1.概念

(1) 本地认证

Windows不存储用户的明文密码，它会将用户的明文密码经过加密后存储在 SAM (Security Account Manager Database，安全账号管理数据库)中。

(2) SAM

用来存储Windows操作系统密码的数据库文件，SAM文件中保存的是明文密码在经过一系列算法处理过的 Hash值被保存的Hash为NTLM Hash。
SAM文件的路径是 %SystemRoot%\system32\config\sam
winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证)
首先，用户注销、重启、锁屏后，操作系统会让 winlogon显示登录界面，也就是输入框，接收输入后，将密码交给 lsass进程，这个进程将明文密码加密成NTLM Hash，对比 SAM数据库中的 Hash进行验证

(3) NTLM Hash

通常意义上的NTLM Hash指存储在SAM数据库中对密码进行 Hash摘要计算后的结果
NTLM Hash的生成

• 用户密码：susi2001
• 首先，密码经过十六进制转为 7375736932303031
• 将十六进制结果转为 Unicode格式 73007500730069003200300030003100
• 以 Hex（16进制）数据作 MD4加密 ed3202726368f8e9fd23e78fbfac8c13

MD4加密使用 HashCalc

(4) NTLM 和 NTLM Hash

NTLM是一种网络认证协议，与 NTLM Hash的关系就是：NTLM网络认证协议是以 NTLM Hash 作为根本凭证进行认证的协议，NTLM是一种基于质询/应答 （Challenge/Response ）消息交换模式的认证机制，常用于工作组和域环境下登录场景的身份认证
认证流程
NTLM 协议的认证过程有三步：

• 协商：主要用于确认双方协议版本（NTLMv1、NTLMv2等）
• 质询：质询/应答 （Challenge/Response）模式，用于消息交换
• 验证：验证身份合法性，通常由 Server端或 DC（域控制器）完成这个过程

经过 NTLM Hash加密 Challenge的结果在网络协议中称之为 Net NTLM Hash
在以上流程中，用户的登录密码 Hash 即为 NTLM Hash ，Response中则包含 Net-NTLM Hash

(5) NTLM v2

NTLM version 2 (NTLMv2)是在 Windows NT 4.0 SP4中引入的（在 Windows 2000 中得到了本地支持）
NTLM v1与 NTLM v2 最显著的区别就是 Challenge与加密算法不同，共同点就是加密的原料都是 NTLM Hash ：

• Challenge：
  • v1： 8-byte
  • v2：16-byte
• Net NTLM Hash：
  • v1：DES
  • v2： HMAC-MD5