一、摘要

    分析安全帐号管理器结构是在一个多月前做的事情了，只零碎地记录下片段，没有发布过。不发布的主要原因是安全帐户管理器（SAM）是WIN系统帐户管理的核心，并且非常系统化，我也有很多地方仅仅是进行的推断和猜测，同时，SAM hack可能造成启动时lsass.exe加载帐户管理器出错，即便是安全模式也不能修复（启动时候必然加载SAM）使得整个系统启动崩溃（我通常需要依靠第二系统删除SAM文件来启动）。至于现在发布出来，主要是因为Adam和叮叮的《克隆管理员帐号》种所描述的制作rootkit办法隐蔽性和危害性，对SAM的结构的熟悉，可以帮助安全维护人员做好安全检测（当然也可能让不良企图者利用）。

    这里只介绍关于SAM的内容，同Security相关的暂时不公开。

二、关于SAM

    不要误解了SAM，这不是一个文件sam这么简单。SAM（Security Accounts Manager安全帐户管理器）负责SAM数据库的控制和维护。SAM数据库位于注册表HKLMSAMSAM下，受到ACL保护，可以使用regedt32.exe打开注册表编辑器并设置适当权限查看SAM中的内容。SAM数据库在磁盘上就保存在%systemroot%system32config目录下的sam文件中，在这个目录下还包括一个security文件，是安全数据库的内容，两者有不少关系。

    SAM数据库中包含所有组、帐户的信息，包括密码HASH、帐户的SID等。这些内容在后面详细介绍。以我分析的系统中文Win2K Adv Server为例。

三、注册表中SAM数据库的结构

展开注册表HKLMSAMSAM:

HKLM---SAM
|---SAM
|---Domains
| |---Account
| | |---Aliases
| | | |---Members
| | | |---Names
| | |---Groups
| | | |---00000201
| | | |---Names
| | | |---None
| | |---Users
| | |---000001F4
| | |---000001F5
| | |---000003E8
| | |---000003E9
| | |---Names
| | |---Adaministrator
| | |---Guest
| | |---IUSR_REFDOM
| | |---IWASM_REFDOM
| |---Builtin
| |---Aliases
| | |---00000220
| | |---00000221
| | |---00000222
| | |---00000223
| | |---Members
| | | |---S-1-5-21-1214440339-706699826-1708537768
| | | |---000001F4
| | | |---000001F5
| | | |---000003E8
| | | |---000003E9
| | |--- Names
| | |---Administrators
| | |---Users
| | |---Guests
| | |---Power Users
| |---Groups
| | |---Names
| |
| |---Users
| |---Names
|
|---RXACT

这是我机器上注册表中的SAM树。

    对照SAM文件中的内容，可以看出，注册表中的SAM树实际上就是SAM文件中一样。不过，SAM文件中是先列RXACT然后在是Domains内容（以此类推），文件中的表达顺序和注册表中的树形顺序是相反的。如果习惯于看文件内容，从文件的0000h到0006Ch，表示的是SAM数据库所在的位置：systemrootsystem32configsam，然后是一端空白，直到01000h（hbin），从这里开始就是整个数据库的内容。SAM数据库的文件内容不作主要介绍，不过会穿插着介绍，有兴趣可以自己去研究。

四、SAM数据库的结构和主要内容：

在整个数据库中，帐号主要内容存在于下面这些位置：

在Domains下就是域（或本机）中的SAM内容，其下有两个分支“Account”和“Builtin”。

DomainsAccount是用户帐号内容。

DomainsAccountUsers下就是各个帐号的信息。其下的子键就是各个帐号的SID相对标志符。比如000001F4，
    每个帐号下面有两个子项，F和V。其中Names下是用户帐号名，每个帐号名只有一个默认的子项，项中类型不是一般的注册表数据类型，而是指向标志这个帐号的SID最后一项（相对标识符），比如其下的Administrator，类型为0x1F4，于是从前面的000001F4就对应着帐户名administrator的内容。由此可见MS帐号搜索的逻辑。

    推断一：从注册表中结构来看帐号，如果查询一个帐户名refdom的相关信息，那么，微软从帐号名refdom中
    找到其类型0x3EB,然后查找相对标志符（或者SID）为000003EB的帐号内容。所有的API函数（比如NetUserEnum()）都是这样来执行的。因此，如果改变refdom帐号中的类型0x3EB为0x1F4，那么这个帐号将被指向类000001F4的帐户。而这个帐号000001F4就是administrator帐户，这样，系统在登录过程中就把refdom帐号完全转为了administrator 帐号，帐号refdom所使用的所有内容、信息都是adminisrtator内容，包括密码、权限、桌面、记录、访问时间等等。这个推断应该成立，但是，将意味着两个用户名对应一个用户信息，系统启动上应该会发生错误！

