「PwDump」の版間の差分
提供: セキュリティ
行2: | 行2: | ||
vim: filetype=mediawiki | vim: filetype=mediawiki | ||
--> | --> | ||
+ | [[PwDump]] は、[[Windows]]のパスワードファイル [[SAMデータベース]] から[[パスワード]]の[[ハッシュ]]を取得するツールです。いくつものバージョンや亜種が存在します。 | ||
読み方 | 読み方 | ||
行21: | 行22: | ||
C:\tmp\pwdump7 に [[PwDump]] のファイルを解凍した場合です。 | C:\tmp\pwdump7 に [[PwDump]] のファイルを解凍した場合です。 | ||
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="dos"> |
C:\> cd tmp\pwdump7 | C:\> cd tmp\pwdump7 | ||
C:\tmp\pwdump7> PwDump7.exe | C:\tmp\pwdump7> PwDump7.exe | ||
行28: | 行29: | ||
パスワードハッシュのリストは、下記のフォーマットです。 | パスワードハッシュのリストは、下記のフォーマットです。 | ||
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="dos"> |
account_name:uid:LM_Hash:NTLM_Hash::: | account_name:uid:LM_Hash:NTLM_Hash::: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
ハッシュの例は、以下の通りです。 | ハッシュの例は、以下の通りです。 | ||
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="dos"> |
Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537::: | Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537::: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
行63: | 行64: | ||
<blockquote> | <blockquote> | ||
+ | <pre> | ||
カテゴリ: | カテゴリ: | ||
ツール | ツール | ||
行70: | 行72: | ||
アドバイス: | アドバイス: | ||
− | + | プログラムまたはソフトウェア発行者を信頼している場合にのみ、 | |
+ | この検出された項目を許可します。 | ||
リソース: | リソース: | ||
行90: | 行93: | ||
process: | process: | ||
pid:8400 | pid:8400 | ||
+ | </pre> | ||
</blockquote> | </blockquote> | ||
2013年5月1日 (水) 17:07時点における版
PwDump は、Windowsのパスワードファイル SAMデータベース からパスワードのハッシュを取得するツールです。いくつものバージョンや亜種が存在します。
読み方
- PwDump
- ぴーだぶりゅーだんぷ (?), ぱすわーどだんぷ (?)
概要
PwDump は、Windowsのパスワードファイル SAMデータベース からパスワードのハッシュを取得するツールです。いくつものバージョンや亜種が存在します。
管理者権限が必要ですが、システムキーが有効であっても、DLLインジェクションを利用して、SAMデータベースから、パスワードハッシュを入手できます。
インストール
- PwDump の配布サイトからダウンロードし、解凍するだけです。
使い方
C:\tmp\pwdump7 に PwDump のファイルを解凍した場合です。
C:\> cd tmp\pwdump7 C:\tmp\pwdump7> PwDump7.exe C:\tmp\pwdump7> PwDump7.exe > hash.txt
パスワードハッシュのリストは、下記のフォーマットです。
account_name:uid:LM_Hash:NTLM_Hash:::
ハッシュの例は、以下の通りです。
Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537:::
パスワードクラッキング
パスワードクラック は、以下のツールで可能です。
John the Ripper で パスワードクラック する方法を Windowsアカウントのパスワードをクラッキングする方法 で説明します。
ウイルス対策ソフトの反応
ウイルス対策ソフト は、PwDump に検出されます。
Windows Defender での例は、以下の通りです。
検出された項目 | 警告レベル |
---|---|
HackTool:Win32/PWDump | 中 |
カテゴリ: ツール 説明: このプログラムは、望ましくない動作をする可能性があります。 アドバイス: プログラムまたはソフトウェア発行者を信頼している場合にのみ、 この検出された項目を許可します。 リソース: file: C:\pwdump7\PwDump7.exe process: pid:11040 process: pid:5856 process: pid:6072 process: pid:6604 process: pid:8400