「PwDump」の版間の差分

提供: セキュリティ
移動: 案内検索
行2: 行2:
 
vim: filetype=mediawiki
 
vim: filetype=mediawiki
 
-->
 
-->
 +
[[PwDump]] は、[[Windows]]のパスワードファイル [[SAMデータベース]] から[[パスワード]]の[[ハッシュ]]を取得するツールです。いくつものバージョンや亜種が存在します。
  
 
読み方
 
読み方
行21: 行22:
  
 
C:\tmp\pwdump7 に [[PwDump]] のファイルを解凍した場合です。
 
C:\tmp\pwdump7 に [[PwDump]] のファイルを解凍した場合です。
<syntaxhighlight lang="bash">
+
<syntaxhighlight lang="dos">
 
C:\> cd tmp\pwdump7
 
C:\> cd tmp\pwdump7
 
C:\tmp\pwdump7> PwDump7.exe
 
C:\tmp\pwdump7> PwDump7.exe
行28: 行29:
  
 
パスワードハッシュのリストは、下記のフォーマットです。
 
パスワードハッシュのリストは、下記のフォーマットです。
<syntaxhighlight lang="bash">
+
<syntaxhighlight lang="dos">
 
account_name:uid:LM_Hash:NTLM_Hash:::
 
account_name:uid:LM_Hash:NTLM_Hash:::
 
</syntaxhighlight>
 
</syntaxhighlight>
  
 
ハッシュの例は、以下の通りです。
 
ハッシュの例は、以下の通りです。
<syntaxhighlight lang="bash">
+
<syntaxhighlight lang="dos">
 
Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537:::
 
Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537:::
 
</syntaxhighlight>
 
</syntaxhighlight>
行63: 行64:
  
 
<blockquote>
 
<blockquote>
 +
<pre>
 
カテゴリ:
 
カテゴリ:
 
ツール
 
ツール
行70: 行72:
  
 
アドバイス:
 
アドバイス:
プログラムまたはソフトウェア発行者を信頼している場合にのみ、この検出された項目を許可します。
+
プログラムまたはソフトウェア発行者を信頼している場合にのみ、
 +
この検出された項目を許可します。
  
 
リソース:
 
リソース:
行90: 行93:
 
process:
 
process:
 
pid:8400
 
pid:8400
 +
</pre>
 
</blockquote>
 
</blockquote>
  

2013年5月1日 (水) 17:07時点における版

PwDump は、Windowsのパスワードファイル SAMデータベース からパスワードハッシュを取得するツールです。いくつものバージョンや亜種が存在します。

読み方

PwDump
ぴーだぶりゅーだんぷ (?), ぱすわーどだんぷ (?)

概要

PwDump は、Windowsのパスワードファイル SAMデータベース からパスワードハッシュを取得するツールです。いくつものバージョンや亜種が存在します。

管理者権限が必要ですが、システムキーが有効であっても、DLLインジェクションを利用して、SAMデータベースから、パスワードハッシュを入手できます。


インストール

  • PwDump の配布サイトからダウンロードし、解凍するだけです。

使い方

C:\tmp\pwdump7 に PwDump のファイルを解凍した場合です。

C:\> cd tmp\pwdump7
C:\tmp\pwdump7> PwDump7.exe
C:\tmp\pwdump7> PwDump7.exe > hash.txt

パスワードハッシュのリストは、下記のフォーマットです。

account_name:uid:LM_Hash:NTLM_Hash:::

ハッシュの例は、以下の通りです。

Administrator:500:01fc5a6be7bc6929aad3b435b51404ee:0cb6948805f797bf2a82807973b89537:::

パスワードクラッキング

パスワードクラック は、以下のツールで可能です。

John the Ripperパスワードクラック する方法を Windowsアカウントのパスワードをクラッキングする方法 で説明します。

ウイルス対策ソフトの反応

ウイルス対策ソフト は、PwDump に検出されます。

Windows Defender での例は、以下の通りです。

Windows Defender の警告
検出された項目 警告レベル
HackTool:Win32/PWDump
カテゴリ:
ツール

説明:
このプログラムは、望ましくない動作をする可能性があります。

アドバイス:
プログラムまたはソフトウェア発行者を信頼している場合にのみ、
この検出された項目を許可します。

リソース:
file:
C:\pwdump7\PwDump7.exe

process:
pid:11040

process:
pid:5856

process:
pid:6072

process:
pid:6604

process:
pid:8400

関連項目