Originariamente inviato da frakka
Purtroppo sì ma non è quello che mi serve.
Sò che win mantiene una copia dell'hash delle password degli utenti di dominio memorizzata in una chiave di registro sui client che si sono loggati al dominio per quando la rete non è raggiungibile. Una procedura è quella di fare il dump di quella chiave con un apposito tool e poi darla in pasto ad un password cracker per decifrare l'hash e ottenere la password in chiaro ma, siccome la password è stata cambiata da un abelinato (presumo) per sbaglio, per recuperarla dovrei sapere da quale macchina è stato fatto il danno sperando che non sia stato fatto da TS o dalla tastiera del server stesso.
Se il problema e' l'accesso alla chiave del registro a causa del sw antivirus, penso che sia sufficiente avviare con un windows pe o un linux, prendere i file di registro e darli in pasto ad un programma tipo questo: Registry Tool: Windows registry editor, registry utility, registry repair editor, file management utility for 95 98 ME NT 4.0 2000 XP 2003 Vista . La versione e' demo ma funziona per 30 giorni (l'ho usata per recuperare delle informazioni da un file .dat di registro salvato).

Altrimenti se avvii con una versione pe particolare, come l'erd commander, se non sbaglio puoi attaccarti alla installazione locale e leggere/scrivere direttamente sul registro.

Una volta presi gli hash dai vari pc, se ne trovi solo uno diverso e' sicuramente quello l'hash malefico!

Buona fortuna