推断二：WIN登录的时候，将从SAM中获得相对标志符，而这个相对标志符的位置是V值中的 F4 01 00 00。但是，
帐户信息查询却使用的SAM中子键内容。

推断二的原因假设（假设一）：在帐户登录的时候，登录过程获得SAM数据库中用户名使用的帐户记录信息中的
相对标志符值（相当于V值中的 F4 01 00 00），帐户登录之后，所有跟帐户相关的之后，这个值不再被API函数使用，而相对标志符由一个数据记录项的字段名代替（相当于子键000001F4）。微软犯了一个同步逻辑问题！

推断二是根据Adam提出而进行的，以前没有这样推断过。:( 推断二如果成立，揭示了在登录过程中帐户SID进行
的过程。这就是为什么V中的值都是跟帐户登录记录（登录时间，密码错误次数等）相关的原因。同时，因为F中保存
了一个用户名内容，而API函数查询的是这个用户名，所以Adam的克隆办法还是容易露脸，经叮叮补充过后，这个用户
名也被恢复原用户名了，从用户名上检测就相对难了。

上面对项目V的介绍可以知道，其中保存的是帐户的基本资料，用户名、用户全名(full name)、所属组、描述、
密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。现在来关心的是密码HASH。

假设二：在帐户的项V中，包含了用户HASH，分别包括是LM2和NT的密码加密散列，Crack时，可分开进行。毕竟
LM2简单。

\Domains\Builtin下的内容是同帐户组相关的。其结构同\Account下的类似，并且也存在相应的问题，就不再
罗嗦了。

SAM数据库保存的文件sam中，可没有注册表中的这么简明的内容，而主要是通过偏移量、长度来定位内容。并
且单个帐号的信息都是集中在一块的，而不是象注册表形式这样分隔开（名字的一个键而内容在另外一个键）。

sam文件中，可根据这些下面这些分隔符来定位数据含义：

nk (6E 6B) 键或者子键名
vk (76 6B) 相应的值
if (6C 66) 子键列表
sk (73 6B) 权限

五、关于SAM数据库分析的结论：

SAM HACK是非常有危险性的。不正确的修改会将系统的安全数据管理器破坏，造成系统启动问题，虽然可以通过
删除SAM文件来让启动恢复。如果能够熟悉SAM的结构，你将发现，可以对用户名与用户名之间、用户组与用户组之间
进行调换，以及帐户和帐户组伪造，完全打破微软的帐户格局。并且非常隐蔽，让帐户相关的API函数摸不着头脑。

虽然微软处理帐号信息中犯了不少逻辑问题，但是安全帐号数据库并非不安全，所有操作都必须能完全拥有管理
员权限。

当隐蔽后门的办法被提出来之后，一定会让不少“黑客”利用，管理员也应该多多熟悉相关技术，作好安全检测，
我的目的就达到了。对《克隆管理员帐号》的简单检测工具可以在我的主页(www.opengram.com)下载，但是更多的还是需要管理员学习相关知识，才能更好地检测入侵.