1

Windows 凭据缓存在称为本地缓存的本地系统中。这将允许用户在无法联系域控制器时登录系统。

这些缓存的凭据作为哈希值存储在本地系统注册表中,值是 HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1 到 NL$10。这只能由系统帐户访问,否则我们必须授予管理员权限才能执行操作。

现在我正在尝试从我的 c++ 代码中访问这些缓存。但我未能获得价值。请给出从 C++ 代码读取和写入这些缓存的解决方案。

我正在使用的代码:

DWORD GetLocalMachineProfileBuffer(BYTE* pBuffer, DWORD nMaxLength )
{
LPCWSTR szSubKey = L"SECURITY\\CACHE";
LPCWSTR szValueName = L"NL$1";

    DWORD   rc; 
    DWORD   dwType; 
    HKEY    hOpenedKey;

    if( ERROR_SUCCESS == RegOpenKeyEx (HKEY_LOCAL_MACHINE,szSubKey,0,KEY_READ,&hOpenedKey) )
    {
        rc = RegQueryValueEx(hOpenedKey,szValueName,0,&dwType,(LPBYTE)pBuffer,&nMaxLength ); 
        if( rc != ERROR_SUCCESS ) 
        { 
            return (DWORD)-1;
        } 
        else 
        { 
            _ASSERT( dwType == REG_BINARY ); 
        } 

        RegCloseKey( hOpenedKey );
        return nMaxLength; 
    }
    else
    {
        return (DWORD)-1;
    }   
}

int _tmain(int argc, _TCHAR* argv[])
{
    static BYTE Buffer[200];
    DWORD nLength = GetLocalMachineProfileBuffer( Buffer, sizeof( Buffer ) );

    for(int i=0;i<200;i++) {
            printf("%0X ",Buffer[i]);
    }
    getch();
    return 0;
}
4

1 回答 1

2

为了读取注册表的这个区域,您必须运行NT AUTHORITY\SYSTEM,或者称为LocalSystem- 相当于 unix 的 windows root。我猜您正在拒绝访问,但您正在丢弃错误消息。

所以这:

 if( rc != ERROR_SUCCESS ) 
    { 
        return (DWORD)-1;
    }

应该是这样的:

   if( rc != ERROR_SUCCESS ) 
    { 
        return rc;
    }

然后您可以使用或类似方法检查退出代码echo %ERRORLEVEL%,并找出您实际遇到的错误。

让进程按原样运行的最佳方法SYSTEM是使用 Task Scheduler API 创建作业。

您可以通过指定本地计算机名称在本地计算机上执行此操作。

于 2012-12-18T17:58:23.517 回答