Den Inhalt der Unterschlüssel sichtbar machen - AT-Befehle

Die SAM-Datei ist die Benutzerkontendatenbank (System- und Zugriffs-Rechte). Hier werden die Informationen der Benutzerkonten und die Kennwörter verschlüsselt gespeichert.
Die Datei liegt ohne Endung im Verzeichnis »C:\WINDOWS\system32\config« bzw. »C:\WINNT\system32\config« und natürlich in der Registry.
Die SAM-Datenbank ist in der Registry unter HKEY_LOCAL_MACHINE zu finden, nur geben diese Unterschlüssel keine Informationen her.

Um den Inhalt der Unterschlüssel sichtbar zu machen, muss die Registry über das „lokale System“ gestartet werden.

Unter Start – Ausführen:

AT [UHRZEIT] /INTERACTIVE CMD.EXE – [OK]

Beispiel: AT 15:55 /INTERACTIVE CMD.EXE

(wenn es momentan ca. 15:53 Uhr ist)

wird die Eingabeaufforderung nun im Kontext des Systems ausgeführt.

Die Uhrzeit bestimmt den Zeitplan, wann dies geschehen soll, natürlich reichen hier 1 bis 3 Minuten aus, um nicht lange warten zu müssen.
Exakt um diese Uhrzeit öffnet sich dann die Konsole, mit der nun die Registry gestartet werden kann.

Mit dem Befehl AT können Befehle und Programme zu einem vorbestimmten Termin gestartet werden. Der Zeitplandienst (Schedule bei WinNT, Taskplaner bei 2000/XP/2003) muss gestartet sein, um den Befehl AT zu verwenden.
Man kann z.B. auch die Registry direkt mit

AT 15:55 /INTERACTIVE REGEDIT.EXE

(wenn es momentan ca. 15:53 Uhr ist)

starten.

Mit dem Parameter /interactive kann ein Systemprogramm zeitgesteuert ausgeführt werden.
Das Programm wird dann nicht unter der Kennung des Benutzerkontos gestartet, sondern als Teil des Betriebssystems ausgeführt.

In der Registry, die durch die Konsole gestartet wurde, sieht man den verschlüsselten Inhalt im Unterschlüssel SAM. Das System hat nun volle Leserechte auf dem Unterschlüssel.

Weitere Beispiele
Hilfe mit AT /? in der Eingabeaufforderung.

AT [\\Computer-Name] [ [ID] [/DELETE] | /DELETE [/YES]]

AT [\\Computer-Name] Zeit [/INTERACTIVE] [ /EVERY:Datum[,…]

| /NEXT:Datum[,…]]

Befehl \\Computer-Name = Gibt einen Remote-Computer an. Ohne diesen Parameter werden die Befehle auf dem lokalen Computer ausgeführt.

ID = eine Identifikationsnummer, die dem geplanten Befehl zugeteilt wird

/DELETE = Löscht geplante Befehle. Ohne ID werden alle geplanten Befehle auf dem Computer gelöscht.

/YES = In Verbindung mit /DELETE werden die geplanten Befehle ohne weitere Bestätigung gelöscht.

Zeit = Gibt die Zeit an, zu der ein Befehl ausgeführt werden soll. Format hh:mm

/INTERACTIVE = Ermöglicht dem Auftrag, Eingaben vom Benutzer anzunehmen, der angemeldet ist, wenn der Auftrag ausgeführt wird.

/EVERY:Datum[,…] = Führt den Befehl zu jedem der angegebenen Tage der Woche oder des Monats aus. Ohne Angabe eines Datums wird der aktuelle Tag des Monats angenommen.

/NEXT:Datum[,…] = Führt den Befehl am nächsten angegebenen Tag aus. Ohne Angabe eines Datums wird der aktuelle Tag des Monats angenommen.

Befehl = auszuführender Windows NT-Befehl oder Stapelprogramm.

Alle Aktivitäten werden dann nicht dem Benutzerkonto des Administrators, sondern dem System zugeordnet.

Die Informationen der Benutzerkonten und Kennwörter werden in der SAM-Datei verschlüsselt gespeichert und nicht im Klartext angezeigt. Dafür gibt es kostenlose Tools, wie „Ophcrack„, die die SAM nach Kennwörtern auslesen, entschlüsseln und im Klartext anzeigen.