接下来轮到Cain了，轻松抓取，不过Windows 2008的密码默认不允许使用简单密码，所以给密码破解提高了难度，细心的朋友可能会发现，LM-hash段显示的并不是SAMInside的一串0，而是清一色的AAD3B435B51404EEAAD3B435B51404EE，具体原因聪明的朋友自己分析下为什么，呵呵，如图21。



这里要提的一点是Cain抓的hash格式和别的工具抓的不太一样，需要自己处理下才能导入破解，要不然别的工具直接导入的话，会无法识别。示例如下：

SAMInside：
Administrator:500:NO PASSWORD*********************:03937006E74E63318B23D01A6E29A4FB:::

Cain：
Administrator:"":"":AAD3B435B51404EEAAD3B435B51404EE:03937006E74E63318B23D01A6E29A4FB
为了加强通用性，在此提醒大家hash格式统一以第一种为准，也就是SAMInside所抓取的那个格式！

ppa

下面轮到Proactive Password Auditor（以下简称ppa），这是一个商业软件（就是要钱的那种），不过官方提供60天试用版本，功能无限制，低版本有破解版。该软件需要安装，界面如图22。



如果你要抓取Windows 2008的本机hash，那直接点击Dump即可抓取，默认是从“Memory of local computer”本地计算机内存抓取。该软件还支持注册表抓取，SAM文件抓取，同时支持远程抓取hash，轻松抓到hash，如图23。



也支持导入hash破解，同时还支持暴力破解、字典破解、彩虹表破解。这里着重介绍下彩虹表破解。首先要明白，彩虹表是什么东西呢？

小知识：什么是彩虹表？

彩虹表就是一个庞大的、针对各种可能的字符组合预先计算好的哈希值的集合，不一定是针对MD5算法的，各种算法的都有，有了它可以快速的破解各类密码。越是复杂的密码，需要的彩虹表就越大，现在主流的彩虹表都是100G以上。

要用ppa配合彩虹表破解的方法也比较简单，Attack选择“Rainbow”->“NTLM attack”->“Rainbow tables list...”->“Add”选择导入彩虹表文件，格式一般为*.rt，我下载了国外一个免费的彩虹表，目前大小为207GB，完整表还会更大。导入所有彩虹表后，点击“Recovery”->“Start recovery”开始破解，如图24、图25。





这个软件个人感觉跑纯数学密码超级快，即使是14位长的纯数字密码，也用不了几秒钟！ppa支持Vista和2008下破解。

Ophcrack

下面该轮到本文最有价值的软件——Ophcrack出场了！Ophcrack是一个免费的在配合彩虹表的基础上破解Windows系统密码的工具。效率相当可观，它配备了一个Windows下的图形用户界面并且支持多平台运行。而且还可以下载官方的Ophcrack LiveCD刻录成光盘，就可以走到哪破到哪了！其官方网站为http://Ophcrack.sourceforge.net/，可以到官方下载安装，如图26。



Ophcrack所用的彩虹表和常规的彩虹表不太一样，它识别不了*.rt格式的彩虹表，只认官方的彩虹表。常规的彩虹表无法破解Vista、Windows 7、Windows 2008的密码hash。免费的彩虹表官方只提供三个：XP free small (380MB)、XP free fast (703MB)、Vista free (461MB)，其它更为强大的一些彩虹表则需要收取一定费用。安装的时候需要注意，可以选择是否下载官方彩虹表，如果你想安装好软件后另外自己下载则去掉勾选的选项即可，如图27。



安装完毕，界面比较清爽吧，如图28。



因为官方收费的一些表被国外的一些网站公布了，所以我下了两个比较常用的表：一个是XP special (7.5GB)；另一个是Vista special (8.0GB)，官方标价为99美元/个。至于更大的表则没有下载，其实有这两个表基本上都够用的了。别看它表体积不大，但威力不容小觑。似乎是做过某种优化和压缩，打开Ophcrack，“Load”->“Local SAM”，然后一个黑窗口闪过（其实到Ophcrack的安装目录就可以发现，它其实是用pwdump6来抓取hash的，不过pwdump6相对pwdump7来说比较稳定）成功抓取hash，图是在Windows 2003下操作的，因为Ophcrack用的是pwdump6，无法在Windows 2008及Vista下抓取hash（可以考虑替换pwdump6为pwdump7来改善这一功能，不过我没有成功，技术有限啊-_-），如图29、图30。





