操作系统凭证转储: 注册表隐蔽提取

注册表隐蔽提取（Stealthy Registry Extraction）是针对Windows SAM文件保护机制的规避技术。该技术通过直接访问注册表虚拟化层或物理磁盘原始数据，绕过系统对SAM文件的标准访问限制，采用离线解析方式提取本地账户凭证哈希。其创新点在于利用卷影副本服务或原始磁盘解析技术，在不触发文件访问告警的前提下获取加密的凭证存储结构。

该技术的隐匿性源于对系统存储层级的深度操作。攻击者通过创建临时卷影副本来获取SAM文件的静态副本，避免直接操作被系统实时监控的活跃注册表项。在数据解析阶段，采用注册表虚拟化重定向技术将访问请求导向隔离的沙箱环境，规避注册表操作审计。针对高级防御系统，攻击者会劫持系统备份工具（如wbadmin）的合法功能执行离线注册表提取，利用白名单进程的数字签名掩盖恶意行为。数据解密阶段采用GPU加速的暴力破解算法，在内存中完成哈希破解，避免磁盘残留破解字典特征。