Как известно горячо любимый в народе SAM файл (w2k) заблокирован системой.
И посмотреть его невозможно невозможно даже имея права локального админа.

Есть ли методы прочитать его не используя (загрузку с дискеты и т.д.) к примеру
читать файл через какой либо драйвер или пропатчить библиотеку винды где встроенна эта блокировка ?

К примеру есть такая прога Acronis TrueImage - она позволяет делать образы разделов (в том числе и системных)
на работающей системе !
Т.е. считывает в том числе и SAM файлы и плевать ей на блокировку !

Интересно как она это делает ? Устанавливает свой драйвер ?

Один из способов получить доступ к SAM - внедрение кода в процесс LSASS и использование его хэндлов. При этом хорошо остановить все остальные потоки.

А образы дисков берутся через \Device\Harddisk#\Partition# , драйвера не надо т.к. уже есть символьные ссылки.

другой способ - читать при помощи ZwReadFile

А моей теме про windows xp вы не знает как помочь?

образы дисков берутся через \Device\Harddisk#\Partition#

А можно используя это читать отдельные файлы ?


читать при помощи ZwReadFile

можно подробнее ?

„Как известно горячо любимый в народе SAM файл (w2k) заблокирован системой.
И посмотреть его невозможно невозможно даже имея права локального админа.

Есть ли методы прочитать его не используя (загрузку с дискеты и т.д.) к примеру
читать файл через какой либо драйвер или пропатчить библиотеку винды где встроенна эта блокировка ? “
Можно скопировать, получив привилегию Backup.

[quote]А можно используя это читать отдельные файлы ? /quote]

Можно, но это, наверное, самый кривой способ.

Есть такая утилитка RDISK, которая делает копию файлов реестра.
Делаешь:
1. ищешь в сети RDISK.exe
2. запускаеш rdisk /s и пьешь пиво
3. в папке WINNT\repair\:
extract sam._
$$hive$$.tmp это и есть sam

кодировка в опере глючит