解剖安全帐号管理器（sam）结构---安全-为中国网络技术提供点滴动力-iyit.net-易特网络技术！

　　通行证: 用户密码

域名空间　下载中心　 社区论坛　信息公告 my小屋

联系我们
设为首页
加入收藏

qq,asp,php,jsp,xml,sql,.net,编程程序网页图象建站经验私服




	当前位置：首页>>网络安全>>安全防范>>正文	新版上线！[旧版]

注:打开慢时请稍等

解剖安全帐号管理器（sam）结构

http://www.iyit.net 日期：2006-5-29 14:15:31 来源：网络转载点击：

编辑：黑鹰　[发送给好友] [打印本页] [关闭窗口] [返回顶部]
上一篇：修改注册表加强win2000安全
下一篇：2000中了灰鸽子木马清除
转载请注明来源：www.iyit.net
特别声明： 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。

【参加讨论】　i、摘要
ii、关于sam
iii、注册表中sam数据库的结构
iv、 sam数据库的结构和主要内容
v、关于sam数据库分析的结论

一、摘要

分析安全帐号管理器结构是在一个多月前做的事情了，只零碎地记录下片段，没有发布过。不发布的主要
原因是安全帐户管理器（sam）是win系统帐户管理的核心，并且非常系统化，我也有很多地方仅仅是进行的推
断和猜测，同时，sam hack可能造成启动时lsass.exe加载帐户管理器出错，即便是安全模式也不能修复（启动
时候必然加载sam）使得整个系统启动崩溃（我通常需要依靠第二系统删除sam文件来启动）。至于现在发布出
来，主要是因为adam和叮叮的《克隆管理员帐号》种所描述的制作rootkit办法隐蔽性和危害性，对sam的结构
的熟悉，可以帮助安全维护人员做好安全检测（当然也可能让不良企图者利用）。

这里只介绍关于sam的内容，同security相关的暂时不公开。

二、关于sam

不要误解了sam，这不是一个文件sam这么简单。sam（security accounts manager安全帐户管理器）负责
sam数据库的控制和维护。sam数据库位于注册表hklm\sam\sam下，受到acl保护，可以使用regedt32.exe打开注
册表编辑器并设置适当权限查看sam中的内容。sam数据库在磁盘上就保存在%systemroot%system32\config\目
录下的sam文件中，在这个目录下还包括一个security文件，是安全数据库的内容，两者有不少关系。

sam数据库中包含所有组、帐户的信息，包括密码hash、帐户的sid等。这些内容在后面详细介绍。以我分
析的系统中文win2k adv server为例。

三、注册表中sam数据库的结构

展开注册表hklm\sam\sam\:

hklm---sam
|---sam
|---domains
| |---account
| | |---aliases
| | | |---members
| | | |---names
| | |---groups
| | | |---00000201
| | | |---names
| | | |---none
| | |---users
| | |---000001f4
| | |---000001f5
| | |---000003e8
| | |---000003e9
| | |---names
| | |---adaministrator
| | |---guest
| | |---iusr_refdom
| | |---iwasm_refdom
| |---builtin
| |---aliases
| | |---00000220
| | |---00000221
| | |---00000222
| | |---00000223
| | |---members
| | | |---s-1-5-21-1214440339-706699826-1708537768
| | | |---000001f4
| | | |---000001f5
| | | |---000003e8
| | | |---000003e9
| | |--- names
| | |---administrators
| | |---users
| | |---guests
| | |---power users
| |---groups
| | |---names
| |
| |---users
| |---names
|
|---rxact

这是我机器上注册表中的sam树。

对照sam文件中的内容，可以看出，注册表中的sam树实际上就是sam文件中一样。不过，sam文件中是先列
rxact然后在是domains内容（以此类推），文件中的表达顺序和注册表中的树形顺序是相反的。如果习惯于看
文件内容，从文件的0000h到0006ch，表示的是sam数据库所在的位置：\systemroot\system32\config\sam，然
后是一端空白，直到01000h（hbin），从这里开始就是整个数据库的内容。sam数据库的文件内容不作主要介绍，
不过会穿插着介绍，有兴趣可以自己去研究。

四、sam数据库的结构和主要内容：

在整个数据库中，帐号主要内容存在于下面这些位置：

在\domains\下就是域（或本机）中的sam内容，其下有两个分支“account”和“builtin”。

\domains\account是用户帐号内容。

\domains\account\users下就是各个帐号的信息。其下的子键就是各个帐号的sid相对标志符。比如000001f4，
每个帐号下面有两个子项，f和v。其中\names\下是用户帐号名，每个帐号名只有一个默认的子项，项中类型不
是一般的注册表数据类型，而是指向标志这个帐号的sid最后一项（相对标识符），比如其下的administrator，
类型为0x1f4，于是从前面的000001f4就对应着帐户名administrator的内容。由此可见ms帐号搜索的逻辑。

推断一：从注册表中结构来看帐号，如果查询一个帐户名refdom的相关信息，那么，微软从帐号名refdom中
找到其类型0x3eb,然后查找相对标志符（或者sid）为000003eb的帐号内容。所有的api函数（比如netuserenum()）
都是这样来执行的。因此，如果改变refdom帐号中的类型0x3eb为0x1f4，那么这个帐号将被指向类000001f4的帐
户。而这个帐号000001f4就是administrator帐户，这样，系统在登录过程中就把refdom帐号完全转为了administrator
帐号，帐号refdom所使用的所有内容、信息都是adminisrtator内容，包括密码、权限、桌面、记录、访问时间等
等。这个推断应该成立，但是，将意味着两个用户名对应一个用户信息，系统启动上应该会发生错误！

