Как известно горячо любимый в народе SAM файл (w2k) заблокирован системой. И посмотреть его невозможно невозможно даже имея права локального админа. Есть ли методы прочитать его не используя (загрузку с дискеты и т.д.) к примеру читать файл через какой либо драйвер или пропатчить библиотеку винды где встроенна эта блокировка ? К примеру есть такая прога Acronis TrueImage - она позволяет делать образы разделов (в том числе и системных) на работающей системе ! Т.е. считывает в том числе и SAM файлы и плевать ей на блокировку ! Интересно как она это делает ? Устанавливает свой драйвер ?
Один из способов получить доступ к SAM - внедрение кода в процесс LSASS и использование его хэндлов. При этом хорошо остановить все остальные потоки. А образы дисков берутся через \Device\Harddisk#\Partition# , драйвера не надо т.к. уже есть символьные ссылки.
образы дисков берутся через \Device\Harddisk#\Partition# А можно используя это читать отдельные файлы ? читать при помощи ZwReadFile можно подробнее ?
Есть такая утилитка RDISK, которая делает копию файлов реестра. Делаешь: 1. ищешь в сети RDISK.exe 2. запускаеш rdisk /s и пьешь пиво 3. в папке WINNT\repair\: extract sam._ $$hive$$.tmp это и есть sam кодировка в опере глючит
