龙之信条刺客技能:windowsxp

WindowsXP的密码存放在系统所在的Winnt\System32\Config下SAM文件中，SAM文件即账号密码数据库文件。当我们登录系统的时 候，系统会自动地和Config中的SAM自动校对，如发现此次密码和用户名全与SAM文件中的加密数据符合时，你就会顺利登录;如果错误则无法登录。既然如此，我们的第一个方法就产生了：删除SAM文件来恢复密码。

如果你不用管本来系统卡包含的任意账号，而且有两个操作系统的话，可以使用另外一个能访问NTFS的操作系统启动电脑，或者虽然没有安装两个系统，但可以使用其他工具来访问NTFS。然后删除C：\WINNT\system32\config目录下的SAM文件，重新启动。这时，管理员Administrator账号就没有密码了。当然，取下硬盘换到其他机器上来删除SAM文件也算个好办法。

小提示：WindowsNT/2000/XP中对用户账户的安全管理使用了安全账号管理器(Security AccountManager,SAM)的机制，安全账号管理器对账号的管理是通过安全标识进行的，安全标识在账号创建时就同时创建，一旦账号被删除，安全标识也同时被删除。安全标识是惟一的，即使是相同的用户名，在每次创建时获得的安全标识都是完全不同的。因此，一旦某个账号被删除，它的安全标识就不再存在了，即使用相同的用户名重建账号，也会被赋予不同的安全标识，不会保留原未的权限 。

安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。SAM文件是WindowsNT/2000/XP的用户账户数据库，所有用户的登录名及口令等相关信息部会保存在这个文件中。

秘诀2：使用Off1ine NT Password & Registry Editor。用该软件可以制作Linux启动盘，这个启动盘可以访问NTFS文件系统，因此可以很好地支持Windows2000/XP。使用该软盘中的一个运行在Linux的工具Ntpasswd就可以解决问题。并且可以读取注册表并重写账号密码。使用的方法很简单，只需根据其启动后的提示一步一步做就可以了。在此，建议你使用快速模式，这样会列出用户供你选择修改哪个用户的密码。默认选择Admin组的用户，自动找到把Administrator的名字换掉的用户，十分方便。

秘诀3：使用Windows Key 5.0。该软件包含在PasswareKit5.0中，用于恢复系统管理员的密码，运行后生成3个文件：txtsetup.oem.winkey.sys和winkey.inf,3个文件一共才50KB,短小精悍。把这3个文件放到任何软盘中，然后使用XP安装光盘启动电脑，启动过程中按F6键让系统安装第三方的驱动程序。此时，正是我们切入的最好时机，放人该软盘就会自动跳到WindowsKey的界面。它会强行把Administrator的密码换成 "12345"，如此一来何愁大事不成?呵呵!当你重新启动以后，你会被要求再次修改你的密码。

秘诀4：使用NTFS DOS这个可以从DOS下写NTFS分区的工具。用该软件制作一个DOS启动盘，然后到C;\Winnt\System32下将屏幕保护程序logon.scr改名，接着拷贝command.com到C：\Winnt\system32下(2000可以用cmd.exe),并将该文件改名为logon.scr。这样启动机器后等待5分钟，本应该出现的屏幕保护现在变成了命令行模式，而且是具有Administrator权限的，通过它就可以修改密码或者添加新的管理员账号了。改完后不要忘了把屏幕保护程序的名字改回去啊。下载地址：http：/www.cgsecurity.org/index.html?

秘诀5：下面介绍一个比较与众不同的方法。你可以在别的分区上再装一个XP，硬盘分区格式要和原来的一样，并且请你注意一定不要和原来的XP安装在同一分区!在开始之前，一定要事先备份引导区MBR(Master Boot Record).备份MBR的方法有很多，可以自己编程，或使用工具软件，如杀毒软件KV3000等。装完后用Administrator登录，现在你对原来的XP就有绝对的写权限了。你可以把原来的SAM拷下来，用lOphtcrack得到原来的密码。也可以把新安装的XP的Winnt\System32\Config\下的所有文件覆盖到C\Winnt\System32\Config目录中(假设原来的XP安装在这里)，然后用KV3000恢复以前备份的主引导区MBR，现在你就可以用Administrator身份登陆以前的XP了。

小提示：MBR俗称"主引导区"，它的作用是读取磁盘分区表(Partition Table)里面所设定的活动分区 (Active Partition)，位于硬盘的柱面0、磁头0、扇区1的位置，也即俗你的0磁道位置。它是由分区命令fdisk产生的。MBR包括硬盘引导程序和分区表这两部分。MBR结束标志为55AA，用杀毒软件KV3000的F6功能即可查看，其默认画面即为MBR。如果MBR找不到活动分区，就会在屏幕上显示像Missing operating System等错误讯息，所以，如果你的WindowsXP无法正常开启。而你又在屏幕上看到类似这样的错误讯息，原因大多就是出在这里了。

下面是系统的进程列表
最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统
就能正常运行）
smss.exeSessionManager
csrss.exe子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。
(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe包含很多系统服务
svchost.exe
SPOOLSV.EXE将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe资源管理器
internat.exe托盘区的拼音图标
附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减
少）
mstask.exe允许程序在指定时间运行。(系统服务)
regsvc.exe允许远程注册表操作。(系统服务)
winmgmt.exe提供系统管理信息(系统服务)。
inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。(系统服务)
tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过Internet信息服务的管理单元管理Web和FTP服务。(系统服务)
tftpd.exe实现TFTPInternet标准。该标准不要求用户名和密码。远程安装服务
的一部分。(系统服务)
termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000
Professional桌面会话以及运行在服务器上的基于Windows的程序。(系统服务)
dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉
tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000
Professional的能力。(系统服务)
支持以下TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及
QuoteoftheDay。(系统服务)
ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。(系统服
务)
ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。
(系统服务)
llssrv.exeLicenseLoggingService(systemservice)
ntfrs.exe在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe控制用来远程储存数据的媒体。(系统服务)
locator.exe管理RPC名称服务数据库。(系统服务)
lserver.exe注册客户端许可证。(系统服务)
dfssvc.exe管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统
服务)
msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其
它事务保护资源管理器。(系统服务)
faxsvc.exe帮助您发送和接收传真。(系统服务)
cisvc.exeIndexingService(systemservice)
dmadmin.exe磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服
务)
netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。(系统服务)
smlogsvc.exe配置性能日志和警报。(系统服务)
rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制
安装功能。(系统服务)
RsEng.exe协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe管理远程储存的文件的操作。(系统服务)
grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存
储点，以节省磁盘空间。(系统服务)
SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统
服务)
snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系
统服务)
snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递
到运行在这台计算机上SNMP管理程序。(系统服务)
UtilMan.exe从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务)
总结：
发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可
以发现可疑进程，就象找一群熟悉人中的陌生人一样。
祝你好运^_^

我有一款能在DOS修改XP登录密码的软件，挺好用，你自己也在网上找一个试试。

找erd2003

郁闷

一个简单的问题
有个同志居然回答那么多。

而且多数都是废话
什么删除sam文件的，都是胡扯。
这样子只能导致系统完全无法使用。更别提进入系统了

建议去买一张工具盘。
里面就会有这类软件
而且很好用！

删SAM真的没用吗?

破戒补丁