Bueno pues despues de mucho googlear y leer y releer sobre el tema de las password de un pc con windows xp me gustaría consultar lo siguiente.

ya no se trata de obtener los hashes, vale ya conozco el pwdump2 y podría conseguir el sam y el system desde un live cd, etc

El tema es ya mas curiosidad y llegar hasta el fondo.

Abro el regedit y me voy  a hKEy LOCAL machine/sam y no veo un pimiento..... vale san google me informa que es asi al estar cifrado con el siskey.
Utilizo un programa el registry manager y ahora si veo .../sam/domain/account

Y el tema es que cada cuenta tiene claves de formato reg binary que al abrir son una clave numerica  ¿hexadecimal? pense si seria el hash y lo compare con los obtenidos por otro medio pero va ser que no.

Con este programa puedo copiar estas claves de registro, como obtendría de ellas el hash??

Bueno menudo rollo solté

Gracias

 

no se bien si es asi  pero las claves en el regisro las puedes ver pero encriptadas con siskey o sea que siempre necesitas  el archivo  system  y para copiarlo como tu dices puedes hacerlo con el live cd igual copias el sam al mismo tiempo  da lo mismo siempre ocupas el system..  Los progra  como  saminside o lc5,y otros del SYSTEM sacan un clave  y del sam sacan los hashes cifrados con siskey  le pasan la clave que sacaron del system y ya tienen los has en hexadecimal o sea perfecto para descifrar