一，尝试登录。
客户端对密码进行哈希处理并缓存密码hash，丢弃实际的明文密码，然后将用户名发送到服务器，发起认证请求

 

密文存储位置：数据库文件位于C:WindowsSystem32configsam，同时挂载在注册表中的HKLMSAM项上

 

不可以打开

正常情况下，这个SAM文件是不可打开的，除非通过一些特殊手段，但不建议这样做，因为可能影响后续登录

二

 

LM模块中存储的是使用LM算法加密后的用户密码密文。 因此，通过hashdump 抓取出所有用户的密文时会分为这两个模块，分别代表了使用NTLM和LM算法加密过的用户密码。

三

 

第一个模块永远是一样的add3，这是因为在NTLM加密算法中，有一个固定的偏移量，这个偏移量的值就是add3。