获取SAM文件的方法大致有四种：

1.启动引导另一个操作系统

顾名思义，如果我们不直接启动Windows NT系统，而用另一个系统引导服务器的话，SAM文件的保护显然也就失去了作用。黑客们通常会使用System Internals公司的NTFSDOS的系统驱动来获得对NTFS硬盘格式访问的权限，然后将SAM文件提取出来。

2.获取备份的SAM

NT中的修复磁盘工具会备份系统中的关键信息，其中当然也包括了SAM文件，Rdisk会在“%system root%repair”目录中将SAM备份为一个名为SAM._的拷贝压缩。而多数管理员将这些信息拷贝后一般都忘记了删除这些文件，这就给黑客们留下了利用它的可能。黑客一般会选择L0phtcrack进行导入完成获取备份的工作。

3.从SAM中导出散列加密值

前面我们提到了如何获得Administrator访问权限，有了管理员权限后黑客就能够很轻松的获取到Windows NT在注册表中储存的SAM密码散列。用我们前面提到的L0phcrack或者是Pwdump这两个工具都可以轻易的获取到这些加密值。但是经过打补丁后的Windows NT加密性能要坚强一些。

4.4.4 监听NT密码验证交换过程

在这里我们又不得不提到L0phtcrack，可以说L0phcrack最强大的功能就是具备可以直接从本地网络上嗅探出SMB服务器信息块的密码散列加密值了。而且对于不习惯使用命令行控制版本的用户，我们还可以选择图形界面的L0phcrack，当然，这个版本的需要付一些使用费。下面我们就讲一下黑客如何使用L0phcrack破解SAM文件。

我们首先打开L0phcrack，然后根据它的选项提示填入SAM指定的位置，然后我们在寻找一个足够大的字典，选择L0phcrack的File选项中的“Open Wordlist File”指定到字典文件的位置。然后选择“Tool”下的“Options”进行破解的设置，我们可以在这里看到它提供了“Brute Force Attack”(野蛮破解)与“Hybrid Attack”(混合破解)，如果你认为你的计算机CPU速度足够快，那么你可以选择野蛮破解，它是利用你给出的字典和一些计算机随机生成的字符串进行猜解的。而混合破解则是懒惰管理员的克星，因为它会利用像“Passwword12345”这样的简单组合来测试SAM的密码，很多中小企业的网站就是设置的这种简单的密码，显然，这是很脆弱的。此外L0phcrack还提供暂停破解记录等强大的功能。

说完L0phcrack之后我们不得不提一下John这个历来被黑客们誉为最爱的工具。John主要是用来对UNIX的“Password”进行破解的一个强大的工具，但是它同样的具有破解“Windows NT LanManager”散列加密值的功能。不过John的操作要复杂一些，而且它对于大小写的辨别不是很敏感，不过唯一的优点就是它是自由的。

另外一个优秀的破解SAM文件的工具是Crack5。它的基本性能与John很像，也具有破解Windows NT LanManager散列加密值的性能，它的优点在于它能够自己组合多达200多种的密码变换组合。唯一的缺陷是要掌握它你必须对UNIX相当的熟练。

4.5 NT攻防大全

Windows NT所采用的存储数据库和加密过程导致了一系列安全漏洞值得探讨。特别地，Windows NT把用户信息和加密口令保存于“Windows NT Registry”中的SAM文件中，即安全账户管理(Security Accounts Management)数据库。加密口令分两个步骤完成。首先，采用“Rsa Md4”系统对口令进行加密。第二步则是令人迷惑的缺乏复杂度的过程，不添加任何“调料”，比如加密口令时考虑时间的因素。结果，Windows NT口令非常脆弱，更容易受到一本简单字典的攻击。

这里描述的某攻击是很严重的。在最坏的情况下，一个黑客可以利用这些漏洞来破译一个或多个“Domain Administrator”账户的口令，并且对Windows NT域中所有主机进行破坏活动。

以下是NT漏洞的攻击与防御方法 ：

1.安全账户管理(SAM)数据库可以由以下用户被复制：“Administrator”账户，“Administrator”组中的所有成员，备份操作员，服务器操作员，以及所有具有备份特权的人员。

攻击 ：SAM数据库的一个备份拷贝能够被某些工具所利用，来破解口令。Windows NT在对用户进行身份验证时，只能达到加密RSA的水平。在这种情况下，甚至没有必要使用工具来猜测那些明文口令。能解码SAM数据库并能破解口令的工具有：PWDump和NTCrack。实际上，PWDump的作者还有另一个软件包，PWAudit，它可以跟踪由PWDump获取到的任何东西的内容。

防御 ：严格限制Administrator组和备份组账户的成员资格。加强对这些账户的跟踪，尤其是Administrator账户的登录(Logon)失败和注销(Logoff)失败。对SAM进行的任何权限改变和对其本身的修改进行审计，并且设置发送一个警告给Administrator，告知有事件发生。切记要改变缺省权限设置来预防这个漏洞。

