帐号将被指向类000001F4的帐
 
 
 
 作者: 中软人  2005-4-1 22:16   回复此发言   
 
--------------------------------------------------------------------------------
 
8 回复:网络技巧集锦 
 户。而这个帐号000001F4就是administrator帐户,这样,系统在登录过程中就把refdom帐号完全转为了administrator
帐号,帐号refdom所使用的所有内容、信息都是adminisrtator内容,包括密码、权限、桌面、记录、访问时间等
等。这个推断应该成立,但是,将意味着两个用户名对应一个用户信息,系统启动上应该会发生错误!

推断一是在以前分析结构的时候即得出了,揭示了登录过程中及之后帐户名和SID关联的关系。

/Domains/Account/Users/000001F4,这就是administrator的帐户信息(其他类似)。其中有两个子项V和F。
项目V中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更
改密码、帐户启用、密码设置时间等。项目F中保存的是一些登录记录,比如上次登录时间、错误登录次数等,还
有一个重要的地方就是这个帐号的SID相对标志符。

以前分析结构的时候没有留意到这个地方,这就是Adam提出的思路。这个地方就是这个SID相对标志符在注册
表中一个帐号出现了两遍,一个是在子键000001F4,另一个地方就是子键中项F的内容里面,从48到51的四个字节:
F4 01 00 00,这实际上是一个long类型变量,也就是00 00 01 F4。当一个标志出现在两个地方的时候就将发生
同步问题。明显,微软犯了这个毛病。两个变量本应该统一标志一个用户帐号,但是⑷戆蚜礁霰淞糠直鸱⒒痈髯?br> 的作用,却没有同步统一起来。

子键中000001F4用来同用户名administrator对应,方便通过用户查询帐户信息,比如LookupAccountSid()等
帐号相关API函数都是通过这个位置来定位用户信息的,这个关联应该是用在了帐户登录以后。而项目V值中的
F4 01 00 00是同帐户登录最直接相关联的。

推断二:WIN登录的时候,将从SAM中获得相对标志符,而这个相对标志符的位置是V值中的 F4 01 00 00。但是,
帐户信息查询却使用的SAM中子键内容。

推断二的原因假设(假设一):在帐户登录的时候,登录过程获得SAM数据库中用户名使用的帐户记录信息中的
相对标志符值(相当于V值中的 F4 01 00 00),帐户登录之后,所有跟帐户相关的之后,这个值不再被API函数使
用,而相对标志符由一个数据记录项的字段名代替(相当于子键000001F4)。微软犯了一个同步逻辑问题!

推断二是根据Adam提出而进行的,以前没有这样推断过。:( 推断二如果成立,揭示了在登录过程中帐户SID进行
的过程。这就是为什么V中的值都是跟帐户登录记录(登录时间,密码错误次数等)相关的原因。同时,因为F中保存
了一个用户名内容,而API函数查询的是这个用户名,所以Adam的克隆办法还是容易露脸,经叮叮补充过后,这个用户
名也被恢复原用户名了,从用户名上检测就相对难了。

上面对项目V的介绍可以知道,其中保存的是帐户的基本资料,用户名、用户全名(full name)、所属组、描述、
密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。现在来关心的是密码HASH。

假设二:在帐户的项V中,包含了用户HASH,分别包括是LM2和NT的密码加密散列,Crack时,可分开进行。毕竟
LM2简单。


/Domains/Builtin下的内容是同帐户组相关的。其结构同/Account下的类似,并且也存在相应的问题,就不再
罗嗦了。

SAM数据库保存的文件sam中,可没有注册表中的这么简明的内容,而主要是通过偏移量、长度来定位内容。并
且单个帐号的信息都是集中在一块的,而不是象注册表形式这样分隔开(名字的一个键而内容在另外一个键)。

sam文件中,可根据这些下面这些分隔符来定位数据含义:

nk (6E 6B) 键或者子键名
vk (76 6B) 相应的值
if (6C 66) 子键列表
sk (73 6B) 权限


五、关于SAM数据库分析的结论:

