SAM文件位置C:\Windows\System32\config\SAM
当我们访问SAM文件时会显示上锁文件

打开会显示

这时我们需要用到mimikatz这个工具
mimikatz用处

• 抓取内存数据，比如ntlm哈希
• 进行哈希传递攻击，伪造黄金白银票据

下载好后要注意，有的版本会自动被电脑中的杀毒工具拦截，并且电脑自身的防火墙也会拦截，如果安的是免杀版本当我没说

破解步骤

1. 使用管理员打开cmd，并进入工具所在的目录
   
   

2. 运行程序后会进入新的命令行
   

3. 输入命令提权privilege::debug，将自己提升为system权限
   

4. 最后执行sekurlsa::logonpasswords查看，就可看到SAM文件中的密码了
   注：密码加密方式为NTLM加密，具体看下篇博客