Actualmente hay muchas versiones de herramientas como pwdump o fgdump que se encargan de volcar los hashes de un sistema windows, para que puedan ser posteriormente descifrados. Cada version de estas herramientas tiene su propio modo de funcionamiento, creando servicios, inyectando código al proceso lsass, sin embargo, hay formas de hacer que estas versiones dejen de funcionar, por ejemplo deshabilitando los recursos administrativos, o eliminando privilegios de debug a un usuario administrador.
Pwdump7 sin embargo funciona de una forma totalmente diferente. Este software funciona con su propio driver de sistema de archivos, usando tecnologia del software de deteccion de rootkits rkdetector de forma que un usuario con privilegios de administración, será capaz de volcar directamente los ficheros de registro SYSTEM y SAM directamente del disco duro.
Una vez volcados, se extraera la clave de syskey del fichero SYSTEM y se utilizará para generar los hashes lanman y ntlm del fichero sam, en un formato igual al que otras versiones de pwdump hacen.
Esta version es todavia una beta, y necesita alguna funcionalidad mas que ire añadiendo a lo largo del tiempo.
- soporte de FAT32, que actualmente esta deshabilitado.
- Modificacion de contraseñas "online", actualizando las contraseñas de cualquier usuario directamente sobre el fichero SAM. De esta forma, no quedarán trazas en el sistema de que el fichero/password ha sido manipulado.
- compilar directamente con openssl (ahora requiere una de las librerias en el path)
Podeis descargar aqui la ultima version de pwdump7
