最近在看应急响应相关的东西，看到了注册表，自己不太熟悉，整理了一下

注册表保存位置在system32\config   其中与用户和组有关的内容是保存在SAM文件当中

"HKEY_LOCAL_MACHINE\SAM\SAM"和"HKEY_LOCAL_MACHINE\SECURITY\SAM".这两处的内容是完全一样的.这两个地方是system32里sam文件的映射，但不是全部内容

在"HKEY_LOCAL_MACHINE\SAM\SAM\Domains"下有二个项目: "Account" 包含系统下所有的用户和由用户创建的组 "Builtin" 包含系统所有本身的组. builtin（内置）

先说最大的，从组开始说起

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin 详情

在"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin"下有三个项目: "Aliases"、 "Groups"、 "Users" groups 和 users 没什么实质内容，暂且不表

Aliases 底下其实内容可以分为三段 Members Names 其他注册表项目

（1）Members 里面有两个项目 S-1-5 不懂干嘛的 S-1-5-21-**-**-* 其中""部分为对应的数字（一共30个号，分三组）,对于这个数字来说,每一台计算机都是不一样的,除GHOST安装版、网络同传（简单可以理解为电脑系统之间克隆（复制））外.这一长串的数字应该是指这台计算机的维一的GUID(全球维一标识符)号码. 在这个项目之下的子项是在这台计算机中所有有本地登录权限的用户账户(只是个映射). 之前说过，这个地方的内容是有本地登录权限的用户账户，这里说一下每个用户默认值的意思，点开用户默认值的数据可以发现每个数据都是一个特殊符号（这里的符号是unicode格式）这些符号指的是某个用户的主要权限 Administrators("Ƞ") Guests("Ȣ") Users("ȡ") 简单列出几个组与符号的关系 如果一个用户在"无本地登录权限"的组中,或是在一个由用户创建的组中,或是不在任何的组中,都将不会在该处显示出来. 还有一个扩展的点是有关默认键值的数据类型，Microsoft有时会把一些信息放在健值的数据类型上. 在这个项目下的所有默认健数据类型一般只有两种:字符串(REG_SZ);可扩允字符串(REG_EXPAND_SZ).当某个用户只属于一个组时,其默认健的数据类型就是"字符串",一旦这个用户属于两个或两个以上组时,其默认健的数据类型就会改为"可扩允字符串". （2）Names 这里面的内容是Windows系统的一些用户组的名称,这些组是Windows系统自身就有的 这里需要注意的是这些组默认值的数据类型 可以找到规律，都是以0x2开头的，如administrators为0x220 （3）其他注册表项目 如果你仔细阅读并打开注册表挨个看的话，你应该能看懂这些代表什么意思了，如果看不懂去掉00000再看 现在让我们打开00000220项目,我们可以看到这个项目下有两个健值(默认值我们不用看了).其中有一个名称为"C",数据类型为"REG_BINARY(二进制)"的健值,双击打开"C"的编辑窗口.首先看第一行"20 02 00 00 00 00 00 00"这是什么内容.对于学过C语言和汇编语言的人来说,我一说就因该明白了,那就是"高高低低".这个词是指计算机内存中的数据存储方式.何为"高高低低",比如一个十六进制的数据为"12345678",这个数据必须是连在一起的,不用分开.这个二六进制数据在计算机内存中排列为"87 65 43 21".好了,我们现在也把这行的内容反过来排列一下"0000000000000220",然后把前面的8个"0"去掉就成的"00000220",和这个项目名称刚好对上. 把编辑窗口拉到最下,在右边的ASCII码中我们可以明显的看到有"Administrators"的存在.没错,这就是组的名称.也就是在"计算机管理"里面显示的组名.在"Administrators"下面还可以看到一些乱码,这些就是该组的描述.不过有一个现像,如果组的描述是由字母、数字、字符组成,那么就可以在这里看到.如果有中文,就没有办法看到中文.不但如此,连ASCII码都和原来的中文ASCII码不一样,不知是Microsoft加密了,还是用了Unicode码,或是其他的编码. 在最后面,有一段内容是这里面的重点."01 05 00 00 00 00 00 05 15 00 00 00 AA A7 AC DB 7B B7 81 52 D2 F3 2A 30"重点其实是在这个数据串的后面"F4 01 00 00",这就是重点中的重点呀,这是什么,这就是"Administrator"(如果你只有一个用户在管理员组的话,如果有多个用户在管理员组就向上找).我为什么看到"F4 01 00 00"就认为是"Administrator"呢 大家可能会有一个疑问,既然后面才是重点为什么要写出前面的一串数据呢,其时这是有必要的,为什么?这还用我说吗,难道你的计算机只有一个管理员吗?这么一长串的数据其实就是该组下每个用户的分隔符.

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account 详情

同样也有三个项目:"Aliases"、"Groups"、"Users"

Aliases (别名)

1)Members（成员） 在这个项目下有两个子项: S-1-5 S-1-5-21-**-**-* 1.S-1-5子项我也看不太懂,因为它的内容太下了,也没有什么联系. 2.S-1-5-21-**-**-*其中"*"部分为对应的数字,这个数字每一台计算机是不样了,除GOSHT安装版、网络同传外.这一长串的数字因该是指这台计算机的维一的GUID(全球维一标识符)号码. 在这个项目之下的子项是在这台计算机中系统自身的用户账户(也只是个映射).如Administrator(000001F4)、Guest(000001F5)、IWAM_GEXING(000003ED)、SUPPORT_388945a0(000003E9)

2)Names这里面的内容是非Windows系统的一些用户组的名称,这些组是在安装好Windows系统后,再通过安装软件、服务或是用户手动添加的组.该项目内的结构和"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin"下的Names是一样的,大家可以参考一下该处的内容.

3)关于这个类别也没有好说的,大家一样可以参考一下"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin"下的内容,结构也是大致一样了.

Users ：

1)Names这里面是Windows系统中的所有用户名(也只是个映射),不管是系统自身的,还是后面添加的都可以在这里找到.但其真实的内容还是在第二个类别里.

2)这个分类里的内容也没有说的,大致和上面的差不多,只是用户的详细内容是在"V"键值下.而别外的一个"F"键值就实在有点难懂.

有一点,在用户的键值"V"中的开头部分,已经找不到该项目的名称了.

另外在"V"键值内,中间的一部分乱码内容是用户的一些属性设置.

最后再说一个关于用户密码的存放位置,相信这是大家都关心的一个问题.我个人做了一个小小的试验,先添加一个用户,并备份"V"健值的数据内容,然后设置密码.注销当前用户并以新用户登录需要密码.用管理员登录,导入备份的"V"键值数据内容.再次注销当前用户并以新用户登录,结果如我所料"密码为空".

不过在设置密码或是修改密码后,"F"键值的数据内容都会有4个二进制位的数据有点改变.但可以肯定的是用户的密码不会放在"F"健值中.