本地认证

在本地登录Windows的情况下，操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证，但是操作系统中的密码存储在：%SystemRoot%\system32\config\sam

当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行比对，如果相同，证明认证成功。

这个SAM文件中保留了计算机本地所有用户的凭证信息，可以理解为是一个数据库。Windows本身不保存明文密码，只保留密码的Hash。其实本地认证的流程可以简化为如下过程：

winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证)

首先，用户注销、重启、锁屏后，操作系统会让winlogon显示登录界面，也就是输入框，接收输入后，将密码交给lsass进程，这个进程中会存一份明文密码，将明文密码加密成NTLM Hash，对SAM数据库比较认证。

• Windows Logon Process(即 winlogon.exe)，是Windows NT 用户登 陆程序，用于管理用户登录和退出。

• LSASS用于微软Windows系统的安全机制。它用于本地安全和登陆策略。

那么要想拿到hash，就必须要拿到lsass.exe的内存或者是sam数据库文件导出。在开启了360核晶的情况下，如果直接使用cs的hashdump命令是会被直接拦截的，因为hashdump本质上就是通过注入lsass.exe来dump出hash。

红队蓝军二期免杀培训

红队蓝军二期免杀培训即将开始，有意向的同学可咨询下方wx，目前免杀班二期只剩几个名额。

我们不是多么牛逼的天花板大佬，但我们知无不言。你所在公众号/b站看到的免杀视频细节，都会在课程中讲解，课程详情请咨询下方微信：

核晶开启情况下kill360

今天给大家带来的是在360开启核晶的情况下抓取密码