SAM HACK是非常有危险性的。不正确的修改会将系统的安全数据管理器破坏,造成系统启动问题,虽然可以通过
删除SAM文件来让启动恢复。如果能够熟悉SAM的结构,你将发现,可以对用户名与用户名之间、用户组与用户组之间
进行调换,以及帐户和帐户组伪造,完全打破微软的帐户格局。并且非常隐蔽,让帐户相关的API函数摸不着头脑。

虽然微软处理帐号信息中犯了不少逻辑问题,但是安全帐号数据库并非不安全,所有操作都必须能完全拥有管理
员权限。

当隐蔽后门的办法被提出来之后,一定会让不少“黑客”利用,管理员也应该多多熟悉相关技术,作好安全检测,
我的目的就达到了。对《克隆管理员帐号》的简单检测工具可以在我的主页(www.opengram.com)下载,但是更多的还
是需要管理员学习相关知识,才能更好地检测入侵。
 

用netstat ?a查看到来自某IP的连接刚好50个,状态均为FIN_WAIT 1,这是属于明显的DDoS攻击,看来Freebsd没有防火墙也不是万能的啊,于是就想到了装防火墙。

 
版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

#AT91SAM9260 linux 系统移植日志------jffs2文件系统定制

AT91SAM9260 linux 系统移植日志——jffs2文件系统定制2011-9-13 目标:熟练u-boot、linux系统、文件系统的优化裁剪;精通系统移植;精通linux系统、文件系统、...

SAM/BAM格式文件操作软件samtools使用说明

SAM和BAM是序列比对之后常用的输出格式,比如tophat输出BAM格式,bowtie和bwa等都采用了SAM格式。BAM格式其实就是SAM格式的二进制格式,占用存储空间更小。samtools由中国...

bowtie结果sam文件解读

sam文件解读 @HD    VN:1.0    SO:unsorted @SQ    SN:chr1    LN:249250621 @SQ    SN:chr2    L...

windows XP 系统 SAM 文件问题( 基于忘记开机密码 )

这几天被 SAM 搞得非常无语......忘记XP密码后,我就到网上去搜索( 我有多个系统), 绝大部分的答案 都是说通过 其他系统 或者 PE 进去 删除 system32 \ config \ ...

at91sam9260ek开发板上jffs2根文件系统制作步骤(转)

at91am9260ek开发板根文件系统移植步骤: 1.准备制作jffs2根文件系统的工具mkfs.jffs2; 2.建立目录; 3.编译busybox; 4.拷贝动态链接库到...

基因数据处理12之samtool的tview来查看sam的匹配文件

基因数据处理12之samtool的tview来查看sam的匹配文件 具体的之前有文章讲过:http://blog.csdn.net/xubo245/article/details/50836185 ...

基于ATMEl at91sam9g45 平台的UBIFS文件系统制作详细过程

这几天都在搞UBIFS文件系统,其实工作上暂时没有要求,但一位朋友在技术群上问道这个问题,考虑一下这个是比较新的东东,android上据说都在用,那么就研究一下吧,上CSDN、google找到N多个链...

winxp win7 sam 文件删除 恢复

现在一般装系统都是使用u盘pe安装,都没有系统盘 所以不能自动修复,而且是ghost安装的系统,没有什么repire文件夹 但是一般装系统的时候都有一键还原,那你有没有想过这个备份的文件里面是...

基因数据处理11之sam文件格式

基因数据处理11之sam文件格式 SAM的全称是sequence alignment map format。而BAM就是SAM的二进制文件(B取自binary) 1. read名称 2. SAM...

基于at91sam9x5ek嵌入式系统的内核和文件系统双备份实现

本文主要基于at91sam9x5ek的开发板,bootstrap+uboot+kernel+ubifs的bsp结构,实现了基于nand flash存储的嵌入式系统在内核、文件系统或是用户数据损坏时可以...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)