🔐 Секретная Windows-папка: Полное руководство по хранению и извлечению паролей в системе

Привет, народ! 👋 Сегодня расскажу вам о самом интересном и немного опасном месте вашей Windows-машины, где спрятаны буквально ВСЕ пароли, которые вы когда-либо сохраняли. Это не просто папка, это целая система защиты, которая использует мощное шифрование и хранилища. Давайте разбираться, где именно Windows прячет ваши главные секреты 😉

🔐 Секретная Windows-папка: Полное руководство по хранению и извлечению паролей в системе

Привет, народ! 👋 Сегодня расскажу вам о самом интересном и немного опасном месте вашей Windows-машины, где спрятаны буквально ВСЕ пароли, которые вы когда-либо сохраняли. Это не просто папка, это целая система защиты, которая использует мощное шифрование и хранилища. Давайте разбираться, где именно Windows прячет ваши главные секреты 😉

Где хранятся пароли в Windows?

Windows — хитрая штука. Пароли разбросаны по разным местам в зависимости от их назначения:

• Credential Manager (Диспетчер учетных данных) — встроенный сейф Windows для паролей RDP, сетей, браузеров. Данные шифруются интерфейсом DPAPI.
• SAM (Security Account Manager) — база хэшей локальных пользователей: HKEY_LOCAL_MACHINE\SAM\SAM. Доступ строго ограничен!
• LSASS — процесс lsass.exe, держащий хэши NTLM, Kerberos и cached credentials прямо в памяти.

DPAPI — криптографический щит

DPAPI (Data Protection API) работает просто: ваш логин → мастер-ключ → AES-128 шифрование всех паролей.
Мастер-ключ лежит тут:
C:\Users\<имя>\AppData\Roaming\Microsoft\Protect\<SID>
Он связан с SID вашего пользователя и защищён паролем Windows.

Современные Windows 11 используют Credential Guard, изолируя LSASS в отдельном контейнере. Даже администратор не вытащит креды без виртуализации 😎

Как посмотреть сохраненные пароли?

Через интерфейс

1. Windows + R
2. control /name Microsoft.CredentialManager
3. Видите список всех учетных данных, но без самих паролей 🤭
   Или воспользуйтесь:
   rundll32.exe keymgr.dll,KRShowKeyMgr

Через PowerShell

Install-Module CredentialManager
Import-Module CredentialManager
Get-StoredCredential

А чтобы вывести конкретный пароль:

$cred = Get-StoredCredential -Target "Имя"
$password = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto(
[System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($cred.Password))
Write-Host $password

Через командную строку

cmdkey /list

Пароль не отобразится — защита Microsoft на страже 😅

Хранилище SAM

C:\Windows\System32\config\SAM — база NTLM-хэшей.
Чтобы скопировать, придётся выгрузить через реестр:

reg save HKLM\SAM C:\tmp\sam.hiv
reg save HKLM\SYSTEM C:\tmp\system.hiv

Либо грузиться с LiveCD.
Пароли не хранятся в открытом виде, а хэши могут быть расшифрованы только подбором.

LSASS: живущий в памяти

lsass.exe — сердце аутентификации.
Здесь хранятся:

• Пароли/хэши NTLM
• Kerberos-билеты
• Кэш учетных данных

Если вирус получит доступ к LSASS — это «credential dumping».
Совет: включите Credential Guard, не давайте UAC-прослушку, не запускайте подозрительные .exe.

🔖Дорогие гости и подписчики канала. Если наши материалы приносят вам пользу, вы всегда можете поддержать команду символическим переводом. Любая помощь мотивирует писать для Вас больше полезного и качественного контента безо всяких подписок.🙏🤝🙏🤝🙏

💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰

Или сделать любой перевод по QR-коду через СБП. Быстро, безопасно и без комиссии.(Александр Г.)

С уважением, Команда "Т.Е.Х.Н.О Windows & Linux".

Mimikatz: демон со светлой миссией

Этот инструмент создан пентестером Бенджамином Делпи для тестов безопасности.
Он умеет:

• Извлекать пароли из LSASS — sekurlsa::logonpasswords
• Хэши SAM — lsadump::sam
• Kerberos-билеты — sekurlsa::tickets
• Pass-the-Hash

⚠️ Запускать только на своих системах для обучения и тестирования!

Как защитить свои пароли

1. Включить LSA Protection: RunAsPPL = 1 в реестре.
2. Активировать Credential Guard через PowerShell:

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\CredentialGuard' -Name 'Enabled' -Type DWORD -Value 1

1. Отключить WDigest:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
UseLogonCredential = 0

1. Длинные пароли (14+ символов)
2. Менеджеры паролей (KeePass, Bitwarden)
3. Двухфакторная аутентификация
4. Обновления и патчи каждый месяц

Лайфхаки системного администратора

• Экспорт Credential Manager:

Get-StoredCredential | Export-Clixml -Path "C:\backup\creds.xml"

• Импорт на новый ПК:

Import-Clixml -Path "C:\backup\creds.xml" | ForEach-Object {
New-StoredCredential -Target $_.TargetName -Type $_.CredentialType -UserName $_.UserName -Password $_.Password
}

• Мониторинг LSASS:

Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4688} | Where-Object {$_.Message -like '*lsass*'}

Интересные факты

• Windows хранит до 24 предыдущих паролей!
• DPAPI восстанавливает доступ по истории ключей.
• Chrome и Edge используют DPAPI (OSCrypt).
• В Windows 11 22H2 включён Credential Guard по умолчанию.

Если статья помогла — подпишись на T.E.X.H.O Windows & Linux!

🎯 Там гайды, хаки, Linux и Windows твики.

Не ленись — включай уведомления и будь на шаг впереди hackers 😎

#WindowsSecurity #CredentialManager #DPAPI #PasswordStorage #Cybersecurity #WindowsHacking #PenetrationTesting #Mimikatz #LSASS #SAMDatabase #CredentialGuard #LSAProtection #WindowsAdministration #ITSecurity #SysAdmin #Encryption #WDigest #Kerberos #NTLM #PasswordProtection #DataProtection #ComputerSecurity #InfoSec #WindowsTweaks #AdvancedWindows #SystemHardening #SecurityBestPractices #CyberDefense #PasswordManager #WindowsExploitation