NTDS.dit hash提取工具--20150622更新版

NTDS.dit hash提取工具 
为保证不修改quarkspwdump版权信息，没有quarkspwdump修改其他功能的使用,其他原有的功能都可以正常使用,只添加了几个自己添加的参数。 
NTDS.dit是个什么鬼呢？ 
    在域内，HASH是存在NTDS.DIT中的， NTDS.DIT是一个二进制文件，就等同于本地计算机的SAM文件，它的存放位置是%SystemRoot%\ntds\NTDS.DIT。这里面包含的不只是Username和HASH，还有OU、Group等等。 
和SAM文件一样，这个文件肯定也是被系统锁定的，Windows Server 

NTDS.dit怎么样来的呢？ 
这个网上文章介绍的很详细  自己动手丰衣足食 

0.为什么不用NTDSXTract呢? 
  答：提取速度太慢 实在不敢恭维 

1.为什么不用quarkspwdump呢? 
  答:quarkspwdump不支持system.hiv离线 只能把quarkspwdump上传到服务器之后在服务器使用,不喜欢在服务器操作，还有一个问题是内存太小还会出现not enough memory 

2.quarkspwdump有人改了支持system.hiv 为何不用呢？ 
  答:很多时候导出system.hiv之后，system.hiv文件相当大,下载非常不方便，其实system.hiv就是key 可以用RegQueryInfoKey查询出来。 , 

3.有人改了quarkspwdump支持既支持system.hiv又支持的key的啊 
  作者博客:http://z-cg.com/post/ntds_dit_pwd_dumper.html 
  答:但是程序是32位的,读取万条hash会显示not enough memory! 


那么到底解决了什么问题呢？ 

0.添加支持获取system.hiv的key值功能(需要去服务器运行获取) 
1.添加了支持离线system.hiv文件 
2.添加了支持离线system.hiv的key值   
3.解决了not enough memory的问题 


使用方法: 
常用的参数: 
-k:获取system.hive的key 
-o:输出文件(保存文件到本地) 
-sf:指定system.hive文件路径 
-sk:指定system.hive文件key值 
-hist:历史记录 
system.hive文件获取:reg save hklm\system system.hive 

 
0.QuarksPwDump.exe -k (需要注意uac的问题 在服务器运行) 
 

1.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sf system.hive -o hash.txt 
 

2.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sk 33A97A6A092FCB44B0598AAxxxxxxxx -o hash.txt 
 

3.QuarksPwDump.exe -dhd -nt NTDS_saved.dit -sk 33A97A6A092FCB44B0598Axxxxxxxxx -hist -o hash-hist.txt 
带历史记录的 4w多啊 
 

下载地址： 
点击我下载  密码：CHI6 

   顺便吐槽下 南方真蛋疼 每逢过节就下雨  。

http://vdisk.weibo.com/lc/2ySNULtxqMswoUKZAuF