改变Administrator账户的名字，显然可以防止黑客对缺省命名的账户进行攻击。这个措施可以解决一系列的安全漏洞。为系统管理员和备份操作员创建特殊账户。系统管理员在进行特殊任务时必须用这个特殊账户注册，然后注销。所有具有Administrator和备份特权的账户绝对不能浏览Web。所有的账户只能具有User或者Power User组的权限。

采用口令过滤器来检测和减少易猜测的口令，例如，Passprop(Windows NTResource Kit提供)，ScanNT(一个商业口令检测工具软件包)。使用加强的口令不易被猜测。Service Pack 3可以加强NT口令，一个加强的口令必须包含大小写字母，数字，以及特殊字符。使用二级身份验证机制，比如令牌卡(Token Card)，可提供更强壮的安全解决方案，它比较昂贵。

2.每次紧急修复盘(Emergency Repair Disk - ERD)在更新时，整个SAM数据库被复制到%system%repair sam._。

攻击 ：在缺省的权限设置下，每个人对该文件都有“读”(Read)的访问权，Administrator和系统本身具有“完全控制”(Full Control)的权利，Power User有“改变”(Change)的权利。SAM数据库的一个备份拷贝能够被某些工具所利用，来破解口令。NT在对用户进行身份验证时，只能达到加密RSA的水平。在这种情况下，甚至没有必要使用工具来猜测那些明文口令。能解码SAM数据库并能破解口令的工具有：PWDump和NTCrack。

防御 ：确保%system%repairsam._在每次ERD更新后，对所有人不可读。严格控制对该文件的读权利。不应该有任何用户或者组对该文件有任何访问权。最好的实践方针是，不要给Administrator访问该文件的权利，如果需要更新该文件，Administrator暂时改变一下权利，当更新操作完成后，Administrator立即把权限设置成不可访问。

3.SAM数据库和其它NT服务器文件可能被NT的SMB所读取，SMB是指服务器消息块(Server Message Block)，一种Microsoft早期LAN产品的继承协议。

攻击 ：SMB有很多尚未公开的“后门”，能不用授权就可以存取SAM和NT服务器上的其它文件。SMB协议允许远程访问共享目录，Registry数据库，以及其它一些系统服务。通过SMB协议可访问的服务的准确数目尚未有任何记载。另外，如何控制访问这些服务的方法也尚未有任何记载。

利用这些弱点而写的程序在Internet上随处可见。执行这些程序不需要Administrator访问权或者交互式访问权。另一个漏洞是，SMB在验证用户身份时，使用一种简易加密的方法，发送申请包。因此，它的文件传输授权机制很容易被击溃。

SAM数据库的一个备份拷贝能够被某些工具所利用，来破解口令。NT在对用户进行身份验证时，只能达到加密RSA的水平。在这种情况下，甚至没有必要使用工具来猜测那些明文口令。能解码SAM数据库并能破解口令的工具有：PWDump和NTCrack。当前，对于使用SMB进行NT组网，还没有任何其它可选的方法。

防御 ：在防火墙上，截止从端口135到142的所有TCP和UDP连接，这样可以有利于控制，其中包括对基于RPC工作于端口135的安全漏洞的控制。最安全的方法是利用代理(Proxy)来限制或者完全拒绝网络上基于SMB的连接。然而，限制SMB连接可能导致系统功能的局限性。在内部路由器上设置ACL，在各个独立子网之间，截止端口135到142。

4.特洛伊木马(Trojan Horses)和病毒，可能依靠缺省权利作SAM的备份，获取访问SAM中的口令信息，或者通过访问紧急修复盘ERD的更新盘。

攻击 ：特洛伊木马(Trojan Horses)和病毒，可以由以下各组中的任何成员在用缺省权限作备份时执行(缺省地，它们包括：Administrator管理员，Administrator组成员，备份操作员，服务器操作员，以及具有备份特权的任何人)，或者在访问ERD更新盘时执行(缺省地，包括任何人)。例如：如果一个用户是Administrator组的成员，当他在系统上工作时，特洛伊木马可能做出任何事情。

防御 ：所有具有Administrator和备份特权的账户绝对不能浏览Web。所有的账户只能具有User或者Power User组的权限。

5.重新安装Widnows NT软件，可以获得Administrator级别的访问权。

攻击 ：重新安装整个的操作系统，覆盖原来的系统，就可以获得Administrator特权。

防御：改善保安措施。

6.Widnows NT域中缺省的Guest账户。

攻击 ：如果Guest账户是开放的，当用户登录失败的次数达到设置时，他可以获得NT工作站的Guest访问权，从而进入NT域。

防御 ：据说NT第4版已经解决了这个问题，升级到第4版吧。关闭Guest账户，并且给它一个难记的口令 （完）