HW-防御者的视角

     域控上hash值提取的工作，建议由域控管理员进行操作，操作前最好在备机上进行工具的测试。登录域控，将QuarksPwDump工具文件夹拷贝至域控服务器，按住shitf键同时右击文件夹，选择在此处打开命令窗口。

运行QuarksPwDump.exe–k命令，会出现新的蓝色的窗口，显示systemkey值，将获取域控密码文件的syskey值记录保存。

      另外打开一个cmd窗口，键入ntdsutil，调用快照工具，将域控密码文件做一个快照备份并装载，记录快照集的id（即快照集{}号中的那串值）。ntdsutil步骤命令见下图：

另外再开一个cmd窗口，拷贝快照文件至c:\，并重命名为NTDS-bak.dit（拷贝文件的名字和拷贝位置可以在英文路径中任意选择）。

C:\Windows\system32>copyc:\$SNAP_201511260029_VOLUMEC$\WINDOWS\NTDS\NTDS.dit c:\NTDS-bak.dit

拷贝成功后回到第一个cmd窗口卸载快照。

使用esentutl工具（系统自带）对ntds-bak.dit备份文件进行数据格式的修复。修复命令如下图：

使用QuarksPwDump工具提取备份文件中的hash值并将其输出至hash.txt文件中，-sk参数即为一开始记录的syskey的值。

经过测试此工具支持1w条以上的hash工具。