系统级文件夹config里控制用户帐户信息的SAM文件的挂载和相关情况

sairen139

sam文件怎么打开，可以在pe下用注册表编辑器加载配置单元的方法挂载修改！

（Security Accounts Manager安全帐户管理器）负责SAM数据库的控制和维护。SAM数据库位于注册表HKLM\SAM\SAM下，受到ACL保护，可以使用regedt32.exe打开注 册表编辑器并设置适当权限查看SAM中的内容。

SAM数据库在磁盘上就保存在%systemroot%system32\config\目录下的sam文件中，在这个目录下还包括一个security文件，是安全数据库的内容，两者有不少关系

最近没有事情就翻翻自己的系统文件夹，

走到C:\WINDOWS\system32\config文件夹下时，发现如下五个奇怪的文件：sam,default,security,software,system.在windows系统环境下无法打开。
并且其中sam，security，default均为256k。
这几个文件到底是什么用呢？就到网络上查查。

SAM最初是跟随第一代NT来到世界的，它在微软总部的特工代号叫做“安全账户管理器”（Security Accounts Manager），可以所sam文件是windows的门卫，在win2k时代这个门卫不太强大，到了NT内核时代，这个家伙的作用就变得强大了。SAM记录的数据很多，包括所有组、账户信息、密码HASH、账户SID等，应该说是一个考虑得比较周全的门卫。

SAM不仅仅是一个文件那么简单，它不但有文件数据，在注册表里面还有一个数据库，位于HKEY_LOCAL_MACHINE\\SAM下，这是一个比较复杂的结构。SAM在系统启动后就处于锁定状态，我们没法擅自更改这个文件内容。

在注册表里我们可以看到一下内容：

1.在HKEY_LOCAL_MACHINE\\SAM\\SAM\\ Domains下就是SAM的内容，其下有两个分支“Account”和“Builtin”。

2.Domains\\Account\\Users下存放的就是各个账号的信息，当然，这里是加密过的二进制数据，每个账号下面有两个子项，F和V。项目V中保存的是账户的基本资料，用户名、所属组、描述、密码、注释、是否可以更改密码、账户启用、密码设置时间等。项目F中保存的是一些登录记录，比如上次登录时间、错误登录次数等。SAM靠这些齐全的备忘录来保存与用户账号相关的各种信息。

3.Domains\\Builtin存放着不同用户分组信息，SAM就是根据这个来划分NT中固有的6个不同的工作组的，它们分别是：管理员（Administrators）、备份操作员Backup Operators）、客人（Guests）、高权限用户（Power Users）、修复员（Replicator）和普通用户（Users）。

幕后指挥官

在Windows系统中，虽然SAM如此尽力，但是他不听从你的指挥。
它只听本地安全认证（Local Security Authority）程序——LSASS.EXE的差遣，就连进门时的审查也是LSASS的指示。如果你把LSASS杀了，你就等着被赶出门吧

——当然，对于普通用户来说，如果你试图用普通的进程管理工具或者Windows系统的进程管理杀掉“LSASS.EXE”进程的话，只会得到“该进程为关键系统进程，任务管理器无法结束进程。”的提示，本地安全认证（Local Security Authority）在Windows系统中主要负责以下任务：
1.重新找回本地组的SID和用户权限；
2.创建用户的访问令牌；
3.管理本地安装的服务所使用的服务账号；
4. 存储和映射用户权限；
5.管理审核的策略和设置；
6.管理信任关系。

俗话说，“人无完人”。尽管SAM（萨姆）是这么尽心尽责，可是在这里，我们还是必须用那句话——“萨姆也是人”来形容它。由于一些设计上的失误，在WinNT/2000里，如果你忘记了密码，那么你要做的不是呼天喊地，只需要在非NT环境里把SAM驱逐出硬盘就可以了。但是在XP以后的Windows操作系统里，这个情况得以改善，如果你把萨姆大叔踢了，NT也躲着死活不肯出来了。

特别提醒：不要以为sam文件记录了密码信息你就可以删除该文件使得系统用户密码为空，虽然在早期的win2k时代你可以在dos环境下这样做以求达到置空密码的目的，在xp时代，这样可没有用哦。

或者 使用 lc5 软件...


