PwDump7でWindows10のパスワードハッシュをダンプする

このドキュメントの内容は、以下の通りです。

• はじめに
• Windowsのパスワードハッシュ
• Windows Defenderの動き
• Windowsのパスワードハッシュのダンプ
• 実験1
• 実験2
• まとめ
• 参考

はじめに

Windows 10 のリリースが近づいてきました。Windows 10 のセキュリティが一体どうなっているのか、気になります。今日はWindows10のアカウントのパスワードハッシュについて調査してみました。

Windowsのパスワードハッシュ

Windows では、SAM ファイルにアカウントごとのパスワードのハッシュが格納されています。
このファイルには、

• NTLMハッシュ
• LMハッシュ が格納できます。OSのバージョンや設定によって、格納されるハッシュが異なります。

Windows Defenderの動き

ファイルをダウンロードすると Windows Defender が反応します。
「PCから１個の潜在的な脅威が検出されました」と報告されます。

Windowsのパスワードハッシュのダンプ

Windows のパスワードハッシュダンプツールはいくつもあります。メジャーのモノの１つに、PwDump があります。今回は、PwDump 7.1を利用しました。

実験1

通常アカウントで実行した場合は、失敗に終わりました。

• PwDump をダウンロード
• コマンドプロンプトを起動
• PwDump.exe を実行
• 失敗

実験2

管理者権限で実行した場合は、取得できました(成功)。

• PwDump をダウンロード
• 管理者権限でコマンドプロンプトを起動
• PwDump.exe を実行
• 成功: NTLMハッシュを取得

まとめ

Windows 10 も従来通りの SAMデータベースを利用したアカウントとパスワードの管理が行われています。管理者権限があれば、PwDump 7.1 でパスワードハッシュを抽出可能です。

参考

• PwDump: /security/PwDump
• SAMデータベース: /security/SAMデータベース
• [2013-04-13-1] Windowsのハッシュ化されたパスワードを解析する方法

---