    推断一是在以前分析结构的时候即得出了，揭示了登录过程中及之后帐户名和SID关联的关系。

    DomainsAccountUsers00001F4，这就是administrator的帐户信息（其他类似）。其中有两个子项V和F。
    项目V中保存的是帐户的基本资料，用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。项目F中保存的是一些登录记录，比如上次登录时间、错误登录次数等，还有一个重要的地方就是这个帐号的SID相对标志符。

    以前分析结构的时候没有留意到这个地方，这就是Adam提出的思路。这个地方就是这个SID相对标志符在注册表中一个帐号出现了两遍，一个是在子键000001F4，另一个地方就是子键中项F的内容里面，从48到51的四个字节：F4 01 00 00，这实际上是一个long类型变量，也就是00 00 01 F4。当一个标志出现在两个地方的时候就将发生同步问题。明显，微软犯了这个毛病。两个变量本应该统一标志一个用户帐号，但是微软把两个变量分别发挥各自的作用，却没有同步统一起来。

    子键中000001F4用来同用户名administrator对应，方便通过用户查询帐户信息，比如LookupAccountSid（）等帐号相关API函数都是通过这个位置来定位用户信息的，这个关联应该是用在了帐户登录以后。而项目V值中的F4 01 00 00是同帐户登录最直接相关联的。

    推断二：WIN登录的时候，将从SAM中获得相对标志符，而这个相对标志符的位置是V值中的 F4 01 00 00。但是， 帐户信息查询却使用的SAM中子键内容。

    推断二的原因假设（假设一）：在帐户登录的时候，登录过程获得SAM数据库中用户名使用的帐户记录信息中的相对标志符值（相当于V值中的 F4 01 00 00），帐户登录之后，所有跟帐户相关的之后，这个值不再被API函数使用，而相对标志符由一个数据记录项的字段名代替（相当于子键000001F4）。微软犯了一个同步逻辑问题！

    推断二是根据Adam提出而进行的，以前没有这样推断过。:( 推断二如果成立，揭示了在登录过程中帐户SID进行的过程。这就是为什么V中的值都是跟帐户登录记录（登录时间，密码错误次数等）相关的原因。同时，因为F中保存了一个用户名内容，而API函数查询的是这个用户名，所以Adam的克隆办法还是容易露脸，经叮叮补充过后，这个用户名也被恢复原用户名了，从用户名上检测就相对难了。

    上面对项目V的介绍可以知道，其中保存的是帐户的基本资料，用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。现在来关心的是密码HASH。

    假设二：在帐户的项V中，包含了用户HASH，分别包括是LM2和NT的密码加密散列，Crack时，可分开进行。毕竟LM2简单。

    DomainsBuiltin下的内容是同帐户组相关的。其结构同Account下的类似，并且也存在相应的问题，就不再罗嗦了。

    SAM数据库保存的文件sam中，可没有注册表中的这么简明的内容，而主要是通过偏移量、长度来定位内容。并且单个帐号的信息都是集中在一块的，而不是象注册表形式这样分隔开（名字的一个键而内容在另外一个键）。

sam文件中，可根据这些下面这些分隔符来定位数据含义：

nk (6E 6B) 键或者子键名
vk (76 6B) 相应的值
if (6C 66) 子键列表
sk (73 6B) 权限

五、关于SAM数据库分析的结论：

    SAM HACK是非常有危险性的。不正确的修改会将系统的安全数据管理器破坏，造成系统启动问题，虽然可以通过删除SAM文件来让启动恢复。如果能够熟悉SAM的结构，你将发现，可以对用户名与用户名之间、用户组与用户组之间进行调换，以及帐户和帐户组伪造，完全打破微软的帐户格局。并且非常隐蔽，让帐户相关的API函数摸不着头脑。

    虽然微软处理帐号信息中犯了不少逻辑问题，但是安全帐号数据库并非不安全，所有操作都必须能完全拥有管理员权限。

    当隐蔽后门的办法被提出来之后，一定会让不少“黑客”利用，管理员也应该多多熟悉相关技术，作好安全检测，我的目的就达到了。对《克隆管理员帐号》的简单检测工具可以在我的主页(www.opengram.com)下载，但是更多的还是需要管理员学习相关知识，才能更好地检测入侵。