可以由下面的批处理导入：
@echo off
for /f "delims=." %%s in ('reg query "HKLM\SECURITY\SAM\Domains\Builtin\Aliases\Members"') do set AdminSID=%%s-500
set "AdminSID=%AdminSID:HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Builtin\Aliases\Members\=%"
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileService\References\%AdminSID%" /v RefCount /t REG_BINARY /d 02000000 /f
LSAgetRights.exe -c -u Administrator
reg load "HKU\%AdminSID%" X:\Users\Administrator\NTUSER.DAT

ehaohu

感谢分享，学习一下！

xman00

感谢科普

dxvyi

这是哪年的文章？

董大

谢谢楼主的分享，辛苦啦

yaya141319

這個... 亂動不得. 我想修改這文件取代管理員無人值守 unattend.xml, 屢試屢敗, 無法開機.

sairen139

yaya141319 发表于 2019-10-10 23:52
這個... 亂動不得. 我想修改這文件取代管理員無人值守 unattend.xml, 屢試屢敗, 無法開機.

巧了，我也在琢磨修改sam直接激活Admin帐户的问题。关于你的取代问题这个hzican坛友修改的sam成功了请参见这个帖子：http://bbs.wuyou.net/forum.php?mod=viewthread&tid=408904
目前我以hzican的方法来制作一个windows10LTSB2016的x64位版本精简版，希望能达到这个帖子的成果。就是通过%~dp0\wimlib extract 某个.wim 1  @files.txt --dest-dir=g:\ --nullglob
pause这样的wimlib.exe直接从一个wim包里提取文件到系统盘，将处理过的SAM文件放入system32文件夹下config文件夹里这样一个精简版，希望能做一个通用的类似烦烦烦那样的win10精简版出来。

yaya141319

sairen139 发表于 2019-10-11 00:13
巧了，我也在琢磨修改sam直接激活Admin帐户的问题。关于你的取代问题这个hzican坛友修改的sam成功了请参 ...

好. 我去瞧瞧. 謝謝!

sairen139

yaya141319 发表于 2019-10-11 00:15
好. 我去瞧瞧. 謝謝!

yaya老师，你今晚说的五步法的第1步，是不是修改C:Windows\servicing\子目录下的.mum？这里的.mun里有相关的系统组件的信息和父组件依赖信息。但是子目录里的.mum这么多，你是用批处理来批量修改.mum的吗？

yaya141319

sairen139 发表于 2019-10-11 00:29
yaya老师，你今晚说的五步法的第1步，是不是修改C:Windows\servicing\子目录下的.mum？这里的.mun里有相 ...

不是, 耐心地沿著樓梯由上往下走完. (我只注重技術層面, 不常精簡.)  

這是 .mum 可單獨移除的部份, 至於設備驅動, 輸入法, 國際語言和程序依附服務 (dependencies) 這些, 沒有 mum 可刪, 則仍需用命令移除. 這應該是 NTlite 的作法: 寫程序抓 .manifest

Windows 7 Component Removal

記得當初是大家公開討論, 等 NTLite (那時叫 7Lite 什麼的) 學會寫程序, 就開始收費了. 我當初因為不是本科出身, 所以就放棄. 至今總算被我理出自己的秘訣.

sairen139

yaya141319 发表于 2019-10-11 00:46
不是, 耐心地沿著樓梯由上往下走完. (我只注重技術層面, 不常精簡.)  

這是 .mum 可單獨移除的部份, ...

yaya老师不愧是大师级人物，能力超卓，惊才绝艳，居然以一人之力开前人未有之境界！佩服佩服！

yaya141319

sairen139 发表于 2019-10-11 01:17
yaya老师不愧是大师级人物，能力超卓，惊才绝艳，居然以一人之力开前人未有之境界！佩服佩服！

我是從 DOS 玩起的.... 說到論壇:

MSFN (好像) -> 然後不知何故, 人都跑了. 接著這兩個開始學架設論壇

國外 - MDL
國內 - 遠景

如今, 厲害的都消失了,就剩 MDL 那個 UUP dump 的作者..

CYYspace

感谢分享