1. C:\windows\system32\config\SAM（注册表HKLM/SAM：）
2. 系统内存

SAM 文件以HKLM/SAM. Windows 会锁定此文件，除非它被关闭（重启、蓝屏死机等），否则不会释放锁定。但是，如果您查看上述注册表部分中的 SAM 条目，您将找不到哈希值。

因此，哈希或密码似乎更有可能也将存储在内存中。事实上，有不少密码破解者会直接从记忆中获取您的密码。

还有一个额外的位置，他们将缓存的域凭据存储为 MSCASH2 哈希：

HKEY_LOCAL_MACHINE\Security\Cache

因此，如果您谈论的是加入域的机器，您可以在三个地方找到存储的凭据。

1. SAM 文件（需要 C:\windows\system32\config\SAM 和 C:\windows\system32\config\system）
2. 注册表（HKEY_LOCAL_MACHINE\Security\Cache 用于域凭据，HKEY_LOCAL_MACHINE\SAM 用于本地凭据）
3. 内存中（使用 mimikatz 转储）——但是最后一个没有像写入磁盘那样“存储”。