Tables标签下可以看到已安装的彩虹表，如果安装软件的时候没有下载官方彩虹表，后期下载完彩虹表后可以在Tables里进行安装，如图31。



然后就可以按Crack进行破解了。虽然说Ophcrack抓取hash的能力有所不足，相对在Vista下而言，但是我们可以用其他的hash抓取工具获得hash后再导入破解。来看看Ophcrack的破解成果图吧，密码14位，如图32。



需要注意的是，Vista下抓取的hash需要用Vista的彩虹表来破解，否则会破解失败！不过据说BitLocker加密也被国外黑客破解了，不过找不到相关资料，所以不再深入讨论，有兴趣的朋友可以自己测试。

在线查询

如果你觉得上面提到的这么多东西都太麻烦，有没有在线查询hash的网站呢？答案是肯定的！国外有一个在线查询hash的网站：http://www.objectif-securite.ch/en/products.php，和Ophcrack的官方有点关系的哦，嘿嘿……不过在线查询只允许查tables XP free的表，有点可惜……同时特别要指出的是，在线查询的时候需要注意hash的格式。比如用户名和密码都是hackest的hash为：
hackest:1011:7831A0FFABEE5FB3AAD3B435B51404EE:D78DF6E868E606E442313C5DF93216F1:::
我们只需要把7831A0FFABEE5FB3AAD3B435B51404EE:D78DF6E868E606E442313C5DF93216F1复制填入hash后面的框，再点击submit hash即可进行查询，同时也支持输入密码返回hash值，如图33。



Vista如果开启BitLocker则以上方法均无效，根本无法抓取到hash，不过好在BitLocker默认是关闭的，不是特别需要的用户一般不会开启它。

后记

当然了，破解至关重要的主hash的正确性，限制是密码的长度是否超过14位，还有密码所组成的字符集，甚至是中文的密码就无法破解。为什么密码长度超过14位也无法破解呢，因为NTLM-hash只支持到14位，目前还没有突破的方法。只要你认真阅读过本文，我相信你已经能破解绝大部分的Windows系统密码hash了，当然如果管理员用了组策略限制某个用户的密码有限期限为24小时，而第二天又自动启用另一个随机的密码，那破解密码就完全没有意义了（曾在美国某服务器遇到过这种变态级的管理员）。Windows下的密码就差不多说完了，那Linux下的系统密码又如何破解呢？其实更加简单（曾经在Ubuntu8.10下用john秒杀了我自己的密码），不过不在本文讨论范围之内，希望有兴趣的朋友自己去尝试。可能这篇文章会让不少朋友头疼，因为这里面介绍的软件没有一个是中文的！这说明了什么问题呢？国内与国外的技术还是有一个实际性的差距！其实有些软件也有汉化版，为什么不选用呢？汉化版大多数不干净，而且如果你是一个自强的技术人员的话，不可以连一点点英文都不会，如果你对英文软件感觉头疼，呵呵，还需要加强英语水平哦（虽然我自己的英语水平都很烂-_-别说我崇洋媚外啊，好东西就是要学习嘛）。不需要你英语多少级，但最起码你得明白软件上写的是什么意思，能读懂部份英文技术文档，从中获取自己所需要的技术细节，从而达到加强自身的目的！本文仅作技术交流，切勿用于非法用途，否则后果自负，如果你没有条件破解，也可以把hash邮件发我邮箱（436270@qq.com），可以免费代为破解^-^。
（文章中涉及到的工具PwDump7.exe、GetHashes.exe、aio.exe、SAMInside.exe、LC5、Cain、Ophcrack、Proactive Password Auditor、Ophcrack XP Special Tables.torrent、Ophcrack Vista Special NTHASH Table.torrent、函数C代码已经收录在光盘中）