Windows 10 Passwort auslesen - nicht löschen!
 

Hallo,
ich mache mal ein eigenes Thema dafür auf, weil es mir nicht um einen Passwort-Reset oder einen Umweg zum Login geht.

Hintergrund: wir kennen das Windows-Passwort meines verstorbenen Onkels nicht. An alle Daten auf seiner Platte komme ich problemlos dran, per WinPE-Boot oder die Platte per USB an einen anderen Rechner. Da ist nichts verschlüsselt.
Wir wissen, daß er dasselbe Passwort für seine Mail- und andere Online-Accounts benutzt hat. Um an die zu kommen und geordnet abzuwickeln brauchen wir sein Passwort im Klartext.

Ich dachte da an so was wie SAM-Datei kopieren und auf einem anderen Rechner mit hashcat & Co. zu cracken. Aber alle Tutorials die ich finden konnte erklärten nur, wie man aus einem laufenden(!) Windows heraus die pw-Hashes auslesen kann um damit dann JTR oder hashcat zu füttern.

Hat jemand einen Tipp, wie ich offline, nur mit der SAM-Datei, arbeiten könnte? Danke schonmal!

Vielleicht hilft dir das: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Dazu muß ja das fragliche Windows laufen, müßte ich also erstmal das Win-Passwort resetten. Falls er dann ein Masterpasswort für seine im Browser gespeicherten Zugänge gesetzt hatte, ist Feierabend...
Wäre evt. ein Notbehelf, mit vorherigem Plattenimage, damit man ggf. "auf Los" zurück könnte.

Kannst du nicht, wenn du mit einem Live Windows bootest denn im Live Betrieb auf die Platten zu greifen und den Browser öffnen? Und denn versuchen die gespeicherten auszulesen? Denn wirste sehen ob ein MasterPW gesetzt ist.

Prinzipiell solltest du auch einfach Windows neu rüber installieren können und denn so auf den Browser und sowas zugreifen können, dabei sollte er eigentlich keine benutzerdaten löschen.

Und wenn alles nichts hilft, bootest du mit der Problembehandlung in den CMD Modus und ziehst die komplette Platte per xcopy auf ne externe, da solltest du denn auch den Browser öffnen können.

Ist etwas umständlicher als nötig, und nein, man kann den installierten Browser nicht von einem offline-Windows aus starten. Was man kann ist das Browser-Profil rauskopieren und auf einem anderen PC öffnen.
Gemacht, Master-PW ist gesetzt...

Aber ich hab's mir jetzt aus (gefühlt) 20 Anleitungen, jede mit einem anderen Tippfehler, zusammengereimt, hat so funktioniert:

copy from C:\Windows\System32\config of offline Windows

SAM
SYSTEM

in this example, to E:\ in online Windows on other PC

Extract hash(es) with mimikatz in CMD
> mimikatz
# log hash.txt
# lsadump::sam /system:E:\SYSTEM /sam:E:\SAM

take pure hash line (user:hash) from hash.txt (tag: NTLM) and feed to hashcat, e.g.

> hashcat -m 1000 -a 3 --username <user:hash> <pattern>

8-stelliges Passwort in ca. 6h geknackt.