先看簡(jiǎn)介 Quarks PwDump是一個(gè)Win32環(huán)境下系統(tǒng)授權(quán)信息導(dǎo)出工具，目前除此之外還木有沒(méi)有任何一款工具可以導(dǎo)出如此全面的信息，支持這么多的OS版本，（包括xP/2003/Vista/7/2008/8），經(jīng)測(cè)試相當(dāng)穩(wěn)定。作者開(kāi)發(fā)這個(gè)工具的原因是現(xiàn)在沒(méi)有一款工具能同時(shí)抓取所有類(lèi)型的hash和Bitlocker信息。這個(gè)工具沒(méi)有注入任何進(jìn)程，工作原理是神馬呢，源代碼值得讀一下。

源地址在這：http://code.google.com/p/quarkspwdump/


可以導(dǎo)出 :
- Local accounts NT/LM hashes + history 本地NT/LM哈希+歷史登錄記錄
- Domain accounts NT/LM hashes + history 域中NT/LM哈希+歷史登錄記錄
- Cached domain password 緩存里的域密碼
- Bitlocker recovery information (recovery passwords & key packages) 使用了Bitlocker的恢復(fù)信息(恢復(fù)密碼&關(guān)鍵包)


用法參考說(shuō)明如下：
quarks-pwdump.exe
Options :參數(shù)
–dump-hash-local /*Dump出本機(jī)HASH*/
-dump-hash-domain-cached /*Dump出域內(nèi)緩存的Hash*/
-dump-hash-domain (NTDS_FILE must be specified) /*Dump出域內(nèi)的Hash，NTDS_FILE必須被指定*/
–dump-bitlocker (NTDS_FILE must be specified) /*Dump出BitLocker遺留信息*/
–with-history (optional)
-output-type JOHN/LC (optional, if no=>JOHN) /*導(dǎo)出為L(zhǎng)c4或John The Ripper支持的格式*/
–output FILE (optional, if no=>stdout) /*導(dǎo)出結(jié)果到文件*/
木有其他系統(tǒng) 請(qǐng)大家另行測(cè)試。


如需導(dǎo)出可以

C:\>quarkspwdump --dump-hash-local --output c:\xxxxx

C:\>quarkspwdump --dump-hash-local --output-type LC --output c:\xxxxx