• LSASS.exe: este es un importante proceso del sistema operativo Windows, el cual se carga en memoria, y es el que tiene la función de administrar la autenticación de dominios de autoridad a nivel local y de AD (Active Directory).
• Winlogon.exe: respecto al tema de contraseñas y/o passwords, este proceso es el encargado de interceptar el proceso de validación realizado por medio del teclado.

Al momento de tratar de autenticarnos ante un sistema Microsoft Windows, la contraseña debe de estar almacenada en algún lugar del sistema operativo, con el propósito de evaluar el valor de la contraseña ingresada, y así permitir o no el acceso al sistema. La base de datos SAM es usada en sistemas Windows NT, 2000 y posteriores.

Como tal lo que se almacena y procesa en el sistema operativo no es el contenido de la contraseña, sino su firma (hash), el cual es un valor que en teoría es único para cada contraseña, por lo tanto, lo que compara el sistema operativo son las firmas, y no el contenido de la contraseña como tal.

<aside> 💡 Las contraseñas en los sistemas Windows se encuentran almacenadas en: Windows/system32/config

</aside>

Es importante tener presente que las credenciales en Windows se encuentran en memoria, y que no están cargadas y/o guardadas en texto plano, sino en su formato HASH.

En los sistemas Windows las firmas (Hash), se encuentran almacenadas en la SAM (Security Account Manager) para las contraseñas locales, y almacenadas en el archivo ntds.dit para contraseñas en un controlador de dominio.

Los valores de las contraseñas que son almacenadas en la SAM son calculados por diversos algoritmos, tales como: LM y NT HASH.