2. Méthodes de recouvrement des empreintes a) Stockage des empreintes des comptes locaux

• Emplacement des empreintes dans le registre

• Valeur « V » dans « HKLM\SAM\SAM\Domains\Account\User\[RID] »
• S : séparateur
• RID : identifiant unique d'un utilisateur dans un domaine

• Les empreintes sont chiffrées en RC4, dont la clé dépend de :

• « Syskey »
• Constante
• RID (Relative Identifier)

• Clé obtenue par la fonction de hachage MD5.

• ➩ Principe utilisé massivement par Windows