推断一是在以前分析结构的时候即得出了，揭示了登录过程中及之后帐户名和sid关联的关系。

\domains\account\users\000001f4，这就是administrator的帐户信息（其他类似）。其中有两个子项v和f。
项目v中保存的是帐户的基本资料，用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更
改密码、帐户启用、密码设置时间等。项目f中保存的是一些登录记录，比如上次登录时间、错误登录次数等，还
有一个重要的地方就是这个帐号的sid相对标志符。

以前分析结构的时候没有留意到这个地方，这就是adam提出的思路。这个地方就是这个sid相对标志符在注册
表中一个帐号出现了两遍，一个是在子键000001f4，另一个地方就是子键中项f的内容里面，从48到51的四个字节：
f4 01 00 00，这实际上是一个long类型变量，也就是00 00 01 f4。当一个标志出现在两个地方的时候就将发生
同步问题。明显，微软犯了这个毛病。两个变量本应该统一标志一个用户帐号，但是微软把两个变量分别发挥各自
的作用，却没有同步统一起来。

子键中000001f4用来同用户名administrator对应，方便通过用户查询帐户信息，比如lookupaccountsid（）等
帐号相关api函数都是通过这个位置来定位用户信息的，这个关联应该是用在了帐户登录以后。而项目v值中的
f4 01 00 00是同帐户登录最直接相关联的。

推断二：win登录的时候，将从sam中获得相对标志符，而这个相对标志符的位置是v值中的 f4 01 00 00。但是，
帐户信息查询却使用的sam中子键内容。

推断二的原因假设（假设一）：在帐户登录的时候，登录过程获得sam数据库中用户名使用的帐户记录信息中的
相对标志符值（相当于v值中的 f4 01 00 00），帐户登录之后，所有跟帐户相关的之后，这个值不再被api函数使
用，而相对标志符由一个数据记录项的字段名代替（相当于子键000001f4）。微软犯了一个同步逻辑问题！

推断二是根据adam提出而进行的，以前没有这样推断过。:( 推断二如果成立，揭示了在登录过程中帐户sid进行
的过程。这就是为什么v中的值都是跟帐户登录记录（登录时间，密码错误次数等）相关的原因。同时，因为f中保存
了一个用户名内容，而api函数查询的是这个用户名，所以adam的克隆办法还是容易露脸，经叮叮补充过后，这个用户
名也被恢复原用户名了，从用户名上检测就相对难了。

上面对项目v的介绍可以知道，其中保存的是帐户的基本资料，用户名、用户全名(full name)、所属组、描述、
密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。现在来关心的是密码hash。

假设二：在帐户的项v中，包含了用户hash，分别包括是lm2和nt的密码加密散列，crack时，可分开进行。毕竟
lm2简单。

\domains\builtin下的内容是同帐户组相关的。其结构同\account下的类似，并且也存在相应的问题，就不再
罗嗦了。

sam数据库保存的文件sam中，可没有注册表中的这么简明的内容，而主要是通过偏移量、长度来定位内容。并
且单个帐号的信息都是集中在一块的，而不是象注册表形式这样分隔开（名字的一个键而内容在另外一个键）。

sam文件中，可根据这些下面这些分隔符来定位数据含义：

nk (6e 6b) 键或者子键名
vk (76 6b) 相应的值
if (6c 66) 子键列表
sk (73 6b) 权限

五、关于sam数据库分析的结论：

sam hack是非常有危险性的。不正确的修改会将系统的安全数据管理器破坏，造成系统启动问题，虽然可以通过
删除sam文件来让启动恢复。如果能够熟悉sam的结构，你将发现，可以对用户名与用户名之间、用户组与用户组之间
进行调换，以及帐户和帐户组伪造，完全打破微软的帐户格局。并且非常隐蔽，让帐户相关的api函数摸不着头脑。

虽然微软处理帐号信息中犯了不少逻辑问题，但是安全帐号数据库并非不安全，所有操作都必须能完全拥有管理
员权限。

当隐蔽后门的办法被提出来之后，一定会让不少“黑客”利用，管理员也应该多多熟悉相关技术，作好安全检测，
我的目的就达到了。对《克隆管理员帐号》的简单检测工具可以在我的主页(www.opengram.com)下载，但是更多的还是需要管理员学习相关知识，才能更好地检测入侵。

　相关文章

安全性与iis (四)	安全性与iis (三)	安全性与iis (二)
安全配置和维护apache web server (下)	安全配置和维护apache web server (上)	web服务器的安全和攻击防范 (五)
web服务器的安全和攻击防范 (四）	web服务器的安全和攻击防范 (三)	windows server 2003 虚拟主机的安全配
服务器安全设置(二十二)	服务器安全设置(二十一)	服务器安全设置(十九)
服务器安全设置(十八)	服务器安全设置(十七)	服务器安全设置(十六)
服务器安全设置(十五)	服务器安全设置(十四)	服务器安全设置(十二)
服务器安全设置(十一)	服务器安全设置(十)	服务器安全设置(九)
服务器安全设置(八)	服务器安全设置(七)	服务器安全设置(六)