Copy file SAM trực tiếp trong Windows dùng tool IceSword

[red_flag_communism]

File SAM trong folder "\system32\config\" chứa thông tin về tài khoản và mật khẩu của các user trên máy (dưới dạng mã hóa) và không thể sao chép, di chuyển, xóa hay mở file này khi Windows đang chạy bất kể người sử dụng logon vào máy với quyền quản trị hệ thống.

FileReg.icp (plug-in của IceSword) có thể truy cập trực tiếp xuống đĩa cứng nhờ vào các hàm của IceSword, vì thế nó có thể thao tác trực tiếp trên đĩa cứng và registry, bỏ qua 1 số thành phần hệ thống của Windows như ntfs.sys, fastfat.sys, Windows NT Configuration Manager và tất nhiên cả rootkit (đây là tool chống rootkit).

Plug-inFileReg.icp không phân biệt được sự khác biệt giữa partition và volume. Có nghĩa là plug-in này có thể không làm việc trên các volume động (dynamic volume).
-----------------------------------------------------------------------------------------------

Mở IceSword.exe (dưới 1 tài khoản có quyền admin), vào menu Plugin/FileReg

Gõ lệnh: mount 0 0
Nếu mount thành công thì sẽ thấy như hình dưới.
Nếu báo lỗi không mount được thì gõ lệnh:
flush c:
mount 0 0

Tiếp tục gõ lệnh: copy windows\system32\config\sam c:\sam

Gõ tiếp 2 lần lệnh dir để xem có file SAM trong ổ C chưa
dir
dir
Nếu thấy như hình dưới là đã thành công

Cuối cùng, gõ lệnh:
unmount
exit

Bây giờ thì có thể thao tác thoải mái trên bản sao của file SAM, không phải mất công vào DOS.


[Only registered and activated users can see links. ]

[cuty]

Bài viết tham dự của bạn rất hay, rất hữu ích cho các quản trị viên.