安全帐户管理器

对手可能会尝试通过内存技术或通过存储 SAM 数据库的 Windows 注册表提取凭据材料。SAM 是一个数据库文件，包含主机的本地帐户，通常可以通过 net user 命令找到。枚举 SAM 数据库需要 SYSTEM 级别的访问权限。 可以使用多种工具通过内存技术检索 SAM 文件： * pwdumpx.exe * gsecdump * Mimikatz * secretsdump.py 或者，可以使用 Reg 从注册表中提取 SAM： * reg save HKLM\sam sam * reg save HKLM\system system 然后可以使用 Creddump7 在本地处理 SAM 数据库以检索哈希。(引用: GitHub Creddump7) 注意： * RID 500 帐户是本地内置管理员。 * RID 501 是来宾帐户。 * 用户帐户从 RID 1000+ 开始。